基于硬件虚拟化的虚拟机内核完整性保护

虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器:一方面为关键的内核数据与代码创建独立的页表并设置访问权限,使其运行在隔离的地址空间内;一方面利用硬件虚拟化的"陷入"机制使得关键寄存器一旦被篡改便下陷到VMM(virtual machine monitor).实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在7%以内,在提升安全性的同时,不会对性能产生明显的影响.     

基于虚拟化的不可信模块运行监控

为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改.     

一种硬件虚拟化技术的Rootkit及其检测

硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,讨论HVM Rootkit的进一步研究方向。     

一种无代理虚拟机进程监控方法

针对云环境下的租户虚拟机状态监控问题,提出一种基于虚拟机内存实时在线分析的虚拟机监控技术.借助虚拟化层的高特权级,可以在虚拟机外部透明地实时获取虚拟机的物理内存.引入内存取证领域的物理内存解析机制,在虚拟化层在线地分析虚拟机内存中重要的内核数据结构,从而获取虚拟机内存语义知识,有效地解决虚拟机与虚拟化层之间的语义鸿沟问题,实现虚拟机细粒度状态信息监控.由于监控代码处于更高特权级的虚拟化层,无需在用户虚拟机中部署监控代理,因此,虚拟机内部的恶意代码无法旁路和破坏安全监控代码,提高了方法的透明性和安全性.实验表明,该方法可以在低开销下以无监控代理模式为租户提供虚拟机监控服务.     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

基于虚拟机IO序列与Markov模型的异常行为检测

为检测虚拟机内部的IO异常行为,及时发现已知和未知的虚拟机逃逸攻击,基于硬件辅助虚拟化技术,该文提出了一种基于虚拟机IO序列的异常检测方法,包括:提出了一种异步采集技术高效采集虚拟机IO序列;建立了虚拟机IO序列与虚拟机内部进程的映射关联关系,以细粒度描述虚拟机自身IO行为;提出了一种基于双层Hash表的虚拟机IO短序列生成算法,并采用Markov链模型检测异常虚拟机IO序列。在KVM(Kernel-based virtual machine)虚拟化环境下设计并实现原型系统VMDec(virtual machine detecting),通过实验评测了VMDec系统的功能和性能。实验结果表明:VMDec能有效检测出虚拟机内部基于IO的恶意攻击以及已知和未知的虚拟机逃逸攻击,且检测误报率和性能开销在可接受范围内。     

基于文件系统过滤驱动的内核Rootkit隐藏技术

Rootkit是能够持久或可靠地、无法检测的存在于计算机上的一组程序和代码.研究了基于文件系统过滤驱动技术的内核Rootkit,阐述了文件系统过滤驱动的工作原理、过滤驱动的实现、基于文件系统过滤驱动的内核Rootkit对文件隐藏的实现,并讨论了针对Rootkit隐藏的检测技术.     

基于主元分析法的虚拟机异常监控研究

面临云平台中虚拟机使用异常的监控系统缺乏问题,以现有的IaaS开源云平台Eucalyptus和基于Linux内核的Xen虚拟机为基础,研究基于主元分析法(primary component analysis,PCA)的虚拟机异常监控方法,并在此基础上设计在云环境中基于Xen虚拟机异常使用的监控系统.该系统可以对采集到的数据进行分析,判断虚拟机是否出现使用异常并定位异常.实验结果表明,采用基于主元分析法的虚拟机异常监控系统对云环境中的虚拟机产生的异常检测准确度较高,在定位异常方面也有较好的准确度.该研究成果为云环境下虚拟机异常监控提供了有效的理论研究依据和应用实践价值.     

一种采用驱动隔离的宿主机可靠性方法

针对虚拟化环境下宿主机中的驱动程序故障容易造成宿主机及其虚拟机崩溃的问题,提出了一种采用驱动隔离的宿主机可靠性方法.该方法基于StyleBox架构的保护域功能,将其扩展用于复杂接口的驱动程序的隔离,包括:为驱动和内核的复杂交互接口建立包装函数,从而限定驱动程序运行在保护域中;为驱动程序提供私有内存,以保证驱动程序能够在保护域内正常运行.实验结果表明:在利用该方法修改的Linux2.6.28.10宿主机内核中,对于随机注入网卡驱动并造成内核破坏的错误,该方法可以有效检测90.63％的注入错误,并成功隔离67.5％的注入错误,防止了驱动故障传播到宿主机内核,提高了宿主机的可靠性.     

