低耦合的資訊流動的追蹤方法與電腦系統DECOUPLED METHOD FOR TRACKING INFORMATION FLOW AND COMPUTER SYSTEM THEREOF

專利類型

發明

專利國別 (專利申請國家)

美國

專利申請案號

13/459,258

專利證號

US 9,304,792 B2

專利獲證名稱

低耦合的資訊流動的追蹤方法與電腦系統DECOUPLED METHOD FOR TRACKING INFORMATION FLOW AND COMPUTER SYSTEM THEREOF

專利所屬機關 (申請機關)

國立交通大學

獲證日期

2016/04/05

技術說明

傳統的資安分析與偵測方式中，多偏向以靜態分析的方式觀察這些威脅的外在特徵，如病毒碼或入侵特徵等，但目前進階的攻擊技巧多以執行時期的動態技術，如加殼或變型等，以躲避追蹤。且層出不窮的軟體漏洞，與駭客每天發展出新的攻擊與惡意程式，令資訊安全檢測與鑑識的困難度大大提昇。動態汙染分析為一項極具潛力的技術：透過一軟體模擬的X86系統並實際於其中運行程式的方式，可在執行過程中監控資訊的流動行為。然而動態汙染分析效能與系統模擬彼此交錯執行，將導致記憶體快取命中率過低且令模擬器的指令最佳化失效，因而速度過於緩慢使其可用性降低，且缺乏以整體主機系統作為分析對象的功能，以至於無法分析現今侵入作業系統內部的高階惡意程式。本發明提出一種將系統模擬器與資訊流動追蹤彼此分離的技術，透過此技術令兩個系統能在兩個獨立的CPU平行執行，因此較目前的系統層級的資訊流追蹤系統，執行效率可大幅提高。 備註 ： System-wide taint analysis is a widely-adopted technique in software testing and malware analysis. To achieve this, a system level emulator equipped with dynamic information flow tracking capability, DIFT, is desirable. However, its effectiveness comes at a price of severe performance degradation due to interleaved system emulation and DIFT analysis. To improve the performance of DIFT, we managed to regain the memory locality and code optimization while executing the interleaved system emulation and taint analysis. In this invention, a new method to decouple DIFT is proposed to parallelize system-wide emulation and taint analysis. The proposed decoupling methods are able to aggressively eliminate dependency between the emulator and the analysis thread. In addition, an encoding method for extracting information flow is also proposed to eliminate the redundant decoding process while preserving byte-granularity accuracy.

備註

本會(收文號1110027136)回應該校111年5月12日陽明交大研產學字第1110015716號函申請終止維護專利(國立陽明交通大學)

連絡單位 (專責單位/部門名稱)

智慧財產權中心

連絡電話

03-5738251

網址