基于完全虛擬化的安全監(jiān)控技術研究.pdf

1、隨著計算機技術的快速發(fā)展，安全問題也漸漸突顯出來。傳統的安全監(jiān)控工具存在一個致使的缺點，即安全監(jiān)控工具布署在被監(jiān)控系統內部，如果惡意程序的權限高于它，那么惡意程序就能夠繞過甚至破壞監(jiān)控工具。虛擬化技術的出現，不僅改變了傳統計算機的體系結構，同時虛擬化技術的隔離性和資源共享特性也給安全監(jiān)控帶來了新的思路。
　　 內核態(tài)Rootkit是虛擬機系統中一種非常常見的安全威脅，它通常以內核可加載模塊為載體，篡改內核代碼和數據，感染應用進程

2、，據此本文提出了一個基于完全虛擬化技術的安全監(jiān)控架構，分別從內核、內核可加載模塊和應用進程三個方面對虛擬機系統進行監(jiān)控;以intelVT-x技術為基礎，在開源的虛擬化平臺KVM中實現了一個基于完全虛擬化技術的安全監(jiān)控原型系統。通過該原型系統，運行在真實物理機器上的宿主機能夠對運行在該宿主機上的多個虛擬機進行監(jiān)控。本文的主要工作有:
　　 1)研究了虛擬機內視技術，并根據該技術對虛擬機系統的底層信息（如CPU、內存頁面）進行重構，

3、得到高層次的信息（如內核關鍵數據、進程），以方便獲取虛擬機系統中發(fā)生的事件。
　　 2)研究了內存保護與訪問控制方法，對內核代碼和數據進行完整性保護:內存保護技術設置內核代碼所在內存頁面為只讀，攔截所有內核數據訪問行為，并根據訪問控制技術確定該訪問是否合法。
　　 3)設計了一種基于交叉視圖的方法，用于檢測隱藏在內核中的可加載模塊:對目標虛擬機系統中的內核可加載模塊構建出兩張視圖，分別是虛擬機監(jiān)控器層次的可信視圖和虛擬機

4、層次的不可信視圖。通過視圖的交叉對比，就能夠將隱藏的內核可加載模塊檢測出來。
　　 4)研究了系統調用函數狀態(tài)機模型，將其用于虛擬化環(huán)境下的惡意進程檢測:通過對正常進程中的系統調用相關函數進行抽取，訓練得到系統調用函數狀態(tài)機，在測試階段，檢驗被測進程的系統調用相關函數是否落在已經建立的狀態(tài)機內，從而確定是否有入侵行為。
　　 最后對每個模塊進行了功能驗證，并分析了整體架構給虛擬機帶來的性能影響。實驗證明，本文提出的基于完