基于虛擬機自省的惡意軟件分析技術研究.pdf

1、云計算是通過網絡提供方便、廉價的計算服務，但其安全問題一直是用戶最關注的。虛擬化作為云計算的支撐性技術，其中的虛擬機本身存在風險，進而危害到整個云計算系統(tǒng)的安全性。本文研究利用虛擬機自省技術對虛擬化環(huán)境中虛擬機惡意軟件進行檢測和監(jiān)控，改善虛擬機安全性能。主要工作包括：
　　首先，提出了一種基于虛擬機自省的惡意軟件分析原型方法。通過解析內核調試文件獲取關鍵數據結構的相對虛擬地址，經過內存虛擬化計算出內核物理基地址，從而得到內核函數在

2、內存中的分布情況。通過斷點注入的方式監(jiān)控每個內核模塊和函數的調用情況。通過監(jiān)控CR3寄存器，捕獲進程發(fā)生上下文切換事件。遍歷該進程所加載的模塊和該模塊內的函數，對需要監(jiān)控的函數注入INT3斷點，虛擬機繼續(xù)執(zhí)行對應的函數時，執(zhí)行流程就會被劫持為自省機制的監(jiān)控流程，從而提取系統(tǒng)調用序列等相關信息。使用n-gram的方法產生聚類特征，將序列數據轉化為特征向量，基于這個特征向量可以計算出不同行為的分析報告之間的相似度，在此基礎上采用聚類分類算法

3、對系統(tǒng)調用序列進行分析。實驗結果驗證了其有效性。
　　其次，提出了一種分離式虛擬機自省模型。該模型的基本思想是將原本運行在特權域的 VMI模塊遷移至用戶域，由一個專門運行 VMI工具的虛擬機執(zhí)行對其他用戶域虛擬機的監(jiān)控工作。從而降低了特權域的可信計算基，降低了被攻擊的可能性和遭受攻擊后的損失。實驗結果表明，該模型同樣可以完成原來虛擬機自省任務，在功能性上沒有減弱，但由于 VMI運行的用戶域虛擬機，相對于特權域的權限較低，所以在執(zhí)行