[论文解读] A Taxonomy for Attack Patterns on Information Flows in Component-Based Operating Systems
本文提出了一套全面的分类法与代数框架,用于对基于组件的操作系统中信息流的攻击模式进行分类,特别聚焦于多级安全场景。它识别并形式化了非法信息流,包括一种新型隐蔽物理信道,该信道利用隔离分区之间的物理信号,为设计安全系统及对策提供了系统性基础。
We present a taxonomy and an algebra for attack patterns on component-based operating systems. In a multilevel security scenario, where isolation of partitions containing data at different security classifications is the primary security goal and security breaches are mainly defined as undesired disclosure or modification of classified data, strict control of information flows is the ultimate goal. In order to prevent undesired information flows, we provide a classification of information flow types in a component-based operating system and, by this, possible patterns to attack the system. The systematic consideration of informations flows reveals a specific type of operating system covert channel, the covert physical channel, which connects two former isolated partitions by emitting physical signals into the computer's environment and receiving them at another interface.
研究动机与目标
- 系统分析并分类在强制访问控制下的基于组件的操作系统中的非法信息流。
- 识别并形式化绕过纯隔离虚拟机监控器中隔离机制的攻击模式。
- 提出并分析一种新型隐蔽信道——隐蔽物理信道,其基于隔离分区之间的物理信号发射与接收。
- 提供一种可重用的代数模型,用于信息流分析,适用于高可信系统设计。
- 通过将攻击模式映射到特定的信息流漏洞,支持安全基于组件的系统的设计与验证。
提出的方法
- 构建基于图的组件化操作系统模型,包含分区(P)、内核(K)、硬件(H)和攻击者(A),将所有可能的信息流表示为有向边。
- 应用递归遍历算法,通过测试违反隔离策略的路径,系统性地识别所有非法信息流。
- 将信息流分类为合法(内核直接控制)、存储信道、时序信道和隐蔽信道,其中隐蔽信道包括物理信道和基于策略的信道等子类型。
- 引入一种形式化代数以建模信息流,可扩展以包含环境(E)、网络(N)和用户(U)扩展,用于未来建模。
- 将识别出的非法流映射到攻击模式,如侧信道利用、实现缺陷、内部人员攻击以及基于物理信号的隐蔽信道。
- 提出攻击模式的分类法,区分基本形式与扩展形式,重点强调隐蔽物理信道作为新型威胁向量。
实验结果
研究问题
- RQ1在具有纯隔离虚拟机监控器的基于组件的操作系统中,合法与非法信息流的完整集合是什么?
- RQ2如何基于此类系统中信息流机制的底层原理,系统性地对攻击模式进行分类?
- RQ3存在哪些新型隐蔽信道可绕过传统隔离机制,特别是基于物理信号的信道?
- RQ4如何构建并扩展信息流的代数模型,以支持高可信系统的形式化分析?
- RQ5基于物理信号的通信(隐蔽物理信道)对基于组件系统中的多级安全有何影响?
主要发现
- 识别出一种新型隐蔽信道——隐蔽物理信道,可通过光或声波等物理信号在隔离分区之间实现信息交换。
- 递归遍历算法成功识别出从特定分区出发的所有最短非法信息流,支持系统性威胁建模。
- 分类法表明,攻击模式涵盖实现缺陷、策略污染、侧信道攻击和物理攻击,其中隐蔽物理信道是此前被低估的威胁。
- 所提出的代数模型为信息流分析提供了形式化基础,可扩展以包含环境、网络和用户实体。
- 研究表明,隐蔽物理信道是基于组件系统中域隔离的关键威胁,因其利用了参考监视器无法控制的物理层特性。
- 本研究证明,即使在内核经过形式化验证的系统中,仍可能通过物理和侧信道方式产生非预期信息流,因此需要更广泛的威胁建模。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。