基于虚拟化的不可信模块运行监控被引量：2

Virtualization-based monitoring of untrusted extensions execution

导出

摘要为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改. To trace the behavior of LKM（loadable kernel modules）rootkits,a hardware assisted virtualization based framework for kernel modules running in isolation was proposed to isolate drivers in an address space separate from the kernel by two sets of hardware assisted page tables and to protect integrity of the kernel stack basing on the chain composed of base pointers of stack frames.Eventually aprototype system on the full-virtualization platform of KVM was implemented which was called Hyper-ISO（Hyper-ISOlation）.The experimental result shows that the Hyper-ISO is able to monitor the control transfer processes between the untrusted module and the kernel timely,monitor the untrusted module accessing kernel code or data,and protect the kernel stack from the untrusted module.

作者陈兴蜀赵丹丹李辉张磊

机构地区四川大学网络空间安全研究院

出处《华中科技大学学报（自然科学版）》 EI CAS CSCD 北大核心 2016年第3期34-38,共5页 Journal of Huazhong University of Science and Technology(Natural Science Edition)

基金国家自然科学基金资助项目(61272447)

关键词内核完整性模块隔离堆栈保护虚拟机虚拟机监视器 KVM kernel integrity isolating modules stack protection virtual machine virtual machine monitor KVM（kernel-based virtual machine）

分类号 TP316 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献13

1Baliga A, Ganapathy V, Iftode L. Detecting kernel- level rootkits using data structure invariants E J]. IEEE Transactions on Dependable and Secure Compu- ting, 2011, 8(5): 670-684.
2Joy J, John A. A host based kernel level rootkit de- tection mechanism using clustering techniqueFC~// Proceedings of Trends in Computer Science, Engi neering and Information Technology. Berlin: Spring-er, 2011: 564-570.
3Levine J, Grizzard J, Owen H. Detecting and catego rizing kernel-level rootkits to aid future detectionEJ~. IEEE Security ~. Privacy, 2006, 4(1) .. 24-32.
4Riley R, Jiang X, Xu D. Guest-transparent preven tion of Kernel rootkits with VMM-based memory shadowingEC2//Proceedings of the 1 lth International Symposium on Recent Advances in Intrusion Detec tion. Berlin: Springer, 2008(8).. 1-20.
5Wang Z, Jiang X, Cui W, et al. Countering kernel rootkits with lightweight hook protection[C] // Pro- ceedings of the 16th ACM Conference on Computer and Communications Security. New York: ACM, 2009.. 545 554.
6Bravo P, Garcia D F. Proactive detection of kernel- mode rootkits[C] // Proceedings of 2011 Sixth Inter national Conference on Availability, Reliability and Security (ARES). New York: IEEE, 2011: 515- 520.
7More A, Tapaswi S. Dynamic malware detection and recording using virtual machine introspection [C]// Proceedings of Best Practices Meet (BPM), 2013 DSCI. New York: IEEE, 2013: 1-6.
8Microsoft Corporation. Digital signatures for kernel modules on systems running windows vista~EB/()L~. [2015-03-13~. http://msdn, microsoft, com/en-us/li- brary/bb530195, aspx.
9Xiong X, Tian D, Liu P. Practical protection of ker- nel integrity for commodity OS from untrusted exten- sions[C] // Proceedings of the 18th Annual Network and Distributed System Security Symposium(NDSS). Rosten: Internet Society, 2011: 114-130.
10Srivastava A, Giffin J T. Efficient monitoring of un- trusted kernel-mode execution[C]//Proceedings of the 18th Annual Network and Distributed System Security Symposium. Rosten: Internet Society, 2011: 1-5.

