隱私數據泄露行為分析 ——模型、工具與案例

本書以作者近年來在用户隱私數據泄露行為的模型與分析方法方面的研究工作為基礎，介紹了隱私泄露軟件行為的定性與定量相結合的分析方法，探討了針對接力模式、主從模式和互備模式等主流的多進程協作數據竊取行為，以及採用偽裝模式、隱藏模式和變形模式等隱藏行為的建模與分析方法；還介紹了軟件行為跟蹤與分析的相關工具，重點介紹了基於隱私Petri網的隱私泄露分析工具——PPNT，並給出了實際應用案例。

本書適合作為高校計算機、通信、電子、信息等相關專業的教材或教學參考書，也可供隱私保護、數據挖掘、軟件行為分析和網絡安全等方面的研究人員和工程技術人員閲讀參考。

背景

隨着信息網絡和基於信息網絡的各種應用的不斷髮展和普及，大量的個人隱私數據存在於網絡空間。隱私泄露事件不斷髮生，泄露的內容五花八門，包括個人終端文件、個人身份信息、網絡訪問習慣、興趣愛好乃至郵件內容等，隱私泄露問題已成為人們廣泛關注的焦點。隱私數據泄露不僅會影響到個人利益，甚至已經威脅到國家的網絡空間安全。

隱私數據的來源主要包括：主機設備（如個人終端設備、服務器等）以及網絡空間。其主要的獲取手段除了通常的惡意軟件、網絡數據包截獲外，還包括通過應用軟件對用户行為信息的採集等。近年來，國內外數據隱私泄露事件頻發，令人觸目驚心。2010年，奇虎360公司和騰訊公司之間就曾爆發了著名的“3Q”大戰。兩家公司相互指責對方的軟件泄露了用户的隱私，繼而引發了中國互聯網歷史上第一次因為隱私泄露問題而波及近八成網民的重大事件。此後涉及隱私泄露的事件層出不窮，2010年，谷歌街景圖片侵犯個人隱私事件；2011年，發生的CSDN用户賬號密碼泄露事件。據美國媒體報道，2013年3月11日，美國18位政要和名流的隱私信息被黑客在網絡上曝光，試想這些隱私信息如果涉及國家安全和政府機密，造成的後果將不堪設想。據媒體調查顯示，55.8%的受訪者認為“保護個人隱私越來越難”，29.3%的受訪者認為“個人信息被隨意公開泄露”。

另一方面，美國等國家也一直在採用各種手段監視和採集用户的隱私數據。2013年爆發的斯諾登事件，使人們對大規模元數據採集後的元數據的價值與地位有了全新理解，對元數據所涉及的個人隱私等問題也有了全新的認識與定位。沒有規範的數據採集法律法規和有效的數據隱私泄露行為的分析技術，就難以保障用户隱私數據不被竊取和非法使用。從長遠看，網絡空間隱私保護治理是一個趨勢，網絡安全國際合作也是必然。如此眾多的實例表明，隱私泄露問題極大地影響了人們正常的網絡生活，對於互聯網的健康發展極為不利，已成為亟待解決的互聯網安全問題，對隱私泄露問題的分析和研究已成為具有重要意義的研究方向。

作者在用户隱私數據泄露行為的模型與分析方法方面進行了一系列深入而系統的研究工作，本書主要以針對隱私泄露行為分析的隱私Petri網模型方法為基礎，介紹了隱私泄露軟件行為的定性與定量相結合的分析方法，並深入地探討了針對接力模式、主從模式和互備模式等主流的多進程協作數據竊取行為和採用偽裝模式、隱藏模式和變形模式等隱藏行為的建模與分析方法。另外，還介紹了隱私數據泄露行為的分析工具，重點介紹了基於隱私Petri網的隱私泄露分析工具——PPNT。本書絕大部分內容取材於作者近期在國際重要學術期刊和會議發表的論文，全面、系統地展示了很多新的研究成果和進展。

內容安排

本書共9章，從結構上可分為3個部分。

第1部分是對隱私泄露案例與現狀的分析，由第1章構成。

第1章首先介紹了廣義的隱私定義和分類以及存在於信息系統中的隱私數據，並對這些隱私數據泄露的途徑進行了分析。然後，對近年來產生重大影響的隱私數據泄露事件進行了回顧和分析。其中“稜鏡計劃”隱私數據泄露事件暴露了美國直接利用九大美國頂級互聯網公司的中央服務器收集用户主機上和網絡傳輸中的各種數據。人們存在於主機和網絡上的各種數據和信息都可能成為隱私竊取的對象。搜狗瀏覽器隱私數據泄露事件説明，在用户主機上的正常軟件有可能將用户對該軟件的使用情況及操作內容在用户不知情的情況下進行回傳，從而造成隱私數據的泄露。奇虎360公司的軟件隱私數據泄露事件表明，一些軟件依託一些“正常”軟件功能，可能會收集用户的數據和使用情況。索尼用户隱私數據泄露事件中索尼公司對其自身提供的雲平台，缺乏足夠的安全認識，致使系統存在的漏洞輕易地就被人利用，導致用户租用其計算資源以後，能為所欲為，卻無法進行跟蹤調查。在本章的最後討論了當前主要的隱私泄露分析技術，並對其中的技術特點、優勢和存在的問題進行了系統的分析和比較，指出了本書將要重點解決的3方面問題。

