主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2019-2020年专刊出版计划 微信服务介绍 最新一期:2019年第1期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
王蕾,周卿,何冬杰,李炼,冯晓兵.面向Android应用隐私泄露检测的多源污点分析技术.软件学报,0,(0):0
面向Android应用隐私泄露检测的多源污点分析技术
Multi-Source Taint Analysis for Privacy Leak Detection of Android Apps
投稿时间:2017-07-29  修订日期:2017-10-01
DOI:10.13328/j.cnki.jos.005581
中文关键词:  程序分析  污点分析  软件安全  静态分析  Android
英文关键词:program analysis  taint analysis  software security  static analysis  Android
基金项目:国家重点研发计划(2017YFB0202002);国家自然科学基金项目(61521092,61432016)
作者单位E-mail
王蕾 中国科学院计算技术研究所 计算机体系结构国家重点实验室 北京 海淀 100190
中国科学院大学 北京 海淀 100190 
wanglei2011@ict.ac.cn 
周卿 中国科学院计算技术研究所 计算机体系结构国家重点实验室 北京 海淀 100190
中国科学院大学 北京 海淀 100190 
 
何冬杰 中国科学院计算技术研究所 计算机体系结构国家重点实验室 北京 海淀 100190
中国科学院大学 北京 海淀 100190 
 
李炼 中国科学院计算技术研究所 计算机体系结构国家重点实验室 北京 海淀 100190
中国科学院大学 北京 海淀 100190 
 
冯晓兵 中国科学院计算技术研究所 计算机体系结构国家重点实验室 北京 海淀 100190
中国科学院大学 北京 海淀 100190 
 
摘要点击次数: 560
全文下载次数: 535
中文摘要:
      当前,静态污点分析检测Android应用隐私泄露存在误报率较高的问题,这给检测人员和用户带来很大不便.针对这一问题,本文提出了一种多源绑定发生的污点分析技术.该技术可以精确地判断污点分析结果中多组源是否可以在一次执行中绑定发生,用户可以从单一分析一条结果转为分析有关联的多组结果,这既缩小了分析范围,又降低了检测的误报率.在精度上,该技术支持上下文敏感、流敏感、域敏感等特性并且可以有效地区分出分支互斥的情况.在效率上,本文提供了一种高效的实现方法,可以将高复杂度(指数级别)的分析降低为与传统方法时间相近的分析(初始阶段开销为19.7%,进一步的多源分析平均时间为0.3秒).基于此,本文实现了一个原型系统MultiFlow,利用其对2116个良性手机软件和2089个恶意手机软件进行应用,应用结果表明多源污点分析技术可以有效地降低隐私泄露检测的误报率(减少多源对41.1%).同时,我们还提出一种污点分析结果风险评级标准,评级标准可以进一步帮助用户提高隐私泄露检测的效率.最后我们探讨了该技术潜在的应用场景.
英文摘要:
      Currently, the results of static taint analysis can't explain whether the application has privacy leaks directly(high false positives), which causes inconvenience to the detectors or users. Aiming at this problem, this paper puts forward a new technique-multi-source binding taint analysis, which can determine whether multiple sets of sources occur in one execution precisely and efficiently. In terms of precision, the technique supports context sensitivity, flow sensitivity, field sensitivity and can precisely distinguish exclusive branches. In terms of efficiency, we provide an efficient implementation method that reduces high complexity (exponential level) to an analysis close to traditional method(initial overhead is 19.7%, further multi-analysis stage time is 0.3s). We implement a prototype called MultiFlow, and apply it to 2116 benign apps and 2089 malicious apps. Such results support the feasibility of multi-source technique for precision enhancement of privacy leak detection(reducing multi-source pairs by 41.1%). Also, we use this characteristics as a risk rank standard of the apps to improve detection convenience. Finally, we explore the potential application scenarios of the technology.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利