基于VMM的Rootkit检测技术及模型分析被引量：3

The Analysis of VMM based Rootkit Detecting Technology and Model

下载PDF

导出

摘要随着计算机网络的发展,信息安全已逐渐成为当今社会的主要问题之一。内核态Rootkit以其良好的隐蔽特性被广泛应用于恶意代码中,严重影响操作系统内核的完整性。文章首先对基于LKM的Linux主流Rootkit技术进行了归纳整理,剖析了当前基于VMM的Rootkit检测技术及模型的原理和架构,对"In-VM"、"In-VMM"和"In-Host"检测模型的有效性、实用性、可靠性等方面进行了讨论和对比分析,其中"In-VM"模型在Rootkit检测在有效性方面效果突出,而"In-Host"模型在实用性和可靠性方面效果较好,"In-VMM"作为二者的折中方案,其各方面特性相对均衡。基于VMM的Rootkit检测技术及模型的分析,为明确该领域的研究方向及进一步研究提供参考依据。 With the development of computer networks, information security has gradually become one of the main problems of today＇s society. Because of the hiding characteristics, the kernel level Rootkit are widely used in malicious code, seriously affect the integrity of the operating system kernel. This paper, firstly generalized the LKM based Linux mainstream Rootkit. Secondly, it analyzed the framework and theory of the VMM based Rootkit detection technology and model, discussed and compared the effectiveness, practicality and reliability of the ＂In-VM＂, ＂In- VMM＂ and ＂In-Host＂ detection model. ＂In-VM＂ Rootkit detection model has great effectiveness, ＂In-Host＂ detection model is proved to has better practicality and reliability, ＂In-VMM＂ as the compromise solution of the former, it has a relatively balanced characteristics of the various aspects. The analysis of the VMM based Rootkit detection technology and model, can help to clarify the direction of research in this field, and provide a reference for further research.

作者冯帆罗森林

机构地区北京理工大学信息系统及安全对抗实验中心

出处《信息网络安全》 2013年第6期35-39,89,共6页 Netinfo Security

关键词 ROOTKIT 虚拟机监控器检测模型语义重构交叉视图 rootkit virtual machine monitor detecting model semantic reconstruction cross view

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献14

1Joanna Rutkowska. Subverting VistaTM Kernel For Fun And Profitc. Black Hat Presentation, Las Vegas August 3rd,2006.
2Xuxian J, Xinyuan W, Dongyan X. Stealthy Malware Detection and Monitoring through VMM-Based "Out-of-the-Box" Semantic View Reconstruction[J]. ACM Transactions on Information and Systems Security, 2010, 13(02): 12-28.
3袁源,戴冠中.LKM后门综述[J].计算机科学,2008,35(7):5-8. 被引量：12
4DanielP.Bovet,MarcoCesati.深入理解Linux内核(第三版)[M].北京:中国电力出版社,2006.
5Lin C, Bo L, Huaping H, et al. Researches on detecting malware based on virtual machine[C]. Piscataway, NJ, USA: IEEE, 2011.
6Payne B D, Co, bone M D P D, Lee W. Secure and flexible monitoring of virtual machines[C]. Miami Beach, FL, United states: IEEE Computer Society, 2007.
7王丽娜,高汉军,刘炜,彭洋.利用虚拟机监视器检测及管理隐藏进程[J].计算机研究与发展,2011,48(8):1534-1541. 被引量：26
8Xuxicm J, Xinyuan W, Dongyan X. Stealthy Malware Detection and Monitoring through VMM-Based "Out-of-the-Box" Semantic View Reconstruction[J]. ACM Transactions on Information and Systems Security. 2010, 13(02): 12-28.
9Jones S.T, Arpaci-Dusseau A C, Arpaci-Dusseau R H. Antfarm: trackin9 processes in a virtual machine environment[C]. Berkeley, CA, USA: USENIX Association, 2006.
10李博,李建欣,胡春明,沃天宇,怀进鹏.基于VMM层系统调用分析的软件完整性验证[J].计算机研究与发展,2011,48(8):1438-1446. 被引量：13