第2部分重點介紹模型與分析方法，主要包括第2~6章。

第2章介紹了Petri網、高級Petri網、隨機高級Petri網和着色Petri網等模型的基礎知識。Petri網是信息處理系統描述和建模的有力的數學工具之一，主要特性包括：並行、不確定性、異步以及分佈描述能力和分析能力。Petri網元素的模型含義：位置描述系統的局部狀態（條件或狀況），變遷描述系統狀態的事件，弧規定狀態和事件之間的關係，標記用於表示對象實體。變遷實施規則和標記的流動模擬系統的動態和活動行為。Petri網模型的主要分析方法依賴於：可達圖、關聯矩陣、狀態方程和不變量。

第2章還討論了HLPN及其演化過程：它們的提出和發展是隨着解決同構MC狀態空間的化簡以及HLPN可達樹的直接化簡問題而展開的。最終目的是簡化HLPN系統性能模型求解的複雜性。在HLPN的基礎上，引入指數分佈的變遷實施時間的隨機變量，雖然其描述模型的能力有所增加，但其MC的狀態空間與相同模型的SPN的MC狀態空間一樣大，解決模型的性能評價能力並未提高。在HLPN中引入複合標識的操作可以同構於MC的狀態合併操作而簡化狀態空間，從而得到具有複合標識的SHLPN。這種SHLPN不但描述模型的能力較強，而且求解模型的性能評價能力也有了顯著提高，但是，求解其標識空間的複雜性問題並未得到解決。最後，本章介紹了着色Petri網的基本概念、圖形表示和構造方法。本章內容為隱私Petri網模型和分析方法提供了基礎知識。

第3章介紹了隱私Petri網（privacy Petri net，PPN）的概念和建模方法。作為全書的模型理論基礎，PPN是一種具有嚴格的形式化定義、直觀的圖形化表示、模塊化的建模方法，並具有可計算能力的模型。本章詳細介紹了PPN用以刻畫隱私泄露軟件行為的基本元素，描述了基於模塊的建模方法，給出了主要的計算方法，包括分析行為結果的相關算法和進行判定的相關定理。最後給出了實驗測試環境，介紹了其基本框架、主要組件和完整的工作流程。本書的分析方法均以PPN模型為基礎而展開。

第4章首先對於隱私泄露型惡意軟件構建判決PPN模型，對於待檢測的軟件進行定性判別，給出隱私泄露軟件行為的類型、內容、過程和去向等，提高了分析和檢測的正確率；而對於應用程序給出了覆蓋隱私泄露行為各方面特性的量化分析，包括可能性、嚴重性、操縱性、隱秘性及整體泄露度等，提供了多角度、可比較的指標體系。在此基礎上，進一步對隱私泄露型惡意軟件和應用軟件進行了實際分析，給出了相應的用例分析結果和分類分析結果，針對實驗結果中發現的有價值的信息進行了討論。最後，將PPN和已有的一些工作，包括主流的研究工作和商用軟件進行了對比。

為了減少被殺毒軟件檢測和發現的機會，持久不斷地對於目標主機實施惡意行為，很多隱私泄露軟件採用多種多進程相互配合的技術。第5章針對接力模式、主從模式和互備模式等主流的多進程協作技術進行了建模和分析。對於3種模式的多進程協作行為，分別構建了PPN模型，給出了相關算法，並且在實際軟件樣本集上進行了用例分析和分類分析，實驗結果表明，該方法對於不同類型軟件的多進程協作行為都能夠保持較高的檢測率，此外還得出了多進程協作隱私泄露行為的其他一些有價值的相關特性，並有針對性地進行了討論。

第6章對於隱私泄露軟件的另外一個重要特點——隱秘性進行了深度分析。隱私泄露軟件有一個重要的共同點就是為了儘可能多地收集數據，要“努力”避免被安全軟件或者用户發現。隱私泄露軟件高隱秘性行為主要分為偽裝模式、隱藏模式和變形模式3類。本章通過構建帶有新元素的PPN模型，分別分析了採用偽裝模式、隱藏模式和變形模式技術的隱私泄露軟件的行為，並給出了實際軟件的用例分析以及與已有安全軟件的功能性對比。

