基于内存保护技术的内存马检测方法研究

内存马攻击的特点是没有文件落地,只在内存中运行。在不同层面如操作系统、Java容器和Web服务程序中,内存马攻击发展出了多种攻击方式。随着内存马攻击渐渐流行,现有的检测手段存在普适性差和误报多等问题。文章提出了一种基于内存保护技术检测内存马的方法。该方法依托硬件虚拟化技术,构建出一层独立于操作系统的虚拟化管理层来建立防护能力,通过虚拟化监控技术,监控虚拟机的内存相关信息,截获关键的特征事件,并通过截获的内存马特征事件构建该特征信息的有限状态自动机,再结合应用层Hook技术截获的内存马应用层特征信息,综合检测识别内存马。实验表明,该方法相对已有检测手段具有更好的普适性及更高的准确性。