基于虛擬化的沙箱防御技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著云計(jì)算的普及，越來越多的用戶將個(gè)人信息放在云端。云計(jì)算系統(tǒng)規(guī)模大，承載著海量用戶的信息。與傳統(tǒng)信息系統(tǒng)相比，云計(jì)算在安全問題上面臨著更加嚴(yán)重的挑戰(zhàn)。用戶與云端交互前，云端需要對訪問用戶的身份進(jìn)行確認(rèn)，身份認(rèn)證機(jī)制在云安全中扮演著不可或缺的角色。云環(huán)境下，存放在云端的數(shù)據(jù)處于不可控的狀態(tài)，數(shù)據(jù)通過網(wǎng)絡(luò)在各層之間傳輸存儲(chǔ)，可能會(huì)被一些計(jì)算機(jī)蠕蟲，病毒和木馬等惡意程序感染。當(dāng)用戶從云端下載數(shù)據(jù)時(shí)，無法對其風(fēng)險(xiǎn)進(jìn)行直接控制，這勢必會(huì)給訪問的

2、主機(jī)帶來了潛在的系統(tǒng)安全威脅。近幾年來，由于惡意代碼在技術(shù)上逐步趨向交叉和融合，其攻擊力、破壞力和生存能力都得到顯著增強(qiáng)。傳統(tǒng)惡意代碼的檢測方法和保護(hù)機(jī)制顯現(xiàn)出很多缺陷和不足之處，而具有高環(huán)境隔離性的沙箱防御技術(shù)越來越受到研究機(jī)構(gòu)和應(yīng)用廠商的青睞。
　　傳統(tǒng)沙箱主要在用戶層對系統(tǒng)內(nèi)API進(jìn)行監(jiān)控，而且易被惡意代碼繞過，基于虛擬仿真檢測方法消耗過多的系統(tǒng)資源，容易被防御檢測機(jī)制發(fā)現(xiàn)。使用內(nèi)核級HOOK技術(shù)，對惡意代碼的API調(diào)用進(jìn)行

3、內(nèi)核級的監(jiān)控和攔截。使用基于系統(tǒng)調(diào)用接口資源的重命名機(jī)制，對惡意代碼請求的資源進(jìn)行重定向。對該系統(tǒng)調(diào)用操作進(jìn)行虛擬化，使其操作虛擬后的系統(tǒng)資源，實(shí)現(xiàn)了一個(gè)隔離的可疑程序運(yùn)行環(huán)境，對云端資源進(jìn)行訪問，保護(hù)主機(jī)安全。
　　本文主要針對沙箱防御關(guān)鍵技術(shù)和身份認(rèn)證技術(shù)進(jìn)行研究。在對傳統(tǒng)沙箱技術(shù)和身份認(rèn)證技術(shù)分析的基礎(chǔ)之上，設(shè)計(jì)了基于內(nèi)核APIHOOK和虛擬化的沙箱防御技術(shù)方案保護(hù)主機(jī)安全。提出一種基于雙線性對和隨機(jī)數(shù)的身份認(rèn)證協(xié)議，防止非

4、法用戶對云端數(shù)據(jù)的訪問，保護(hù)云端數(shù)據(jù)安全。
　　本文主要?jiǎng)?chuàng)新包括:
　　(1)由于沙箱技術(shù)在防護(hù)主機(jī)安全方面具有很大的優(yōu)勢，身份認(rèn)證機(jī)制是云端驗(yàn)證用戶合法身份極其重要的一個(gè)環(huán)節(jié)，本文提出把身份認(rèn)匠技術(shù)和沙箱技術(shù)有效結(jié)合起來，分別用來保護(hù)終端的云端數(shù)據(jù)的安全。
　　(2)在探討幾種隱藏進(jìn)程檢測機(jī)制的基礎(chǔ)之上，提出一種增強(qiáng)的基于SSDTHOOK技術(shù)和掛接SwapContext的隱藏進(jìn)程檢測方法，能夠更快速更有效地檢測到隱藏