第3部分介紹了軟件行為跟蹤與分析的相關工具。主要包括第7~9章。

第7章選取當前比較典型的監控、分析、記錄軟件行為的平台或工具加以介紹，如Norman Sandbox，GFI Sandbox，Ether等。各類軟件行為類分析平台或工具，雖然所使用的展現形式和功能結構各有不同，但其基本的工作原理都是監視和記錄實驗環境中待分析的目標程序在系統中運行時自身和操作系統的一些相關動作，並加以關聯分析，以達到理解其語義行為的目的。這一基本思路在實際分析中得到了不錯的應用效果，但卻普遍存在兩方面的問題：一是“囫圇吞棗”，對於各類惡意軟件一視同仁，只是簡單地將分析結果進行分類展示，缺少對於各種目的不同的惡意軟件的針對性分析，比如隱私泄露行為等；二是“管中窺豹”，侷限於細粒度的程序行為分析，嚴重缺少上升到語義級別的行為模型和綜合行為分析，因此成為分析能力難以突破的瓶頸。

第8章介紹了基於PPN模型的軟件隱私泄露行為原型系統的設計思路和實現方法。本章將基本的定量與定性分析方法、針對多進程協作和高隱秘性行為的深度分析方法三者結合，得到了針對隱私泄露行為分析的完整實驗原型系統。該系統的基本架構包括軟件行為數據採集模塊、PPN模型庫模塊、泄露行為分析引擎模塊、輸入輸出參數管理模塊等主要部件。主要的工作流程包括模型元素構建、輸入參數配置、原始數據採集、基本操作模擬、規則定理校驗、輸出結果計算等。最後給出了應用該系統對於前述的軟件樣本的用例分析，以説明實際分析的具體流程。該系統能夠獲得較為準確和全面的分析結果，為隱私泄露軟件行為分析的實際應用提供了有力工具。

第9章通過PPNT對於實際軟件的分析結果，幫助人們瞭解隱私泄露行為的本質，即目標軟件的行為實際形成了從隱私數據出發的數據流，經過層層轉發，最終泄露到攻擊者手中。主要的隱私泄露行為包括三大類別：一是針對敏感文件數據的隱私泄露行為，二是針對網絡訪問動態生成數據的隱私泄露行為，三是針對用户使用軟件長期形成的習慣數據的隱私泄露行為。這些數據涵蓋了用户在日常使用過程中幾乎所有方面的內容，因此可以説是防不勝防，而且攻擊者在這個過程中，還會採用各種各樣的多進程協作技術以及高隱秘性技術，對於軟件隱私泄露行為進行偽裝、隱藏和改造，以阻止軟件的隱私泄露行為被發現。因此，對於隱私泄露行為，必須要有PPNT這類的專業工具來進行全面、細緻、深入的分析。

本書特點與讀者對象

本書具有以下鮮明的特色。

（1）完整性：本書內容豐富全面，結構合理，體系完整，從隱私數據泄露行為的問題分析入手，介紹了有針對性的經典基礎理論，融合了作者近年提出的隱私Petri網模型理論方面的最新研究成果和研發的分析工具。並將模型方法和分析工具應用於具體的隱私數據泄露的典型應用案例之中，層層深入。

（2）學術性：本書具有一定的理論高度和學術價值，書中絕大部分內容取材於作者近期在國際重要學術期刊和會議上發表的論文，全面展示了隱私Petri網模型分析與評價方面最新的科研成果，具有一定的學術參考價值。

（3）開放性：本書對一些領域內的研究熱點和發展趨勢作了系統的分析和詳細的介紹，提出了很多重要的、亟待解決的科學問題，可為研究人員的選題提供有益的參考。

據此，本書適合我國計算機網絡安全領域的教學、科研工作和工程應用參考。既可供計算機、通信、電子、信息等相關專業的教師、研究生和大學高年級學生作為教材或教學參考書，也可供隱私保護、數據挖掘、軟件行為分析和網絡安全等方面的研究人員和工程技術人員使用。

致謝

作者的研究工作得到了國家自然科學基金項目（60803123，61173008，61232010）和國家重點基礎研究發展計劃（“973”計劃，2014CB340400）項目等的資助，在此表示深深的謝意！

