一种基于硬件虚拟化地面测控安全防护技术

引言 为解决传统地面测控密码设备数量众多、各星密码服务独立配置隔离性差、星座测控密码资源管理能力弱等问题,采用硬件虚拟化以及虚拟测控服务能力轻量级封装和编排技术,虚拟测控服务以云化应用方式运行于独立、安全隔离的虚拟密码机,调用独立的硬件虚拟化VF虚拟密码功能单元实现测控业务机密性、完整性保护,达到服务云化应用、硬件级隔离和星座测控密码资源独立配置管理的能力。

硬件虚拟化rootkit检测方法研究综述

随着虚拟化技术的发展及其在云计算中的广泛应用,传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法,以及基于指令计数的监测方法等。总结了这些检测方法的优缺点,并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法,分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法,同时也预测了未来虚拟化检测技术的发展方向。

基于硬件虚拟化实现多结点单一系统映像

实现多结点单一系统映像SS(ISingle System Image)是并行计算机体系结构研究的一个重要方向。当前,国内、外关于SSI的大量研究工作是在中间件层(MiddlewareLevel)开展的,存在透明性较差和性能较低等问题。提出了一种实现多结点SSI的新方法,即利用硬件虚拟化技术,在操作系统OS(Operating System)之下构建分布式虚拟机监视器DVMM(Distributed Virtual Machine Monitor),DVMM由各结点之上的VMM(Virtual Machine Monitor)共同组成,各VMM完全对称;通过各结点的VMM之间协作,实现多结点系统资源的感知、整合、虚拟化和呈现,使多结点对OS呈现为SSI;通过DVMM与OS配合,实现在多结点系统上透明地运行并行应用软件。同现有方法相比,所述方法具有透明性好、性能较高、应用面广和实现难度适中等优势。

基于硬件虚拟化技术的隐藏进程检测技术

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtualmachine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list,TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra具有两个特色,即动态的操作系统迁移技术和不依赖于操作系统的隐式进程自省技术。测试结果证明了Libra检测隐藏进程的完整性,具有很好的实用性。

一种采用硬件虚拟化的内核数据主动保护方法

为保护操作系统内核的完整性,提出了一种基于硬件虚拟化技术的保护方案。该方法对关键寄存器、代码指针表、函数代码等恶意代码攻击的关键点进行识别和放入保护区,利用硬件虚拟化的自动陷入机制检测对保护区的非法篡改。同时,利用单步执行技术和事件转发技术保障OS其它操作的兼容性。另外,通过保护页的合并减少保护区的长度以提高异常处理的效率。最后,实现了一个采用该技术的原型工具——HV_KDAP,该工具检测了主流的9款Rootkit样本,实验结果证实其增加的负载为12.7%。该工具还可以抑制内核本地权限提升的攻击,以及用于内核攻击的取证。

基于硬件虚拟化的内核竞态漏洞监测技术研究与实现

内核竞态漏洞是一种新型漏洞,由于其产生原因特殊,导致巨大的安全威胁。通过对内核竞态漏洞产生原因、利用技术的分析,提出一种基于硬件虚拟化的监测方法。该方法利用Intel VT-x技术来构建一个轻量级虚拟监视器,依据竞态漏洞特征,通过对监视器系统CPU指令和可疑内存数据进行监控,实现对漏洞的全面监测;当可能的竞态情况出现时,利用收集的数据重构内核信息,动态定位漏洞位置。实验表明,该方法能够对内核竞态漏洞准确监测,具有较强的实用性。

基于硬件虚拟化的单向隔离执行模型

提出了一种基于硬件虚拟化技术的单向隔离执行模型.在该模型中,安全相关的应用程序可以根据自身需求分离成宿主进程(host process)和安全敏感模块(security sensitive module,简称SSM)两部分.隔离执行器(SSMVisor)作为模型的核心部件,为SSM提供了一个单向隔离的执行环境.既保证了安全性,又允许SSM以函数调用的方式与外部进行交互.安全应用程序的可信计算基(trusted computing base,简称TCB)仅由安全敏感模块和隔离执行器构成,不再包括应用程序中的安全无关模块和操作系统,有效地削减了TCB的规模.原型系统既保持了与原有操作系统环境的兼容性,又保证了实现的轻量级.实验结果表明,系统性能开销轻微,约为6.5%.

一种硬件虚拟化技术的Rootkit及其检测

硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,讨论HVM Rootkit的进一步研究方向。

一个基于硬件虚拟化的内核完整性监控方法

对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分析,得出了在实际系统中保证内核完整性需要的条件:保障数据完整性,影响系统功能的关键数据对象只能由指定的代码在特定情况下修改;保障控制流完整性,保护和监控影响代码执行序列改变的所有因素。并采用硬件虚拟化的Xen虚拟机监控器实现对Linux内核的保护和监控。实验结果证明,该方法能够阻止外来攻击和本身漏洞对内核的破坏。

基于硬件虚拟化的内核同层多域隔离模型

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即,在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其他所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,提出了内核同层多域隔离模型,即在内核同一硬件特权水平构建多个保护域实现了不同安全机制的内部隔离,缓解了传统方法将所有安全机制绑定在唯一保护域带来的安全风险.实现了内核同层多域隔离模型的原型系统Decentralized-KPD,其利用硬件虚拟化技术和地址重映射技术,将不同安全机制部署在与内核同一特权水平的多个保护域中,并不会引起较大的性能开销.总体而言,实验结果展示了内核同层多域隔离模型的安全性和实用性.

