(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111274582A(43)申请公布日2020.06.12(21)申请号202010037350.0(22)申请日2020.01.14(71)申请人中国人民解放军战略支援部队信息工程大学地址450000河南省郑州市高新区科学大道62号(72)发明人胡雪丽连惠杰奚琪朱玛丁文博(74)专利代理机构郑州大通专利商标代理有限公司41111代理人张立强(51)Int.Cl.G06F21/57(2013.01)权利要求书2页说明书13页附图5页(54)发明名称基于透明度的取证效果评估方法、取证分析装置及方法(57)摘要本发明提供一种基于透明度的取证效果评估方法、取证分析装置及方法。该取证分析装置以基于透明度的取证效果评估方法为设计依据，包括：基于裸机的运行环境、近透明取证系统和取证分析系统；所述基于裸机的运行环境，构建于真实的裸机平台上，不开启新的硬件接口，并构建有真实硬件设备的运行记录；所述近透明取证系统设置在内核中，包括Snipschedule快照调度器，所述Snipschedule快照调度器采用被动唤醒策略，所述被动唤醒策略指当攻击触发时，唤醒Snipschedule快照调度器对内存页当前状态进行快照留存，并将快照传送至取证分析系统；所述取证分析系统，用于根据接收的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。CN111274582ACN111274582A权利要求书1/2页1.基于透明度的取证效果评估方法，其特征在于，所述透明度是指对取证分析环境与原生系统环境在系统属性方面存在的差异性度量，所述方法包括：步骤1：设定属性重要性阈值w0和差异显著性水平α；步骤2：将属性权重值大于所述属性重要性阈值的系统属性记为重要属性Ai，并构建重要属性集M，将属性权重值不大于所述属性重要性阈值的系统属性记为次要属性Bj，并构建次要属性集N，i＝1,2,…,m,j＝1,2,…,n；步骤3：获取对被评估取证分析环境公开的指纹特征Q＝{x1,x2,…,xi,…,xm+n},xi∈M∪N以及各指纹特征的属性权重值；步骤4：根据各指纹特征的属性权重值，利用设定的透明度函数和检测函数得到被评估取证分析环境的透明度评估结果，所述透明度函数用于计算各指纹特征的透明度，所述检测函数用于计算针对被取证分析的程序P，判定发现被取证分析环境的概率。2.根据权利要求1所述的方法，其特征在于，所述透明度函数为：其中，U(Q)∈[0,1]，w(xi)表示指纹特征xi的属性权重值，I(*)为符号函数，P(*)表示状态分布中Z(*)所对应的概率，表示原生系统环境S中X取值的中位数或给定的标准值，SE(X)表示原生系统环境S中X取值的标准差。3.根据权利要求2所述的方法，其特征在于，所述检测函数为：4.一种动态root攻击取证分析装置，其特征在于，所述装置以权利要求1至3任一项所述的方法作为建立透明取证分析装置的依据，所述动态root攻击取证分析装置包括：基于裸机的运行环境、近透明取证系统和取证分析系统；所述基于裸机的运行环境，构建于真实的裸机平台上，不开启新的硬件接口，并构建有真实硬件设备的运行记录；所述近透明取证系统设置在内核中，包括Snipschedule快照调度器，所述Snipschedule快照调度器采用被动唤醒策略，所述被动唤醒策略指当攻击触发时，唤醒Snipschedule快照调度器对内存页当前状态进行快照留存，并将快照传送至取证分析系统；所述取证分析系统，用于根据接收的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。5.一种动态root攻击取证分析方法，其特征在于，所述方法采用权利要求4所述的动态root攻击取证分析装置进行取证分析，所述方法包括：步骤1：检测task_struct中各进程的state变量，一旦进程切换为运行态，则唤醒近透明取证系统，对当前进程进行快照取证；步骤2：取证分析系统根据取证到的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。2CN111274582A权利要求书2/2页6.根据权利要求5所述的方法，其特征在于，所述对当前进程进行快照取证的过程为：步骤1.1：关闭内核抢占，记录当前进程为prev，获取当前运行队列；步骤1.2：检测prev进程的状态是否为运行态：若是，则执行步骤1.3，若否，则执行步骤1.6；步骤1.3：判断prev进程是否处于可中断状态且有信号等待处理：若是，则执行步骤1.4，若否则执行步骤1.5；步骤1.4：将prev进程的状态设置为运行态；步骤1.5：将prev进程从运行队列中删除；步骤1.6：对当前运行队列进行适配调整；步骤1.7：从当前运