基于虚拟机的内核模块行为分析技术研究

发布时间：2017-04-23 19:01

  本文关键词：基于虚拟机的内核模块行为分析技术研究，由笔耕文化传播整理发布。

【摘要】：一方面，互联网的快速发展为我们提供了灵活便捷的通讯手段和丰富多彩的信息资源，以及便利的电子商务交易平台，另一方面，网络所面临的安全问题也越来越严重。恶意代码行为分析是检测恶意代码的前提，它为杀毒软件提供病毒木马的行为特征，但是传统行为分析工具本身存在于不安全的系统环境中，容易受到攻击或欺骗，基于虚拟机的恶意代码行为分析正是为了解决传统分析工具的缺陷发展起来的。 本文围绕基于虚拟机的恶意代码行为分析技术开展研究，针对现阶段缺少内核模块行为分析的缺陷，研究内核模块行为分析技术，主要贡献和创新点为： （1）提出一种基于“In-VM”思想的内核模块行为分析模型。现阶段，针对内核模块行为分析研究较少，主要原因有：一是所有的内核模块共享同一个内核空间，具有相同的系统权限；二是内核函数分散，无法使用传统的函数HOOK等方法来监视其行为。本文利用虚拟化技术的优势，，VMM（Virtual machine monitor）运行在客户操作系统（Guest OS）的下层，具有更高的运行权限，以此来监视客户系统中的行为。本文利用“In-VM”的思想来隔离待分析的内核模块，分析其篡改系统关键数据或运行系统函数的行为。 （2）研究自动化的内核模块恶意行为判别方法。在已知内核模块行为的前提下，如何自动化地判别该模块是否包含恶意行为是一个重点，本文从内核数据和内核函数两个方面展开研究，分析关键数据区并实施保护，对高危险行为实施报警；监控高危型函数的执行过程，基于函数流来判断是否存在恶意行为。 （3）实现了基于“In-VM”思想的内核模块分析原型系统。本文在KVM的基础上实现了上述原型系统，利用VMM的虚拟机内存机制在客户系统内核中建立一个隔离的地址空间，待分析内核模块运行于该隔离空间中，其篡改系统关键数据或运行系统函数的行为都可以被监视。实验表明该原型系统能够分析DKOM行为、HOOK行为、系统函数执行等等。 本文的研究得到湖南省教育厅产业化项目（11CY018)的支持，对提高恶意代码的分析能力和检测能力具有重要意义。
【关键词】：虚拟机监视器 硬件虚拟化 内核行为分析 恶意代码 In-VM模型
【学位授予单位】：湘潭大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP302;TP391.9
【目录】：

• 摘要4-5
• Abstract5-8
• 第1章 引言8-22
• 1.1 课题研究背景及选题意义8-20
• 1.1.1 网络安全威胁越来越严重8-12
• 1.1.2 恶意代码发展迅速12-14
• 1.1.3 恶意代码的反分析技术14-16
• 1.1.4 恶意代码行为分析技术16-20
• 1.2 研究目标与研究内容20-21
• 1.3 论文的组织结构21-22
• 第2章 基于虚拟机的恶意代码行为分析22-30
• 2.1 虚拟化技术22-24
• 2.2 基于虚拟机的恶意代码分析原理24-26
• 2.3 研究现状分析26-28
• 2.3.1 用户空间行为分析26-28
• 2.3.2 内核空间行为分析28
• 2.4 现阶段研究的缺陷28-29
• 2.5 小结29-30
• 第3章 基于虚拟机的内核模块分析模型30-40
• 3.1 “In-VM”检测思想30-32
• 3.2 行为分析模型32-37
• 3.2.1 恶意内核模块的主要行为32-34
• 3.2.2 行为分析模型34-36
• 3.2.3 模型分析36-37
• 3.3 恶意行为判别37-39
• 3.3.1 关键内核数据37
• 3.3.2 系统函数37-39
• 3.4 小结39-40
• 第4章 系统实现40-48
• 4.1 KVM 虚拟机40-43
• 4.2 系统实现43-47
• 4.2.1 建立 In-VM Kernel space43
• 4.2.2 内核空间切换43-45
• 4.2.3 行为捕获45-47
• 4.3 小结47-48
• 第5章 实验48-55
• 5.1 实验目的48
• 5.2 实验环境48
• 5.3 试验内容48-54
• 5.3.1 DKOM 技术48-50
• 5.3.2 函数 HOOK50-53
• 5.3.3 函数执行监视53-54
• 5.4 小结54-55
• 第6章 结束语55-57
• 6.1 工作总结55
• 6.2 下一步工作55-57
• 参考文献57-61
• 致谢61-62
• 在学期间发表的学术论文与研究成果62

【相似文献】

中国期刊全文数据库 前10条

1 谢钧;黄皓;张佳;;基于分段保护的内核模块隔离机制[J];计算机应用与软件;2006年12期

2 李淑文;嵌入式Linux内核模块加载技术的分析[J];广东经济管理学院学报;2004年04期

3 孙海彬,傅谦,徐良贤;Linux内核模块的实现机制[J];微型机与应用;2000年11期

4 孙海彬,傅谦,徐良贤;Linux内核模块的实现机制[J];微电子学与计算机;2001年03期

5 刘天华;陈枭;朱宏峰;刘骏;;Linux可加载内核模块机制的研究与应用[J];微计算机信息;2007年20期

6 熊海泉;;Linux模块实现机制剖析[J];科技广场;2006年02期

7 王琼;;使用NetFilter构建Linux防火墙[J];电脑知识与技术;2010年25期

8 谭成鑫;王雷;关育新;;支持自恢复的微重启技术研究[J];小型微型计算机系统;2013年01期

9 解国红;Linux内核模块的编写及技巧小谈[J];电脑编程技巧与维护;2002年02期

10 ;ARM公司推出新RealView Integrator内核模块[J];电子产品世界;2004年10期

中国重要报纸全文数据库 前1条

1 夏武邋徐继哲;量身定制一款免费的防火墙[N];中国计算机报;2008年

中国硕士学位论文全文数据库 前2条

1 石凡;基于被动拦截的内核模块保护机制[D];浙江大学;2010年

2 刘佳;基于标签检测的网络业务监管系统的设计与实现[D];复旦大学;2011年

  本文关键词：基于虚拟机的内核模块行为分析技术研究，由笔耕文化传播整理发布。

本文编号：322835