基于VMM的虚拟机隐藏网络连接检测研究

Research on Virtual Machine Hidden Network Connections Detection Based on VMM

下载PDF

导出

摘要恶意软件可通过隐藏自身行为来逃避安全监控程序的检测,具有较强的隐蔽性和不可察觉性。传统的基于主机的隐藏对象检测系统易被绕过或攻击而失效,针对当前研究中存在的对隐藏网络连接的检测较少,及在虚拟机监视器(VMM)中通过截获解析数据包难以维护可信网络连接视图的问题,提出基于硬件虚拟化的虚拟机隐藏网络连接检测方法。该方法在虚拟机内部获取网络连接的用户层及内核层视图;在VMM层截获虚拟机进程的系统调用获取可信网络连接视图及其与主体进程的映射关系;通过交叉视图对比实现对虚拟机隐藏网络连接的检测。实现的原型系统VNDec可在VMM层有效检测虚拟机中隐藏的网络连接,且可实现网络连接隐藏行为与进程主体的关联。 Malicious software can evade detection of security monitoring program by hiding its own behavior,which has strong concealment and imper⁃ceptivity.Traditional hidden objects detection systems based on host are liable to be bypassed or attacked,for the reason that current re⁃search about the detection of hidden network connections is less,and it’s difficult to maintain reliable network connections through inter⁃cepting and analyzing data packets in the VMM,proposes the detection method of virtual machine hidden network connections based on hardware virtualization.This method obtains the user layer and kernel layer view of network connections within virtual machine,captures the system calls of virtual machine process in VMM to obtain the credible network connections view and its mapping relationship with the process;and detects the hidden network connections by cross-view comparison.Realizes the prototype system of VNDec,and proves through experiments that the VNDec is effective in detecting the hidden network connections of virtual machine,and realizes the correla⁃tion between the hidden behavior of network connections and the process subject in the VMM layer.

作者蔡梦娟 CAI Meng-juan(College of Cybersecurity,Sichuan University,Chengdu 610065)

机构地区四川大学网络空间安全学院

出处《现代计算机》 2019年第33期15-18,共4页 Modern Computer

关键词隐藏网络连接系统调用语义重构交叉视图虚拟机监视器 Hidden Network Connections System Call Semantic Reconstruction Cross View Virtual Machine Monitor(VMM

分类号 TP3 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

参考文献2

1李博,沃天宇,胡春明,李建欣,王颖,怀进鹏.基于VMM的操作系统隐藏对象关联检测技术[J].软件学报,2013,24(2):405-420. 被引量：21
2王丽娜,高汉军,刘炜,彭洋.利用虚拟机监视器检测及管理隐藏进程[J].计算机研究与发展,2011,48(8):1534-1541. 被引量：26

二级参考文献18

1怀进鹏,李沁,胡春明.基于虚拟机的虚拟计算环境研究与设计[J].软件学报,2007,18(8):2016-2026. 被引量：78
2Silberman P, et al. FUTo uninformed[EB/OL]. 2006. [2010-12-10]. http://uninformed, org/?v= 3&a = 7&t = sumry.
3Jones S T, Arpaci Dusseau A C, Arpaci-Dusseau R H. VMM-based hidden process detection and identification using Lycosid[C] //Proc of the 4th Int Conf on Virtual Execulion Environments (VEE08). New York: ACM, 2008:91-100.
4Litty L, Lagar Cavilla H A, Lie I). Hypervisor support for identifying covertly executing binaries [C] //Proc of the 17th Conf on Security Symp. Berkeley: USENIX, 2008: 243-258.
5Hoglund G. Kernel object hooking rootkits (KOH rootkits) [EB/OL]. 2006. [2008-12-10], http://www, rootkit, corn/ newsread, php?newsid: 501.
6lntel Corporation. Intel: 64 and IA-32 architectures software developer's manual volume 3A: System programming guide, Part 1 [EB/OL]. 2010. [2010-12-10]. http: //www. intel. com/Assets/PDF/manual/253 668. pdf.
7Riley R, Jiang X, Xu D. Multi aspect profiling of kernel rootkit behavior [C] //Proc of the 4th ACM European Conf on Computer Systems (EuroSys 09). New York: ACM, 2009:47-60.
8Garfinkel T, Rosenblum M. A machine introspection-based architecture for intrusion detection [C] //Proc of the 10th Network and Distributed System Security Symp. Washington DC: Internet Society, 2003:191-206.
9Litty L, Lie D. Manitou: A layer-below approach to fighting malware [C]//Proc of the Workshop Architectural and System Support for Improving Software Dependability (ASID 06). NewYork: ACM, 2006:6-11.
10Barham P, Dragovic B, Fraser K, et al. Xen and the art of virtualization [C]//Proc of the 19th ACM Syrup on Operating Systems Principles (SOSP 03). New York: ACM, 2003: 164-177.

