内容安排

本书共9章，从结构上可分为3个部分。

第1部分是对隐私泄露案例与现状的分析，由第1章构成。

第1章首先介绍了广义的隐私定义和分类以及存在于信息系统中的隐私数据，并对这些隐私数据泄露的途径进行了分析。然后，对近年来产生重大影响的隐私数据泄露事件进行了回顾和分析。其中“棱镜计划”隐私数据泄露事件暴露了美国直接利用九大美国顶级互联网公司的中央服务器收集用户主机上和网络传输中的各种数据。人们存在于主机和网络上的各种数据和信息都可能成为隐私窃取的对象。搜狗浏览器隐私数据泄露事件说明，在用户主机上的正常软件有可能将用户对该软件的使用情况及操作内容在用户不知情的情况下进行回传，从而造成隐私数据的泄露。奇虎360公司的软件隐私数据泄露事件表明，一些软件依托一些“正常”软件功能，可能会收集用户的数据和使用情况。索尼用户隐私数据泄露事件中索尼公司对其自身提供的云平台，缺乏足够的安全认识，致使系统存在的漏洞轻易地就被人利用，导致用户租用其计算资源以后，能为所欲为，却无法进行跟踪调查。在本章的最后讨论了当前主要的隐私泄露分析技术，并对其中的技术特点、优势和存在的问题进行了系统的分析和比较，指出了本书将要重点解决的3方面问题。

第2部分重点介绍模型与分析方法，主要包括第2~6章。

第2章介绍了Petri网、高级Petri网、随机高级Petri网和着色Petri网等模型的基础知识。Petri网是信息处理系统描述和建模的有力的数学工具之一，主要特性包括：并行、不确定性、异步以及分布描述能力和分析能力。Petri网元素的模型含义：位置描述系统的局部状态（条件或状况），变迁描述系统状态的事件，弧规定状态和事件之间的关系，标记用于表示对象实体。变迁实施规则和标记的流动模拟系统的动态和活动行为。Petri网模型的主要分析方法依赖于：可达图、关联矩阵、状态方程和不变量。

第2章还讨论了HLPN及其演化过程：它们的提出和发展是随着解决同构MC状态空间的化简以及HLPN可达树的直接化简问题而展开的。最终目的是简化HLPN系统性能模型求解的复杂性。在HLPN的基础上，引入指数分布的变迁实施时间的随机变量，虽然其描述模型的能力有所增加，但其MC的状态空间与相同模型的SPN的MC状态空间一样大，解决模型的性能评价能力并未提高。在HLPN中引入复合标识的操作可以同构于MC的状态合并操作而简化状态空间，从而得到具有复合标识的SHLPN。这种SHLPN不但描述模型的能力较强，而且求解模型的性能评价能力也有了显著提高，但是，求解其标识空间的复杂性问题并未得到解决。最后，本章介绍了着色Petri网的基本概念、图形表示和构造方法。本章内容为隐私Petri网模型和分析方法提供了基础知识。

第3章介绍了隐私Petri网（privacy Petri net，PPN）的概念和建模方法。作为全书的模型理论基础，PPN是一种具有严格的形式化定义、直观的图形化表示、模块化的建模方法，并具有可计算能力的模型。本章详细介绍了PPN用以刻画隐私泄露软件行为的基本元素，描述了基于模块的建模方法，给出了主要的计算方法，包括分析行为结果的相关算法和进行判定的相关定理。最后给出了实验测试环境，介绍了其基本框架、主要组件和完整的工作流程。本书的分析方法均以PPN模型为基础而展开。

第4章首先对于隐私泄露型恶意软件构建判决PPN模型，对于待检测的软件进行定性判别，给出隐私泄露软件行为的类型、内容、过程和去向等，提高了分析和检测的正确率；而对于应用程序给出了覆盖隐私泄露行为各方面特性的量化分析，包括可能性、严重性、操纵性、隐秘性及整体泄露度等，提供了多角度、可比较的指标体系。在此基础上，进一步对隐私泄露型恶意软件和应用软件进行了实际分析，给出了相应的用例分析结果和分类分析结果，针对实验结果中发现的有价值的信息进行了讨论。最后，将PPN和已有的一些工作，包括主流的研究工作和商用软件进行了对比。

为了减少被杀毒软件检测和发现的机会，持久不断地对于目标主机实施恶意行为，很多隐私泄露软件采用多种多进程相互配合的技术。第5章针对接力模式、主从模式和互备模式等主流的多进程协作技术进行了建模和分析。对于3种模式的多进程协作行为，分别构建了PPN模型，给出了相关算法，并且在实际软件样本集上进行了用例分析和分类分析，实验结果表明，该方法对于不同类型软件的多进程协作行为都能够保持较高的检测率，此外还得出了多进程协作隐私泄露行为的其他一些有价值的相关特性，并有针对性地进行了讨论。

