|
|
EDA365欢迎您登录!
您需要 登录 才可以下载或查看,没有帐号?注册
x
摘要:与传统的入侵检测系统相比,基于虚拟机自省的人侵检测系统的抗干扰性更强.但由于存在语义鸿沟问题,即低层的硬件字节信息与操作系统级语义之间的差异,导致入侵检测系统的通用性和实时性下降.针对此问题,本文提出了VIhd,一种基于语义鸿沟修复方法的rootkit隐藏对象检测技术.VIld将系统分离成离线和在线模块两部分.在线模块用于即时地在虚拟机外部重构虚拟机语义视图;离线模块用于离线地提取操作系统语义知识,并向在线模块提供语义服务.通过对各类Linux操作系统和多种 rootkit进行入侵检测试验,发现Vlld对rookit 的隐藏对象检测效果良好,通用性强.Vlhd 的单次扫描时间为34ms ,对系统引入了1.1%(扫描周期设置为8s时)的性能开销.0 r' c. i) f1 G: {( b
# @9 c5 W' ~7 @
关键词:虚拟化;隐藏检测;rootkit; xen;语义修复
: b. d4 x: O7 i* i) t
6 ]4 U# o& `, q4 ~ 随着虚拟化市场的不断扩大,虚拟机(VM)已经成为rootkit 攻击的新目标.新生恶意软件也往往和rootkit相结合进行自我隐藏,以规避检测.受商业利益驱使, rootkit开发者不断提升其隐藏性,所采用隐藏的技术也由操作系统指令的简单替换升级为劫持内核控制流、直接内核对象操作等先进技术,导致恶意软件更加难以被检测到.
2 Z3 w0 |; L" X+ s) y6 A/ d( ~1 B j$ W* v2 t. J+ R; r
$ ?) L( o' y r4 C$ D7 f. j/ @
6 m+ [% F) {6 d2 \5 K; P
' B- L7 g4 B0 ?6 g t2 H1 _
- k1 I1 K0 e6 L9 m
6 F1 i `# c) e( @3 ~2 p8 Y& e" a" a& Y
# W, I$ S7 ], T4 u
" y$ W6 O5 i6 v4 | p |
|