学位论文 > 优秀研究生学位论文题录展示
基于VMM的Rootkit检测及防护模型研究
作 者: 冯帆
导 师: 罗森林
学 校: 北京理工大学
专 业: 信息与通信工程
关键词: 多维度检测 普适性防护 语义重构 硬件虚拟化 Rootkit
分类号: TP309
类 型: 硕士论文
年 份: 2014年
下 载: 39次
引 用: 0次
阅 读: 论文下载
内容摘要
Rootkit是通过隐藏技术规避安全检测的一组程序,其已经逐渐成为计算机系统的重大安全隐患之一。Rootkit在不同的系统层面上通常表现出不同的行为特征,其与恶意代码结合会对操作系统造成破坏,产生难以估量的损失。基于虚拟机监视器的Rootkit检测和防护模型通过良好的隔离性和高于客户系统的权限抵御Rootkit的攻击,有效增强系统抗干扰能力。但是,现有的Rootkit检测和防护模型在检测范围和安全性方面仍然存在不足。因此,针对Rootkit检测及防护模型的研究具有重要的理论意义和实际应用价值。在Rootkit静态检测方面,提出了一种基于VMM的Rootkit多维度检测模型。模型在监测虚拟机状态变化的基础上,利用语义重构及交叉视图分析方法,从3个维度:内核层、用户层、网络层对Rootkit进行检测,最后综合分析获取Rootkit的详细信息。基于该模型在Xen平台实现检测系统XenBFS,并对系统进行Rootkit检测和性能开销实验。实验结果表明,模型系统级可有效检测基于不同方法的Rootkit,系统性能开销低于4%;模型的检测准确率高,性能开销低,实用性强。在Rootkit动态监控方面,提出了一种基于VMM的普适性防护模型。模型完全位于VMM内部,通过影子页表设置内存的只读属性,进而拦截针对客户系统内核的非法写操作。基于该模型设计与实现了原型系统FFKP,并对FFKP进行了Rootkit检测和性能开销两方面的测试。实验结果表明,模型系统级可有效检测Windows和Linux平台下基于不同方法的主流Rootkit,具备普适性的内核保护能力,系统性能开销约为2.3%。模型安全性高、普适性强,为基于VMM的Rootkit行为监控研究提供新的思路。
|
全文目录
摘要 5-6 Abstract 6-7 目录 7-9 图表索引 9-11 第1章 绪论 11-17 1.1 研究背景和意义 11-12 1.2 研究历史和现状 12-15 1.2.1 研究历史 12 1.2.2 研究现状 12-15 1.3 研究内容和结构安排 15-17 1.3.1 研究内容 15-16 1.3.2 结构安排 16-17 第2章 涉及的相关知识基础 17-30 2.1 引言 17 2.2 Xen 虚拟化平台 17-25 2.2.1 虚拟机与虚拟机监视器 17-19 2.2.2 Xen 体系架构 19-22 2.2.3 Xen 虚拟化机制 22-25 2.3 Rootkit 技术 25-29 2.3.1 Windows Rootkit 技术 25-26 2.3.2 Linux Rootkit 技术 26-29 2.4 小结 29-30 第3章 基于 VMM 的 Rootkit 多维度检测模型 30-50 3.1 引言 30 3.2 主要技术与方法分析 30-34 3.2.1 XenAccess 模型 30-32 3.2.2 VMDetector 模型 32-33 3.2.3 ComMon 模型 33-34 3.3 多维度检测模型 34-40 3.3.1 模型框架 34-35 3.3.2 Rootkit 检测 35-37 3.3.3 综合分析 37-39 3.3.4 VM 监测 39 3.3.5 网络监测和语义重构 39-40 3.4 原型系统设计与实现 40-45 3.4.1 系统总体设计 40-42 3.4.2 关键功能模块实现 42-45 3.5 实验及分析 45-49 3.5.1 实验目的和数据源 45-46 3.5.2 实验环境和条件 46 3.5.3 评价方法 46 3.5.4 实验过程和参数 46-47 3.5.5 实验结果及分析 47-49 3.6 小结 49-50 第4章 基于 VMM 的 Rootkit 普适性防护模型 50-68 4.1 引言 50 4.2 主要技术与方法分析 50-53 4.2.1 Lares 模型 50-51 4.2.2 “In-VM”模型 51-52 4.2.3 OSiris 模型 52-53 4.3 普适性防护模型 53-59 4.3.1 模型框架 53-54 4.3.2 VM 信息获取 54 4.3.3 语义重构 54-57 4.3.4 内存保护 57-59 4.4 原型系统设计与实现 59-63 4.4.1 系统总体设计 59-60 4.4.2 关键功能模块实现 60-63 4.5 实验及分析 63-67 4.5.1 实验目的和数据源 63-64 4.5.2 实验环境和条件 64-65 4.5.3 评价方法 65 4.5.4 实验过程和参数 65-66 4.5.5 实验结果及分析 66-67 4.6 小结 67-68 第5章 结束语 68-70 5.1 全文总结 68-69 5.2 工作展望 69-70 参考文献 70-75 学习期间发表的学术论文与研究成果清单 75-76 致谢 76
|
相似论文
- 驱动级木马传输和加密算法设计与实现,TP393.08
- 基于Linux系统的证据收集研究与实现,D918.2
- 基于网卡的Rootkit隐蔽技术研究,TP393.08
- 基于虚拟机的安全监测研究,TP274
- 基于LSM的改进型Linux入侵检测系统,TP393.08
- 基于Windows平台的Rootkit技术研究与应用,TP393.08
- 基于硬件虚拟技术的恶意代码检测与审计,TP393.08
- 基于Rootkit的蜜罐保护技术研究,TP393.08
- Windows环境下针对Rootkit隐藏技术的木马检测技术,TP393.08
- 基于系统虚拟化技术的内核态Rootkit检测,TP391.3
- 网络恶意代码隐藏技术的分析及检测,TP393.08
- 基于硬件虚拟技术的Rootkit检测技术研究,TP393.08
- Windows环境下木马检测技术的研究,TP309.5
- 网络攻击行为解析与演示,TP393.08
- 基于Linux内核的Rootkit研究,TP316.81
- 对象存储系统安全检测技术的研究,TP333
- 基于课程本体的语义检索研究及应用,TP391.3
- 恶意代码态势感知系统的设计与实现,TP393.08
- 基于Win32 Rootkit的隐蔽平台设计与实现,TP311.52
- 基于Windows操作系统的Rootkit检测系统研究,TP316.7
- 计算机在线取证工具的测试和分析,TP399-C2
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com
|