基于Intel VT硬件虚拟化的Rootkit技术

Intel VT硬件虚拟化技术使Rootkit可以利用底层优势实现深度隐藏。首先结合木马协同隐藏的思想,提出了基于Intel VT硬件虚拟化的Rootkit(HVRootkit)的协同隐藏模型,并给出形式化描述;然后根据该模型,在深入分析进程切换过程和操作系统内核数据结构的基础上,设计并实现了HVRootkit原型,该原型能够监控系统进程的切换过程,并通过修改与内核层进程视图和用户层进程视图相关的数据结构,隐藏系统进程。实验表明,HVRootkit原型符合协同隐藏的思想,能够实现对进程的深度隐藏,隐藏性能明显优于传统的内核级Rootkit。

一种基于硬件虚拟化的Rootkit技术

针对当前Windows x64版本的内核保护技术,提出一种基于硬件虚拟化的内核Rootkit技术,该技术利用Intel VT-x硬件虚拟化技术将客户系统(Guest OS)迁移到VMM之上运行实现Rootkit。借鉴Shadow Walker内存隐藏思想,基于扩展页表技术对客户系统的不同内存操作映射不同的物理内存,实现隐藏Rootkit代码,对内核保护研究有一定的启发意义。实验证明该技术稳定性强,能够绕过内核保护机制实现内核Rootkit。

基于插桩的硬件虚拟化测试驱动设计

为了解决软件测试工作常受制于硬件部署的问题,设计了一种基于插桩的硬件虚拟化测试驱动;通过对被测软件中与硬件相关的类的继承,减少了测试桩开发的复杂度,模拟硬件设备的正常运行剖面和多种预设的故障模式,采用软件FTA及故障模式的先验知识指导测试用例生成;针对特定软件的显示信号通道个数、信号类型、帧结构等参数,实现了测试时的硬件隔离,提高了测试的准确性、有效性和自动化程度。

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控(OFM)系统。该系统以基于内核的虚拟机(KVM)作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。

Xen硬件虚拟化下一种客户机进程追踪技术

Xen硬件虚拟化(HVM)是运行于Xen Hypervisor上,无需修改客户操作系统内核便可实现虚拟化的技术.但Xen HVM在提升用户体验的同时,也造成了VMM对客户机的干涉和理解程度的降低,丧失了进程粒度级别的管理能力.鉴于此,提出了一种针对Xen HVM客户机的轻量级进程追踪技术原型Xen HPT.借助VMM掌握的客户机ESP寄存器信息,从客户机外部隐式捕获其实时进程信息.实验证明,该技术是一种追踪客户机进程的有效方法.

基于硬件虚拟化的主动防御模型研究

基于HOOK内核代码的传统主动防御软件在放行恶意驱动后对于高危险的恶意代码无法做到有效防御,因此在在已有的病毒行为分析和模式识别技术的基础上,提出了一种基于硬件虚拟化的主动防御模型.详细阐述了硬件虚拟化的主动防御系统的主体构架和实现,系统功能模块的划分及实现原理,行为视窗监控、黑白名单等关键技术的实现方法,从更底层的角度进行行为检测防御,并通过影子页表可以实现高强度的自我保护.

硬件虚拟化在IP播控系统中的应用

本文对硬件虚拟化技术的原理进行系统性的阐述,说明了将其运用在IP播控中解决的问题,分析了相比传统播控的巨大优势,讨论了将其利用在工作机上模拟IP播出生产环境时,虚拟机系统部署的思路和需要解决的问题。

基于硬件虚拟化的虚拟机内核完整性保护

虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器:一方面为关键的内核数据与代码创建独立的页表并设置访问权限,使其运行在隔离的地址空间内;一方面利用硬件虚拟化的"陷入"机制使得关键寄存器一旦被篡改便下陷到VMM(virtual machine monitor).实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在7%以内,在提升安全性的同时,不会对性能产生明显的影响.

基于硬件虚拟化的操作系统内核可信研究

本文拟在不可信终端上设计实现一个行为度量系统，由该系统对终端上的操作系统进行动态行为度量和验证，从而监控操作系统的完整性，防止其被非法篡改和破坏，最终保证它的可信。

开天辟地 一“芯”两用——硬件虚拟化处理器渐露曙光

在一台电脑上安装两个甚至更多的操作系统,这一愿望令广大用户翘首期盼.多操作系统共存技术的出现让我们看到了希望,随后大名鼎鼎的VMware更实现了虚拟操作系统.然而这还远远无法满足我们的需求,在一台电脑上同时运行两款操作系统,这才是最终极的目标.如今双内核处理器以及多路SMP并行工作技术已经开始普及,面对实际效率并不高的尴尬,或许改变整体工作架构才是关键.作为全球两大处理器厂商,Intel与AMD不约而同地想到了硬件虚拟化技术,让同时运行两个操作系统的愿望变得切实而可行.