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

企业新风

红帽发布企业虚拟化3.0方案红帽公司正式宣布红帽企业虚拟化3.0正式上市,该产品大幅扩展了其在服务器和桌面虚拟化管理工具及基于内核的虚拟机管理程序方面的实力。红帽企业虚拟化3.0实现了Linux和Windows负载下新型企业虚拟化管理特性、性能     

跨域虚拟网络环境下虚拟机Live的迁移机制

针对跨域虚拟网络环境下虚拟机的在线迁移机制, 设计了支持虚拟机跨域通信的虚拟网络路由协议和控制虚拟机在线迁移的路由更新协议, 以支持虚拟机的跨域动态管理, 并基于流行虚拟化环境Xen, 完成了原型实现, 从而解决了虚拟机跨域的在线迁移问题, 实现了利用广域网络环境搭建动态虚拟化平台.     

一种内核级Rootkit侦测方法

本文在简单阐述了Rootkit隐藏的机制后,提出了一种侦测Rootkit隐藏的算法。最后演示了直接遍历内核活动进程列表(ActiveProcessList)和内核调度者ETHREAD列表来侦测隐藏的Rootkit。该方法还能通过遍历内核的PsLoadedModuleList来侦测出通过挂钩本机API函数ZwQuerySystemInformationy隐藏的内核模块和内核驱动。     

虚拟化平台构建操作系统函数调用关系方法

针对现有操作系统函数调用关系构建方法存在依赖系统源代码、兼容性差的问题,提出了一种基于硬件虚拟化中断陷入机制的操作系统内核函数调用关系构建方法。该方法在操作系统内核函数的特定位置动态插入会引起虚拟化中断陷入的特殊指令覆盖内核特定位置的指令,实现在函数调用、被调用时触发虚拟化中断陷入,并在陷入后的虚拟机监控器中获取当前内核函数的调用信息,从而动态构建操作系统的内核调用关系。实验结果表明,本方法能在不依赖内核源码、编译器的情况下构建多种开源/闭源、32 位/64 位操作系统的内核函数调用关系,构建准确率为100%,查全率大于85%。该方法可用于操作系统内核安全分析及白名单构建等工作,具有一定的实用价值。     

红帽发布企业虚拟化3.0方案

红帽公司正式宣布红帽企业虚拟化3．0正式上市,该产品大幅扩展了其在服务器和桌面虚拟化管理工具及基于内核的虚拟机管理程序方面的实力。红帽企业虚拟化3．0实现了Linux和Windows负载下新型企业虚拟化管理特性、性能和扩展能力方面的平衡,而且成本远低于专有替代方案。     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

面向中小企业的虚拟化解决方案

以虚拟机为核心的虚拟化技术已开始引入企业.虚拟化技术具有支持多种操作系统、安装快捷、集成度高、方便移植、有较强的容灾功能等特点,中小企业虚拟化的解决方案,是通过建立服务器池,建立桌面应拟机环境,在同一系统上同时运行多台虚拟机、快速部暑操作系统和应用软件等手段,构建灵活可靠的企业信息化环境.     

基于直接内核对象操作的进程伪装保护方法

针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性.     

一种新的注册表隐藏Rootkit检测方案

为了检测通过篡改注册表文件而实现潜行于操作系统的Rootkit,分析了常见的Rootkit注册表隐藏技术以及相应的检测技术,并指出了当前检测技术存在的缺陷.在分析注册表文件的格式以及注册表操作控制流程的基础上,设计并实现了一种新型的注册表隐藏Rootkit检测方案.通过模拟win32系统底层枚举注册表键值的流程,获取真实有效的注册表键值,从而检测出隐藏的Root-kit.同时,在遍历注册表键值时使用了二叉搜索树算法以提高检测效率.试验表明该方法能准确并快速地检测出使用了注册表隐藏技术的Rootkit.     

虚拟机技术与性能优化的研究

虚拟化技术应用广泛,以虚拟机为主构建的虚拟计算平台存在性能和安全等方面的问题.通过研究分析虚拟化技术和3种基于硬件抽象层虚拟机的实现技术,提出以硬件辅助虚拟化技术为基础,融合动态指令转换等技术,从处理器虚拟化、内存虚拟化、I/O虚拟化等方面优化设计虚拟机.经实验证明实现的虚拟机在性能上接近非虚拟化的物理计算机.