由於作者水平所限，加之基於模型的隱私數據泄露行為建模與分析技術的研究仍處於不斷髮展和變化之中，書中錯誤和不足之處在所難免，懇請讀者予以指正。

作者

2014年9月

第1章隱私泄露案例與現狀分析

1.1概述

1.2隱私

1.2.1定義和分類

1.2.2隱私數據

1.2.3隱私數據泄露途徑

1.3隱私數據泄露案例

1.3.1“稜鏡計劃”隱私數據泄露事件

1.3.2搜狗瀏覽器隱私數據泄露事件

1.3.3360軟件隱私數據泄露事件

1.3.4索尼用户隱私數據泄露事件

1.4隱私泄露分析技術

1.4.1隱私數據泄露實體——行為分析技術

1.4.2隱私泄露的形式化分析方法

1.4.3已有技術手段分析

1.5本章小結

參考文獻

第2章Petri網基礎

2.1Petri網概述

2.1.1Petri網發展概述

2.1.2Petri網模型

2.1.3Petri網的基本概念

2.1.4位置/變遷(P/T)系統

2.1.5高級Petri網(HLPN)系統

2.2隨機Petri網（SPN）

2.2.1隨機Petri網的基本概念

2.2.2隨機Petri網的模型分析

2.2.3隨機高級Petri網（SHLPN）

2.3着色Petri網（CPN）

2.3.1着色Petri網的基本概念

2.3.2着色Petri網的圖形表示

2.3.3着色Petri網的構造方法

2.4本章小結

參考文獻

第3章隱私Petri網

3.1概述

3.2基本元素

3.2.1定義

3.2.2操作

3.3建模方法

3.3.1基本模塊

3.3.2全局建模

3.4模型計算方法

3.4.1判定定理

3.4.2計算規則

3.4.3相關算法

3.5實驗測試環境

3.5.1基本框架

3.5.2組件介紹

3.5.3工作流程

3.6本章小結

參考文獻

第4章基於PPN的隱私泄露軟件行為分析

4.1概述

4.2隱私泄露軟件行為分析方法體系

4.3定性分析

4.3.1隱私泄露行為的類型

4.3.2隱私泄露行為的過程

4.3.3隱私泄露行為所泄露的數據內容

4.3.4隱私泄露行為所泄露的數據去向

4.4定量分析

4.4.1可能性

4.4.2嚴重性

4.4.3操縱性

4.4.4隱秘性

4.4.5指標間相互關係

4.4.6整體泄露度及相關算法

4.5隱私泄露惡意軟件的定性分析實例

4.5.1實驗設置

4.5.2用例分析

4.5.3分類分析

4.6隱私泄露應用軟件的定量分析實例

4.6.1實驗設置

4.6.2用例分析

4.6.3分類分析

4.7本章小結

參考文獻

第5章基於PPN的隱私泄露軟件多進程協作行為的分析方法

5.1多進程協作行為

5.1.1接力模式

5.1.2主從模式

5.1.3互備模式

5.2建模方法

5.2.1接力模式的PPN模型

5.2.2主從模式的PPN模型

5.2.3互備模式的PPN模型

5.3相關算法

5.4分析實例

5.4.1接力模式用例

5.4.2主從模式用例

5.4.3互備模式用例

5.5分類分析

5.6本章小結

參考文獻

第6章基於PPN的隱私泄露軟件高隱秘性行為的深度分析方法

6.1高隱秘性行為

6.1.1偽裝模式

6.1.2隱藏模式

6.1.3變形模式

6.2建模方法

6.2.1偽裝模式的PPN模型

6.2.2隱藏模式的PPN模型

6.2.3變形模式的PPN模型

6.3相關算法

6.4分析實例

6.5本章小結

第7章隱私泄露分析工具

7.1概述

7.1.1環境搭建

7.1.2工具選取與安裝

7.1.3數據採集與分析

7.2Anubis

7.2.1工作原理

7.2.2分析結果

7.2.3軟件評述

7.3ZeroWine

7.3.1工作原理

7.3.2分析結果

7.3.3軟件評述

7.4ThreatExpert

7.4.1工作原理

7.4.2分析結果

7.4.3軟件評述

7.5BitBlaze

7.5.1工作原理

7.5.2分析結果

7.5.3軟件評述

7.6本章小結

參考文獻

第8章PPNT——隱私數據泄露行為分析工具

8.1工具架構

8.1.1輸入參數管理模塊

8.1.2PPN模型庫模塊

8.1.3軟件行為數據採集模塊

8.1.4泄露行為分析引擎模塊

8.1.5輸出結果綜合展示模塊

8.2分析流程

8.2.1模型元素構建

8.2.2輸入參數配置

8.2.3原始數據採集

8.2.4基本操作模擬

8.2.5規則定理校驗

8.2.6輸出結果計算

8.3使用實例

8.4本章小結

參考文獻

第9章應用案例分析

9.1敏感文件型隱私信息泄露行為分析

9.1.1背景介紹

9.1.2案例分析

9.2網絡訪問中動態隱私數據泄露行為分析

9.2.1背景介紹

9.2.2案例分析

9.3長期使用中採集用户行為習慣導致身份隱私泄露行為分析

9.3.1背景介紹

9.3.2案例分析

9.4本章小結 ^[1]