基于云环境中的异常检测技术研究
发布时间:2021-01-07 00:40
随着云计算技术的广泛应用,云计算成为提高生产力的有力工具。但是,与此同时云安全问题也日益凸显,针对云计算环境的攻击频繁加剧,云计算环境面临着新的安全威胁,传统的异常检测技术仅仅考虑在操作系统内部进行检测或信息提取,而基于网络规则的入侵检测技术又难于发现新的安全威胁。因此,基于云环境的入侵检测技术面临着新挑战。目前,虚拟机自省技术(Virtual Machine Introspection,VMI)已经成为解决云安全问题的关键技术,该技术可以从虚拟机外部通过语义重构等方式获取虚拟机的详细运行状态信息,依赖这种技术可以有效的判定云环境客户虚拟机中的隐藏威胁,并利用进程与网络的对照关系有效地将主机检测与网络检测相结合,提升云环境的异常检测的准确率,降低误报率和漏报率。本文提出了一种基于VMI的混合协同检测架构,主要研究工作和成果如下:(1)详细分析了虚拟机自省技术的实现方式,在云环境虚拟化平台特权域Hypervisor层中部署相应的自省工具,实时动态获取虚拟机内存转储文件、网络数据包流量、进程行为、模块、文件、注册表等虚拟机安全状态信息。(2)总结分析了云环境中的安全威胁模型,从攻击流向与攻...
【文章来源】:天津理工大学天津市
【文章页数】:53 页
【学位级别】:硕士
【部分图文】:
网络进程对照表
windows7 虚拟机中模拟打开该网页,并向 windows7 虚拟机中注入并激活 sts.exe 程序。当 windows7 虚拟机完成感染后对虚拟机内存文件进行转储,并分析实验结果。如图5-2,5-3,5-6所示,在系统调用中可以发现,powershell调用NTCreateUserProcess创建了撒旦病毒的主进程 sts.exe,然后 sts.exe 创建了辅助进程 mmkt.exe,然后 sts.exe向 192.168.0.0/16 网络中随机发生 syn 请求,并修改删除用户注册表。图 5-2 异常进程创建情况
图 5-3 异常进程文件生成情况过对虚拟机内存文件进行分析,异常进程 sts.exe 调用动态链接库如图 5-4 所示图 5-4 sts.exe 调用的动态链接库
【参考文献】:
期刊论文
[1]入侵检测技术的研究现状及其发展[J]. 毕战科,许胜礼. 软件导刊. 2010(11)
[2]基于X86架构的系统虚拟机技术与应用[J]. 董耀祖,周正伟. 计算机工程. 2006(13)
[3]入侵检测技术研究综述[J]. 杨智君,田地,马骏骁,隋欣,周斌. 计算机工程与设计. 2006(12)
本文编号:2961551
【文章来源】:天津理工大学天津市
【文章页数】:53 页
【学位级别】:硕士
【部分图文】:
网络进程对照表
windows7 虚拟机中模拟打开该网页,并向 windows7 虚拟机中注入并激活 sts.exe 程序。当 windows7 虚拟机完成感染后对虚拟机内存文件进行转储,并分析实验结果。如图5-2,5-3,5-6所示,在系统调用中可以发现,powershell调用NTCreateUserProcess创建了撒旦病毒的主进程 sts.exe,然后 sts.exe 创建了辅助进程 mmkt.exe,然后 sts.exe向 192.168.0.0/16 网络中随机发生 syn 请求,并修改删除用户注册表。图 5-2 异常进程创建情况
图 5-3 异常进程文件生成情况过对虚拟机内存文件进行分析,异常进程 sts.exe 调用动态链接库如图 5-4 所示图 5-4 sts.exe 调用的动态链接库
【参考文献】:
期刊论文
[1]入侵检测技术的研究现状及其发展[J]. 毕战科,许胜礼. 软件导刊. 2010(11)
[2]基于X86架构的系统虚拟机技术与应用[J]. 董耀祖,周正伟. 计算机工程. 2006(13)
[3]入侵检测技术研究综述[J]. 杨智君,田地,马骏骁,隋欣,周斌. 计算机工程与设计. 2006(12)
本文编号:2961551
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2961551.html
