基于完全虛擬化的安全監(jiān)控技術(shù)研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，安全問(wèn)題也漸漸突顯出來(lái)。傳統(tǒng)的安全監(jiān)控工具存在一個(gè)致使的缺點(diǎn)，即安全監(jiān)控工具布署在被監(jiān)控系統(tǒng)內(nèi)部，如果惡意程序的權(quán)限高于它，那么惡意程序就能夠繞過(guò)甚至破壞監(jiān)控工具。虛擬化技術(shù)的出現(xiàn)，不僅改變了傳統(tǒng)計(jì)算機(jī)的體系結(jié)構(gòu)，同時(shí)虛擬化技術(shù)的隔離性和資源共享特性也給安全監(jiān)控帶來(lái)了新的思路。
　　 內(nèi)核態(tài)Rootkit是虛擬機(jī)系統(tǒng)中一種非常常見(jiàn)的安全威脅，它通常以?xún)?nèi)核可加載模塊為載體，篡改內(nèi)核代碼和數(shù)據(jù)，感染應(yīng)用進(jìn)程

2、，據(jù)此本文提出了一個(gè)基于完全虛擬化技術(shù)的安全監(jiān)控架構(gòu)，分別從內(nèi)核、內(nèi)核可加載模塊和應(yīng)用進(jìn)程三個(gè)方面對(duì)虛擬機(jī)系統(tǒng)進(jìn)行監(jiān)控;以intelVT-x技術(shù)為基礎(chǔ)，在開(kāi)源的虛擬化平臺(tái)KVM中實(shí)現(xiàn)了一個(gè)基于完全虛擬化技術(shù)的安全監(jiān)控原型系統(tǒng)。通過(guò)該原型系統(tǒng)，運(yùn)行在真實(shí)物理機(jī)器上的宿主機(jī)能夠?qū)\(yùn)行在該宿主機(jī)上的多個(gè)虛擬機(jī)進(jìn)行監(jiān)控。本文的主要工作有:
　　 1)研究了虛擬機(jī)內(nèi)視技術(shù)，并根據(jù)該技術(shù)對(duì)虛擬機(jī)系統(tǒng)的底層信息（如CPU、內(nèi)存頁(yè)面）進(jìn)行重構(gòu)，

3、得到高層次的信息（如內(nèi)核關(guān)鍵數(shù)據(jù)、進(jìn)程），以方便獲取虛擬機(jī)系統(tǒng)中發(fā)生的事件。
　　 2)研究了內(nèi)存保護(hù)與訪問(wèn)控制方法，對(duì)內(nèi)核代碼和數(shù)據(jù)進(jìn)行完整性保護(hù):內(nèi)存保護(hù)技術(shù)設(shè)置內(nèi)核代碼所在內(nèi)存頁(yè)面為只讀，攔截所有內(nèi)核數(shù)據(jù)訪問(wèn)行為，并根據(jù)訪問(wèn)控制技術(shù)確定該訪問(wèn)是否合法。
　　 3)設(shè)計(jì)了一種基于交叉視圖的方法，用于檢測(cè)隱藏在內(nèi)核中的可加載模塊:對(duì)目標(biāo)虛擬機(jī)系統(tǒng)中的內(nèi)核可加載模塊構(gòu)建出兩張視圖，分別是虛擬機(jī)監(jiān)控器層次的可信視圖和虛擬機(jī)

4、層次的不可信視圖。通過(guò)視圖的交叉對(duì)比，就能夠?qū)㈦[藏的內(nèi)核可加載模塊檢測(cè)出來(lái)。
　　 4)研究了系統(tǒng)調(diào)用函數(shù)狀態(tài)機(jī)模型，將其用于虛擬化環(huán)境下的惡意進(jìn)程檢測(cè):通過(guò)對(duì)正常進(jìn)程中的系統(tǒng)調(diào)用相關(guān)函數(shù)進(jìn)行抽取，訓(xùn)練得到系統(tǒng)調(diào)用函數(shù)狀態(tài)機(jī)，在測(cè)試階段，檢驗(yàn)被測(cè)進(jìn)程的系統(tǒng)調(diào)用相關(guān)函數(shù)是否落在已經(jīng)建立的狀態(tài)機(jī)內(nèi)，從而確定是否有入侵行為。
　　 最后對(duì)每個(gè)模塊進(jìn)行了功能驗(yàn)證，并分析了整體架構(gòu)給虛擬機(jī)帶來(lái)的性能影響。實(shí)驗(yàn)證明，本文提出的基于完