基于VMM的文件保護關鍵技術研究.pdf

1、在信息安全領域，文件一直是攻防對抗的焦點。近幾年，針對文件的攻擊在數(shù)量上和復雜性上都有所發(fā)展。傳統(tǒng)文件保護方法雖然解決了大部分威脅，但對于通過剪貼板的竊密攻擊防護力度明顯不足。更重要的是，現(xiàn)有文件操作監(jiān)控方法容易被新的攻擊技術破壞或繞過。在新的威脅面前，突破傳統(tǒng)文件保護的局限性，提出功能更強、更可信的文件保護系統(tǒng)具有重大意義。
　　圍繞如何加強文件保護的問題，論文設計了一種基于VMM的文件保護系統(tǒng)，并根據(jù)新形勢下的保護需求制定了一

2、種多級保護策略。針對現(xiàn)有文件操作監(jiān)控方法易被繞過的問題和重要文件內(nèi)容易通過剪貼板泄露的問題，本文分別提出了基于VMM監(jiān)控文件系統(tǒng)和剪貼板的方法。為了測試所提監(jiān)控方法的效果與性能，設計開發(fā)了一個文件操作監(jiān)控原型系統(tǒng)。利用該原型系統(tǒng)對本文改進和提出的監(jiān)控方法進行了測試，測試結果表明課題研究達到了預期設計目標。論文的主要工作包括：
　?。ㄒ唬┰O計一種基于VMM的文件保護系統(tǒng)框架。該框架能夠同時對文件進行加解密保護和操作監(jiān)控保護，并且核心

3、功能都位于VMM內(nèi)，客戶系統(tǒng)無法對其進行感知和破壞。突破傳統(tǒng)基于讀、寫和執(zhí)行三個維度的文件保護需求分析模式，基于讀、寫和拷貝三個維度對新形勢下的文件保護需求進行分析，并基于設計的文件保護系統(tǒng)框架制定了一種多級保護策略。
　?。ǘ﹥?yōu)化改進基于硬件虛擬化技術的系統(tǒng)調用監(jiān)控方法?；谟布摂M化技術監(jiān)控系統(tǒng)調用是本文監(jiān)控文件操作的基礎功能，現(xiàn)有監(jiān)控方法在達到監(jiān)控目的時未對監(jiān)控的透明性、安全性進行充分考慮。本文對現(xiàn)有監(jiān)控方法進行增強，保證

4、在VMM內(nèi)實施的監(jiān)控對客戶系統(tǒng)安全、透明。
　?。ㄈ┨岢鲆环N基于VMM的文件系統(tǒng)監(jiān)控方法。對文件系統(tǒng)進行深入研究，歸納總結出影響文件安全性的全部常用操作，通過對這些操作的監(jiān)控使本文對文件系統(tǒng)實施的監(jiān)控更加全面。通過對虛擬機內(nèi)省技術進行研究，提出使文件系統(tǒng)操作陷入 VMM的方法，并根據(jù)監(jiān)控點上下文實現(xiàn)在VMM中對操作對象的路徑進行解析。
　?。ㄋ模┨岢鲆环N剪貼板關聯(lián)監(jiān)控技術。該技術能夠同時監(jiān)控目錄下的剪貼板操作和針對文件內(nèi)容

5、的剪貼板操作，并能夠在監(jiān)控到這兩類操作的同時獲得操作對象來源文件、目錄的路徑。關聯(lián)監(jiān)控技術完善了傳統(tǒng)剪貼板監(jiān)控的功能，使保護系統(tǒng)可以根據(jù)文件路徑對剪貼板操作進行過濾。進一步提出利用虛擬機內(nèi)省技術在VMM內(nèi)實現(xiàn)該關聯(lián)監(jiān)控技術的方法，保證客戶系統(tǒng)內(nèi)的惡意軟件無法對監(jiān)控實施破壞。
　?。ㄎ澹崿F(xiàn)了一個文件操作監(jiān)控原型系統(tǒng)。該原型系統(tǒng)基于設計的文件保護系統(tǒng)框架，突出本文改進的文件操作監(jiān)控方法，提供對文件多級保護策略的支持?；谠撛拖到y(tǒng)，