17、运行时强制理论：带结果的机制模型

运行时强制理论：带结果的机制模型

1. 引言

运行时强制机制通过监控不可信应用程序，确保它们遵守所需的策略。这些机制也被称为运行时/安全/程序监视器，在操作系统、网页浏览器、垃圾邮件过滤器、入侵检测系统、防火墙、访问控制系统和堆栈检查等场景中广泛应用。然而，尽管它们很受欢迎且有一些对监视器进行形式化建模的初步尝试，但我们仍然缺乏通用的、令人满意的监视器模型，这阻碍了我们开发准确有效的运行时强制理论。

2. 相关工作

• 截断自动机 ：大多数现有模型基于截断自动机，这种自动机只能通过立即停止被监控的应用程序来响应策略违规。虽然这种约束简化了分析，但牺牲了通用性。例如，实际的运行时机制通常需要执行“补救”操作，如在危险事件发生前弹出窗口让用户确认，但截断自动机无法做到这一点。
• 编辑自动机 ：为了解决截断自动机的局限性，提出了编辑自动机。编辑自动机可以通过静默抑制危险动作或插入其他动作来响应危险动作，从而将无效执行转换为有效执行。然而，编辑自动机过于强大，它假设监视器可以在不执行动作的情况下预先确定所有动作的结果，这在实际中是不切实际的。因为许多动作的结果是不可计算、非确定性的，或者监视器无法轻易预测。

3. 贡献

本文提出了一种基于强制结果自动机（MRAs）的运行时强制理论。与编辑自动机不同，MRAs在看到目标应用程序希望执行的下一个动作之前，必须先向其返回一个结果。
- 模型创新 ：MRAs是第一个能够转换动作结果并执行结果清理策略的通用运行时机制模型。