同被引文献3

1沈昌祥,张焕国,王怀民,王戟,赵波,严飞,余发江,张立强,徐明迪.可信计算的研究与发展[J].中国科学：信息科学,2010,40(2):139-166. 被引量：253
2杨峰,姜辉,诸葛建伟,段海新.虚拟机环境检测方法研究综述[J].小型微型计算机系统,2012,33(8):1830-1835. 被引量：6
3沈余锋,余小军.云计算环境下虚拟化安全探讨[J].电力信息与通信技术,2013,11(11):6-11. 被引量：13

引证文献2

1赵丹丹,陈兴蜀,金鑫.KVM Hypervisor安全能力增强技术研究[J].山东大学学报（理学版）,2017,52(3):38-43. 被引量：1
2陈兴蜀,陈佳昕,赵丹丹,金鑫.基于虚拟机IO序列与Markov模型的异常行为检测[J].清华大学学报（自然科学版）,2018,58(4):395-401. 被引量：6

二级引证文献7

1何重阳,朱仲马,刘晓浩,周英.虚拟化安全隔离增强技术研究[J].软件导刊,2018,17(11):198-201. 被引量：4
2金逸灵.基于卷积神经网络的容器中恶意软件检测[J].现代计算机,2019,0(33):11-14. 被引量：1
3陈兴蜀,陈佳昕,金鑫,葛龙.云环境基于系统调用向量空间的进程异常检测[J].计算机研究与发展,2019,56(12):2684-2693. 被引量：2
4万红霞.分布式网络连续数据流脆弱点识别方法研究[J].现代电子技术,2020,43(13):81-84.
5金逸灵,陈兴蜀,王玉龙.基于LSTM-CNN的容器内恶意软件静态检测[J].计算机应用研究,2020,37(12):3704-3707. 被引量：7
6陈兴蜀,金逸灵,王玉龙,蒋超,王启旭.基于长短期记忆神经网络的容器内进程异常行为检测[J].电子学报,2021,49(1):149-156. 被引量：14
7王圣凯,阮树骅,汪邓喆.基于eBPF的云环境下payload进程检测方法[J].计算机应用研究,2023,40(7):2157-2161.

1江亮,王永杰,鲜明,肖顺平.突破防护措施的shellcode技术研究[J].计算机应用研究,2007,24(11):146-149. 被引量：1
2张磊,陈兴蜀,刘亮,李辉.基于虚拟机的内核完整性保护技术[J].电子科技大学学报,2015,44(1):117-122. 被引量：5
3汪丹,于爱民,周启惠,秦勃,颜立,孙歆.基于可信计算的配电终端密钥管理技术[J].计算机工程与设计,2014,35(11):3717-3722. 被引量：3
4于晗.一种集成安全测试的软件设计方法[J].信息安全与技术,2013,4(5):49-52.
5李瑜,赵勇,林莉,姜伟,詹静,辛思远.一种操作系统内核完整性度量方法[J].小型微型计算机系统,2013,34(5):997-1002. 被引量：1
6王出航,沈玮娜.一种可信车联网车载终端设计[J].长春师范大学学报,2016,35(12):14-16.
7王向阳,杨红颖.DOS的不可重入性剖析及其解决办法[J].计算机技术,1994(5):15-18.
8杨维永,刘苇,黄皓,祁龙云,郭毅.基于微内核的电力专用安全操作系统技术研究[J].电力信息与通信技术,2016,14(11):22-27. 被引量：4
9杨怿,汪崇文.JAVA虚拟机技术研究与实践思考[J].中国电子商情（科技创新）,2013(22):15-15.
10田东海,陈君华,贾晓启,胡昌振.内核完整性保护模型的设计与实现[J].通信学报,2015,36(S1):118-125.

华中科技大学学报（自然科学版）

2016年第3期

浏览历史

内容加载中请稍等...

基于虚拟化的不可信模块运行监控被引量：2

参考文献13

同被引文献3

引证文献2

二级引证文献7

相关作者

相关机构

相关主题

浏览历史

基于虚拟化的不可信模块运行监控 被引量：2

参考文献13

同被引文献3

引证文献2

二级引证文献7

相关作者

相关机构

相关主题

浏览历史

基于虚拟化的不可信模块运行监控被引量：2