Open Access  Subscription Access

現有大多數的惡意程式威脅分析涉及主機安全漏洞分析與發現網路攻擊有關的安全漏洞。近期雲端服務供應商(Cloud service provider，CSP)採用汙點檢驗（Taint checking，TC）作為應用服務上架前之檢測方法，以確保用戶之資訊安全。針對此一議題，本研究提出一以動態污點追踪方法，假設在開放式的行動網路下，隨意選擇惡意程式(汙染源)與系統漏洞(受害端)假設下，以檢測資訊汙染源與特定的手機應用程式及雲端服務漏洞之間的資訊流的污點傳播的行為與範圍。本文針對雲端應用程式提出一個資訊流之動態污點傳播分析模型，其整合加權生成樹(Weighted Spanning Tree)與污染標記(Taint marking)法以解決資安漏洞與動態污點追踪的問題;在測試案例中，以委託的三方開發之Android的應用程式執行汙點檢驗情境，分析手機應用程式、後台雲端服務內部模組與網路汙染源連線之資訊交換與風險。透過概率風險指標客觀評估每一可能的汙染路徑風險，協助防衛者評估惡意程式威脅的汙染範圍和估計造成的損失。經案例之污點路徑分析，所提的動態污點傳播分析模型可協助管理者提升網路安全的威脅分析之正確性。

污點檢驗; 行動安全; 動態汙點傳播; 加權生成樹