二级参考文献54

1孙淑华,马恒太,张楠,卿斯汉,王晓翠.后门植入、隐藏与检测技术研究[J].计算机应用研究,2004,21(7):78-81. 被引量：11
2兰薇薇,贾卓生.利用LKM记录键盘事件的研究与实现[J].网络安全技术与应用,2005(3):24-26. 被引量：2
3王松涛,吴灏.Linux下基于可执行路径分析的内核rootkit检测技术研究[J].计算机工程与应用,2005,41(11):121-123. 被引量：8
4袁源,罗红,戴冠中,吕鹏.基于LKM的Linux安全检测器的设计与实现[J].计算机应用研究,2005,22(7):131-133. 被引量：5
5袁源,戴冠中,罗红.利用Perl实现Linux下隐藏进程的查找[J].计算机工程与应用,2007,43(3):102-105. 被引量：1
6Ahmed M. Azab and Peng Ning and Emre Can Sezer and Xiaolan Zhang. HIMA:A hypervisor based integrity measurement agent. [C] //Proc of the 25th Annual Computer Security Applications Conf. Piscataway NJ: IEEE, 2009 461-470.
7Litty L, Lagar Cavilla H A, Lie D. Hypervisor support for identifying covertly executing binaries [C] // Proc of the 17th Conf on Security Symp, New York: ACM, 2008: 243-258.
8Silberman P, et al. FUTo uninformed[EB/OL]. 2006. [2010-12-10]. http://uninformed, org/?v= 3&a = 7&t = sumry.
9Jones S T, Arpaci Dusseau A C, Arpaci-Dusseau R H. VMM-based hidden process detection and identification using Lycosid[C] //Proc of the 4th Int Conf on Virtual Execulion Environments (VEE08). New York: ACM, 2008:91-100.
10Litty L, Lagar Cavilla H A, Lie I). Hypervisor support for identifying covertly executing binaries [C] //Proc of the 17th Conf on Security Symp. Berkeley: USENIX, 2008: 243-258.

共引文献45

1肖如良,姜军,倪友聪,杜欣,谢国庆,蔡声镇.基于虚拟机自省的运行时内存泄漏检测模型[J].通信学报,2013,34(S1):21-30. 被引量：2
2邹冰玉,张焕国,陈景君.基于硬件架构和虚拟化扩展机制的虚拟机自省机制研究[J].四川大学学报（工程科学版）,2015,47(1):54-59.
3石晶翔,陈蜀宇,黄晗辉.基于Linux系统调用的内核级Rootkit技术研究[J].计算机技术与发展,2010,20(4):175-178. 被引量：11
4李文新,王姜博,慕德俊,袁源.Android系统Rootkit技术综述[J].微处理机,2011,32(2):68-72. 被引量：7
5张俊,麦永浩.云计算环境下仿真计算机取证研究[J].信息网络安全,2011(10):7-9. 被引量：9
6庄棪.基于Rootkit技术的手机安全浅析[J].通信与信息技术,2012(1):85-88. 被引量：1
7袁源,慕德俊,戴冠中.智能手机Rootkits原理与检测[J].微处理机,2012,33(2):68-70.
8彭华,周安民,刘亮,左政.基于虚拟机架构的文件系统监控[J].信息安全与通信保密,2012,10(7):108-110. 被引量：2
9贺亢.基于VMM的高效SOC测试平台设计[J].科技与生活,2012(11):234-234.
10姜秋生,容晓峰.VMI技术研究综述[J].电子设计工程,2013,21(1):13-16. 被引量：2

同被引文献38

1王怀习,陈建熊,王晨,刘克胜.云计算中虚拟化技术的安全威胁[J].华中科技大学学报（自然科学版）,2012,40(S1):153-156. 被引量：10
2王磊.网络犯罪若干问题研究[D].北京:中共中央党校,2011.
3HOGLUND G, BUTLER J. Rootkits: subverting the Windows kernel [M]. [S. 1. ] :Addison-Wesley Professional,2005.
4CHEN P M, NOBLE B D. When virtual is better than real[ C ]//Proc of the 8th Workshop on Hot Topics in Operating Systems. Washington DC :IEEE Computer Society,2001 : 133-138.
5BARHAM P, DRAGOVIC B, FRASER K, et al. Xen and the art of virtualization[C]//Proc of the 19th ACM Symposium on Operating Systems Principles. New York : ACM Press ,2003 : 164-177. 2012,23(8) :2173-2188.
6WHITE J S, PAPE S R, MEILY A T, et al. Dynamic malware analy- sis using IntroVirt : a modified hypervisor-based system [ C ]//Proc of SPIE Defense Security and Sensing Cyber Security Conference. 2013.
7JONES S, ARPACI-DUSSEAU A, ARPACI-DUSSEAU R. AntFarm: tracking processes in a virtual machine environment[ C]//Proc of An- nual USENIX Technical Conference. Berkeley, CA : USENIX, 2008 : 1 - 14.
8PAYNE B D, CARBONE M, LEE W. Secure and flexible monit.oring of virtual machines [ C]//Proe of the 23rd Annual Computer Security Applications Conference. Piscataway, NJ: IEEE Press, 2007: 385- 397.
9JIANG Xu-xian, WANG Xin-yuan, XU Dong-yan. Stealthy malware detection and monitoring through VMM-based " out-of-the-box" se- mantic view reconstruction [ J ]. ACM Trans on information and Systems Security,2010,13 (2) : 12-28.
10SCHUSTER A. Searching for process and threads in Microsoft Win- dows memory dumps[ C ]//Proc of the 6th Annual Digital Forensic Research Workshop. Lafayette: EISEVI,2006 : 10-16.