第6章对于隐私泄露软件的另外一个重要特点——隐秘性进行了深度分析。隐私泄露软件有一个重要的共同点就是为了尽可能多地收集数据，要“努力”避免被安全软件或者用户发现。隐私泄露软件高隐秘性行为主要分为伪装模式、隐藏模式和变形模式3类。本章通过构建带有新元素的PPN模型，分别分析了采用伪装模式、隐藏模式和变形模式技术的隐私泄露软件的行为，并给出了实际软件的用例分析以及与已有安全软件的功能性对比。

第3部分介绍了软件行为跟踪与分析的相关工具。主要包括第7~9章。

第7章选取当前比较典型的监控、分析、记录软件行为的平台或工具加以介绍，如Norman Sandbox，GFI Sandbox，Ether等。各类软件行为类分析平台或工具，虽然所使用的展现形式和功能结构各有不同，但其基本的工作原理都是监视和记录实验环境中待分析的目标程序在系统中运行时自身和操作系统的一些相关动作，并加以关联分析，以达到理解其语义行为的目的。这一基本思路在实际分析中得到了不错的应用效果，但却普遍存在两方面的问题：一是“囫囵吞枣”，对于各类恶意软件一视同仁，只是简单地将分析结果进行分类展示，缺少对于各种目的不同的恶意软件的针对性分析，比如隐私泄露行为等；二是“管中窥豹”，局限于细粒度的程序行为分析，严重缺少上升到语义级别的行为模型和综合行为分析，因此成为分析能力难以突破的瓶颈。

第8章介绍了基于PPN模型的软件隐私泄露行为原型系统的设计思路和实现方法。本章将基本的定量与定性分析方法、针对多进程协作和高隐秘性行为的深度分析方法三者结合，得到了针对隐私泄露行为分析的完整实验原型系统。该系统的基本架构包括软件行为数据采集模块、PPN模型库模块、泄露行为分析引擎模块、输入输出参数管理模块等主要部件。主要的工作流程包括模型元素构建、输入参数配置、原始数据采集、基本操作模拟、规则定理校验、输出结果计算等。最后给出了应用该系统对于前述的软件样本的用例分析，以说明实际分析的具体流程。该系统能够获得较为准确和全面的分析结果，为隐私泄露软件行为分析的实际应用提供了有力工具。

第9章通过PPNT对于实际软件的分析结果，帮助人们了解隐私泄露行为的本质，即目标软件的行为实际形成了从隐私数据出发的数据流，经过层层转发，最终泄露到攻击者手中。主要的隐私泄露行为包括三大类别：一是针对敏感文件数据的隐私泄露行为，二是针对网络访问动态生成数据的隐私泄露行为，三是针对用户使用软件长期形成的习惯数据的隐私泄露行为。这些数据涵盖了用户在日常使用过程中几乎所有方面的内容，因此可以说是防不胜防，而且攻击者在这个过程中，还会采用各种各样的多进程协作技术以及高隐秘性技术，对于软件隐私泄露行为进行伪装、隐藏和改造，以阻止软件的隐私泄露行为被发现。因此，对于隐私泄露行为，必须要有PPNT这类的专业工具来进行全面、细致、深入的分析。

本书特点与读者对象

本书具有以下鲜明的特色。

（1）完整性：本书内容丰富全面，结构合理，体系完整，从隐私数据泄露行为的问题分析入手，介绍了有针对性的经典基础理论，融合了作者近年提出的隐私Petri网模型理论方面的最新研究成果和研发的分析工具。并将模型方法和分析工具应用于具体的隐私数据泄露的典型应用案例之中，层层深入。

（2）学术性：本书具有一定的理论高度和学术价值，书中绝大部分内容取材于作者近期在国际重要学术期刊和会议上发表的论文，全面展示了隐私Petri网模型分析与评价方面最新的科研成果，具有一定的学术参考价值。

（3）开放性：本书对一些领域内的研究热点和发展趋势作了系统的分析和详细的介绍，提出了很多重要的、亟待解决的科学问题，可为研究人员的选题提供有益的参考。

据此，本书适合我国计算机网络安全领域的教学、科研工作和工程应用参考。既可供计算机、通信、电子、信息等相关专业的教师、研究生和大学高年级学生作为教材或教学参考书，也可供隐私保护、数据挖掘、软件行为分析和网络安全等方面的研究人员和工程技术人员使用。

致谢

作者的研究工作得到了国家自然科学基金项目（60803123，61173008，61232010）和国家重点基础研究发展计划（“973”计划，2014CB340400）项目等的资助，在此表示深深的谢意！

