基于KVM虛擬機(jī)的惡意行為檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著云計(jì)算的廣泛應(yīng)用，其面臨的安全性也不容忽視。傳統(tǒng)惡意行為檢測(cè)系統(tǒng)運(yùn)行權(quán)限與病毒相同，檢測(cè)結(jié)果容易遭到篡改。虛擬機(jī)監(jiān)視器作為云平臺(tái)的核心組件，具備高特權(quán)、隔離性、透明性和不可旁路性等優(yōu)點(diǎn)，可以為虛擬機(jī)用戶提供多種安全服務(wù)。本文設(shè)計(jì)了一個(gè)基于KVM虛擬機(jī)的惡意行為檢測(cè)系統(tǒng)，通過(guò)實(shí)時(shí)檢測(cè)客戶機(jī)內(nèi)部進(jìn)程、驅(qū)動(dòng)、內(nèi)核 Rookit、文件系統(tǒng)等核心對(duì)象，為虛擬機(jī)用戶提供第二道安全防線。本文的主要工作量及創(chuàng)新點(diǎn)如下。
　　1、搭建了Ovir

2、t云平臺(tái)開(kāi)發(fā)環(huán)境，研究了虛擬化技術(shù)原理，分析了KVM虛擬化源碼和安全機(jī)制，分析了Libvmi內(nèi)省庫(kù)實(shí)現(xiàn)機(jī)制。
　　2、研究了Windows內(nèi)核運(yùn)行原理，分析了以內(nèi)核Rootkit病毒為主的惡意行為，總結(jié)了傳統(tǒng)方法和虛擬機(jī)檢測(cè)法的優(yōu)缺點(diǎn)，提出了改進(jìn)思路。
　　3、提高了Libvmi內(nèi)存透視能力，填補(bǔ)了磁盤透視空白。通過(guò)逆向缺頁(yè)中斷，實(shí)現(xiàn)了頁(yè)交換文件解析技術(shù)。通過(guò)逆向客戶機(jī)內(nèi)核同步機(jī)制，實(shí)現(xiàn)了訪問(wèn)臨界資源同步技術(shù)。通過(guò)分析NTF

3、S和FAT32文件系統(tǒng)格式與RAW虛擬鏡像格式，實(shí)現(xiàn)了虛擬磁盤透視技術(shù)。
　　4、借助于改進(jìn)的內(nèi)省庫(kù)對(duì)內(nèi)存和磁盤數(shù)據(jù)進(jìn)行透視，并根據(jù)Windows內(nèi)核知識(shí)庫(kù)重構(gòu)高層語(yǔ)義，實(shí)現(xiàn)了惡意行為檢測(cè)系統(tǒng)。提出了基于多視圖模型的隱藏進(jìn)程檢測(cè)算法，提出了基于內(nèi)存和文件樣本匹配的隱藏驅(qū)動(dòng)檢測(cè)模型，提出了基于內(nèi)核標(biāo)準(zhǔn)庫(kù)匹配的Rootkit檢測(cè)模型。利用KVM內(nèi)存虛擬化原理構(gòu)建了進(jìn)程行為與狀態(tài)檢測(cè)模型，設(shè)計(jì)了自適應(yīng)模型動(dòng)態(tài)調(diào)節(jié)檢測(cè)策略，降低了負(fù)載。并