引证文献3

1赵志远,朱智强,孙磊,杨杰.基于Xen虚拟化的隐藏进程检测方法[J].计算机应用研究,2015,32(4):1127-1130. 被引量：3
2陈进,夏虞斌,臧斌宇.基于新型VMI技术的内核Rootkit检测方案[J].计算机应用与软件,2015,32(7):266-271. 被引量：2
3赵志远,朱智强,孙磊,马可欣.虚拟化环境中基于神经网络专家系统的Rootkit检测方法研究[J].计算机科学,2015,42(8):175-179. 被引量：1

二级引证文献6

1刘鑫,宋显华,吴世鹏,李增光,张欢,王凯.反病毒软件防护EANSS模型的设计与实现[J].哈尔滨理工大学学报,2017,22(6):72-75. 被引量：1
2陈蒙蒙,陈兴蜀,金鑫.基于进程生命周期的虚拟机隐藏进程检测技术[J].计算机应用,2017,37(A02):39-43.
3孙彬,王东.大数据环境下的微信息蜜罐监测[J].湖南科技大学学报（自然科学版）,2017,32(4):69-78. 被引量：1
4刘刚,徐峥,崔士伟.KVM环境下内核级Rootkit检测及防护技术研究[J].信息安全研究,2019,5(7):616-622. 被引量：2
5曾小英.基于Xen虚拟化的实验平台升级方案研究[J].电脑编程技巧与维护,2019,0(8):45-47.
6李锋,夏立.基于规则库的变压器故障监测专家系统[J].计算机科学,2016,43(S2):564-567. 被引量：5

1罗森林,闫广禄,潘丽敏,冯帆,刘昊辰.基于劫持内核入口点的隐藏进程检测方法[J].北京理工大学学报,2015,35(5):545-550. 被引量：3
2傅德胜,曹成龙.一种基于交叉视图的Windows Rootkit检测方法[J].信息技术,2011,35(6):26-29. 被引量：2
3何祥,周安民,蒲伟,周妍.基于vmem文件的隐藏信息检测研究[J].信息安全与通信保密,2012,10(10):67-68.
4白光冬,郭耀,陈向群.一种基于交叉视图的Windows Rootkit检测方法[J].计算机科学,2009,36(8):133-137. 被引量：13
5李建军,王庆生.Windows下基于交叉视图的Rootkit进程隐藏检测技术[J].电脑开发与应用,2011,24(5):56-57. 被引量：2
6超极本福音,A*STAR推出5mm节能混合硬盘[J].工业设计,2012(10):80-80.
7杨潇,万建成,侯金奎.一种基于语义重构的模型映射方法[J].计算机工程,2007,33(23):45-47. 被引量：4
8杨静雅,罗森林,朱帅,曲乐炜.基于多层次交叉视图分析的Android系统恶意行为监控方法研究[J].信息网络安全,2016(7):40-46.
9王松涛,吴灏.Linux下基于可执行路径分析的内核rootkit检测技术研究[J].计算机工程与应用,2005,41(11):121-123. 被引量：8
10雷神911游戏笔记本酷炫登场强悍大气[J].电脑时空,2014(9):15-15.

信息网络安全

2013年第6期

浏览历史

内容加载中请稍等...

基于VMM的Rootkit检测技术及模型分析被引量：3

参考文献14

二级参考文献54

共引文献45

同被引文献38

引证文献3

二级引证文献6

相关作者

相关机构

相关主题

浏览历史

基于VMM的Rootkit检测技术及模型分析 被引量：3

参考文献14

二级参考文献54

共引文献45

同被引文献38

引证文献3

二级引证文献6

相关作者

相关机构

相关主题

浏览历史

基于VMM的Rootkit检测技术及模型分析被引量：3