共引文献42

1肖如良,姜军,倪友聪,杜欣,谢国庆,蔡声镇.基于虚拟机自省的运行时内存泄漏检测模型[J].通信学报,2013,34(S1):21-30. 被引量：2
2邹冰玉,张焕国,陈景君.基于硬件架构和虚拟化扩展机制的虚拟机自省机制研究[J].四川大学学报（工程科学版）,2015,47(1):54-59.
3张俊,麦永浩.云计算环境下仿真计算机取证研究[J].信息网络安全,2011(10):7-9. 被引量：9
4彭华,周安民,刘亮,左政.基于虚拟机架构的文件系统监控[J].信息安全与通信保密,2012,10(7):108-110. 被引量：2
5姜秋生,容晓峰.VMI技术研究综述[J].电子设计工程,2013,21(1):13-16. 被引量：2
6曹立铭,赵逢禹.私有云平台上的虚拟机进程安全检测[J].计算机应用研究,2013,30(5):1495-1499. 被引量：8
7周莉,胡小桃,方勇,刘亮.基于虚拟机的恶意代码检测系统研究[J].信息安全与通信保密,2013,11(5):79-81.
8冯帆,罗森林.基于VMM的Rootkit检测技术及模型分析[J].信息网络安全,2013(6):35-39. 被引量：3
9肖如良,姜军,胡耀,韩佳,倪友聪,杜欣,蔡声镇.一种面向Xen虚拟计算环境的运行时内存泄漏检测方法[J].计算机研究与发展,2013,50(11):2406-2417. 被引量：2
10王丽娜,张浩,余荣威,高汉军,甘宁.基于VPE的可信虚拟域构建机制[J].通信学报,2013,34(12):167-177. 被引量：3

1龙洋.乡村教师队伍治理体系现代化的内涵、困境及路径[J].内蒙古社会科学,2019,40(6):181-186. 被引量：7
2孙志军.矿用提升机在线动态监测系统的设计[J].机械管理开发,2019,34(11):216-218. 被引量：2
3郭广昌.企业穿越周期要考虑哪些因素[J].中国商人,2019,0(10):14-14.
4韦荣发,孙威,覃亮,黄峥松,唐广杰.汽车钣金拉伤与开裂的形成机理研究[J].模具工业,2019,45(11):62-67.
5张燕.STEM背景下“探究影响光合作用的因素”的作业设计[J].教学月刊（中学版）（教学参考）,2019,0(11):45-47.
6马先明.Windows系统下提高双网卡冗余切换速度的方法[J].工业控制计算机,2019,32(11):50-51.
7张凯,宋慧宁,杨再明.高校智慧实验室的构建路径研究[J].数字教育,2019,5(6):30-35. 被引量：24
8王辉,沈玲,姬翔.DHA玻璃体注射对ARMD大鼠模型光感受器细胞凋亡和PI3K/Akt通路的影响[J].国际眼科杂志,2019,19(12):2012-2016. 被引量：2
9方华,羊燕华.艾地苯醌对大鼠视网膜缺血-再灌注损伤的影响[J].中国临床药理学杂志,2019,35(20):2571-2573.
10沈建军,陶青川,肖卓.结合改进Deeplab v3+网络的水岸线检测算法[J].中国图象图形学报,2019,24(12):2174-2182. 被引量：3

现代计算机

2019年第33期

浏览历史

内容加载中请稍等...

基于VMM的虚拟机隐藏网络连接检测研究

参考文献2

二级参考文献18

共引文献42

相关作者

相关机构

相关主题

浏览历史