学位论文 > 优秀研究生学位论文题录展示

基于VMM的Rootkit检测及防护模型研究

作 者: 冯帆
导 师: 罗森林
学 校: 北京理工大学
专 业: 信息与通信工程
关键词: 多维度检测 普适性防护 语义重构 硬件虚拟化 Rootkit
分类号: TP309
类 型: 硕士论文
年 份: 2014年
下 载: 39次
引 用: 0次
阅 读: 论文下载
 

内容摘要


Rootkit是通过隐藏技术规避安全检测的一组程序,其已经逐渐成为计算机系统的重大安全隐患之一。Rootkit在不同的系统层面上通常表现出不同的行为特征,其与恶意代码结合会对操作系统造成破坏,产生难以估量的损失。基于虚拟机监视器的Rootkit检测和防护模型通过良好的隔离性和高于客户系统的权限抵御Rootkit的攻击,有效增强系统抗干扰能力。但是,现有的Rootkit检测和防护模型在检测范围和安全性方面仍然存在不足。因此,针对Rootkit检测及防护模型的研究具有重要的理论意义和实际应用价值。在Rootkit静态检测方面,提出了一种基于VMM的Rootkit多维度检测模型。模型在监测虚拟机状态变化的基础上,利用语义重构及交叉视图分析方法,从3个维度:内核层、用户层、网络层对Rootkit进行检测,最后综合分析获取Rootkit的详细信息。基于该模型在Xen平台实现检测系统XenBFS,并对系统进行Rootkit检测和性能开销实验。实验结果表明,模型系统级可有效检测基于不同方法的Rootkit,系统性能开销低于4%;模型的检测准确率高,性能开销低,实用性强。在Rootkit动态监控方面,提出了一种基于VMM的普适性防护模型。模型完全位于VMM内部,通过影子页表设置内存的只读属性,进而拦截针对客户系统内核的非法写操作。基于该模型设计与实现了原型系统FFKP,并对FFKP进行了Rootkit检测和性能开销两方面的测试。实验结果表明,模型系统级可有效检测Windows和Linux平台下基于不同方法的主流Rootkit,具备普适性的内核保护能力,系统性能开销约为2.3%。模型安全性高、普适性强,为基于VMM的Rootkit行为监控研究提供新的思路。

全文目录


摘要  5-6
Abstract  6-7
目录  7-9
图表索引  9-11
第1章 绪论  11-17
  1.1 研究背景和意义  11-12
  1.2 研究历史和现状  12-15
    1.2.1 研究历史  12
    1.2.2 研究现状  12-15
  1.3 研究内容和结构安排  15-17
    1.3.1 研究内容  15-16
    1.3.2 结构安排  16-17
第2章 涉及的相关知识基础  17-30
  2.1 引言  17
  2.2 Xen 虚拟化平台  17-25
    2.2.1 虚拟机与虚拟机监视器  17-19
    2.2.2 Xen 体系架构  19-22
    2.2.3 Xen 虚拟化机制  22-25
  2.3 Rootkit 技术  25-29
    2.3.1 Windows Rootkit 技术  25-26
    2.3.2 Linux Rootkit 技术  26-29
  2.4 小结  29-30
第3章 基于 VMM 的 Rootkit 多维度检测模型  30-50
  3.1 引言  30
  3.2 主要技术与方法分析  30-34
    3.2.1 XenAccess 模型  30-32
    3.2.2 VMDetector 模型  32-33
    3.2.3 ComMon 模型  33-34
  3.3 多维度检测模型  34-40
    3.3.1 模型框架  34-35
    3.3.2 Rootkit 检测  35-37
    3.3.3 综合分析  37-39
    3.3.4 VM 监测  39
    3.3.5 网络监测和语义重构  39-40
  3.4 原型系统设计与实现  40-45
    3.4.1 系统总体设计  40-42
    3.4.2 关键功能模块实现  42-45
  3.5 实验及分析  45-49
    3.5.1 实验目的和数据源  45-46
    3.5.2 实验环境和条件  46
    3.5.3 评价方法  46
    3.5.4 实验过程和参数  46-47
    3.5.5 实验结果及分析  47-49
  3.6 小结  49-50
第4章 基于 VMM 的 Rootkit 普适性防护模型  50-68
  4.1 引言  50
  4.2 主要技术与方法分析  50-53
    4.2.1 Lares 模型  50-51
    4.2.2 “In-VM”模型  51-52
    4.2.3 OSiris 模型  52-53
  4.3 普适性防护模型  53-59
    4.3.1 模型框架  53-54
    4.3.2 VM 信息获取  54
    4.3.3 语义重构  54-57
    4.3.4 内存保护  57-59
  4.4 原型系统设计与实现  59-63
    4.4.1 系统总体设计  59-60
    4.4.2 关键功能模块实现  60-63
  4.5 实验及分析  63-67
    4.5.1 实验目的和数据源  63-64
    4.5.2 实验环境和条件  64-65
    4.5.3 评价方法  65
    4.5.4 实验过程和参数  65-66
    4.5.5 实验结果及分析  66-67
  4.6 小结  67-68
第5章 结束语  68-70
  5.1 全文总结  68-69
  5.2 工作展望  69-70
参考文献  70-75
学习期间发表的学术论文与研究成果清单  75-76
致谢  76

相似论文

  1. 驱动级木马传输和加密算法设计与实现,TP393.08
  2. 基于Linux系统的证据收集研究与实现,D918.2
  3. 基于网卡的Rootkit隐蔽技术研究,TP393.08
  4. 基于虚拟机的安全监测研究,TP274
  5. 基于LSM的改进型Linux入侵检测系统,TP393.08
  6. 基于Windows平台的Rootkit技术研究与应用,TP393.08
  7. 基于硬件虚拟技术的恶意代码检测与审计,TP393.08
  8. 基于Rootkit的蜜罐保护技术研究,TP393.08
  9. Windows环境下针对Rootkit隐藏技术的木马检测技术,TP393.08
  10. 基于系统虚拟化技术的内核态Rootkit检测,TP391.3
  11. 网络恶意代码隐藏技术的分析及检测,TP393.08
  12. 基于硬件虚拟技术的Rootkit检测技术研究,TP393.08
  13. Windows环境下木马检测技术的研究,TP309.5
  14. 网络攻击行为解析与演示,TP393.08
  15. 基于Linux内核的Rootkit研究,TP316.81
  16. 对象存储系统安全检测技术的研究,TP333
  17. 基于课程本体的语义检索研究及应用,TP391.3
  18. 恶意代码态势感知系统的设计与实现,TP393.08
  19. 基于Win32 Rootkit的隐蔽平台设计与实现,TP311.52
  20. 基于Windows操作系统的Rootkit检测系统研究,TP316.7
  21. 计算机在线取证工具的测试和分析,TP399-C2

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com