由于作者水平所限，加之基于模型的隐私数据泄露行为建模与分析技术的研究仍处于不断发展和变化之中，书中错误和不足之处在所难免，恳请读者予以指正。

作者

2014年9月

第1章隐私泄露案例与现状分析

1.1概述

1.2隐私

1.2.1定义和分类

1.2.2隐私数据

1.2.3隐私数据泄露途径

1.3隐私数据泄露案例

1.3.1“棱镜计划”隐私数据泄露事件

1.3.2搜狗浏览器隐私数据泄露事件

1.3.3360软件隐私数据泄露事件

1.3.4索尼用户隐私数据泄露事件

1.4隐私泄露分析技术

1.4.1隐私数据泄露实体——行为分析技术

1.4.2隐私泄露的形式化分析方法

1.4.3已有技术手段分析

1.5本章小结

参考文献

第2章Petri网基础

2.1Petri网概述

2.1.1Petri网发展概述

2.1.2Petri网模型

2.1.3Petri网的基本概念

2.1.4位置/变迁(P/T)系统

2.1.5高级Petri网(HLPN)系统

2.2随机Petri网（SPN）

2.2.1随机Petri网的基本概念

2.2.2随机Petri网的模型分析

2.2.3随机高级Petri网（SHLPN）

2.3着色Petri网（CPN）

2.3.1着色Petri网的基本概念

2.3.2着色Petri网的图形表示

2.3.3着色Petri网的构造方法

2.4本章小结

参考文献

第3章隐私Petri网

3.1概述

3.2基本元素

3.2.1定义

3.2.2操作

3.3建模方法

3.3.1基本模块

3.3.2全局建模

3.4模型计算方法

3.4.1判定定理

3.4.2计算规则

3.4.3相关算法

3.5实验测试环境

3.5.1基本框架

3.5.2组件介绍

3.5.3工作流程

3.6本章小结

参考文献

第4章基于PPN的隐私泄露软件行为分析

4.1概述

4.2隐私泄露软件行为分析方法体系

4.3定性分析

4.3.1隐私泄露行为的类型

4.3.2隐私泄露行为的过程

4.3.3隐私泄露行为所泄露的数据内容

4.3.4隐私泄露行为所泄露的数据去向

4.4定量分析

4.4.1可能性

4.4.2严重性

4.4.3操纵性

4.4.4隐秘性

4.4.5指标间相互关系

4.4.6整体泄露度及相关算法

4.5隐私泄露恶意软件的定性分析实例

4.5.1实验设置

4.5.2用例分析

4.5.3分类分析

4.6隐私泄露应用软件的定量分析实例

4.6.1实验设置

4.6.2用例分析

4.6.3分类分析

4.7本章小结

参考文献

第5章基于PPN的隐私泄露软件多进程协作行为的分析方法

5.1多进程协作行为

5.1.1接力模式

5.1.2主从模式

5.1.3互备模式

5.2建模方法

5.2.1接力模式的PPN模型

5.2.2主从模式的PPN模型

5.2.3互备模式的PPN模型

5.3相关算法

5.4分析实例

5.4.1接力模式用例

5.4.2主从模式用例

5.4.3互备模式用例

5.5分类分析

5.6本章小结

参考文献

第6章基于PPN的隐私泄露软件高隐秘性行为的深度分析方法

6.1高隐秘性行为

6.1.1伪装模式

6.1.2隐藏模式

6.1.3变形模式

6.2建模方法

6.2.1伪装模式的PPN模型

6.2.2隐藏模式的PPN模型

6.2.3变形模式的PPN模型

6.3相关算法

6.4分析实例

6.5本章小结

第7章隐私泄露分析工具

7.1概述

7.1.1环境搭建

7.1.2工具选取与安装

7.1.3数据采集与分析

7.2Anubis

7.2.1工作原理

7.2.2分析结果

7.2.3软件评述

7.3ZeroWine

7.3.1工作原理

7.3.2分析结果

7.3.3软件评述

7.4ThreatExpert

7.4.1工作原理

7.4.2分析结果

7.4.3软件评述

7.5BitBlaze

7.5.1工作原理

7.5.2分析结果

7.5.3软件评述

7.6本章小结

参考文献

第8章PPNT——隐私数据泄露行为分析工具

8.1工具架构

8.1.1输入参数管理模块

8.1.2PPN模型库模块

8.1.3软件行为数据采集模块

8.1.4泄露行为分析引擎模块

8.1.5输出结果综合展示模块

8.2分析流程

8.2.1模型元素构建

8.2.2输入参数配置

8.2.3原始数据采集

8.2.4基本操作模拟

8.2.5规则定理校验

8.2.6输出结果计算

8.3使用实例

8.4本章小结

参考文献

第9章应用案例分析

9.1敏感文件型隐私信息泄露行为分析

9.1.1背景介绍

9.1.2案例分析

9.2网络访问中动态隐私数据泄露行为分析

9.2.1背景介绍

9.2.2案例分析

9.3长期使用中采集用户行为习惯导致身份隐私泄露行为分析

9.3.1背景介绍

9.3.2案例分析

9.4本章小结