基于KVM虚拟机的恶意行为检测系统设计与实现
发布时间:2017-05-18 10:02
本文关键词:基于KVM虚拟机的恶意行为检测系统设计与实现,由笔耕文化传播整理发布。
【摘要】:随着云计算的广泛应用,其面临的安全性也不容忽视。传统恶意行为检测系统运行权限与病毒相同,检测结果容易遭到篡改。虚拟机监视器作为云平台的核心组件,具备高特权、隔离性、透明性和不可旁路性等优点,可以为虚拟机用户提供多种安全服务。本文设计了一个基于KVM虚拟机的恶意行为检测系统,通过实时检测客户机内部进程、驱动、内核Rookit、文件系统等核心对象,为虚拟机用户提供第二道安全防线。本文的主要工作量及创新点如下。1、搭建了Ovirt云平台开发环境,研究了虚拟化技术原理,分析了KVM虚拟化源码和安全机制,分析了Libvmi内省库实现机制。2、研究了Windows内核运行原理,分析了以内核Rootkit病毒为主的恶意行为,总结了传统方法和虚拟机检测法的优缺点,提出了改进思路。3、提高了Libvmi内存透视能力,填补了磁盘透视空白。通过逆向缺页中断,实现了页交换文件解析技术。通过逆向客户机内核同步机制,实现了访问临界资源同步技术。通过分析NTFS和FAT32文件系统格式与RAW虚拟镜像格式,实现了虚拟磁盘透视技术。4、借助于改进的内省库对内存和磁盘数据进行透视,并根据Windows内核知识库重构高层语义,实现了恶意行为检测系统。提出了基于多视图模型的隐藏进程检测算法,提出了基于内存和文件样本匹配的隐藏驱动检测模型,提出了基于内核标准库匹配的Rootkit检测模型。利用KVM内存虚拟化原理构建了进程行为与状态检测模型,设计了自适应模型动态调节检测策略,降低了负载。并增强了数字签名验证算法,能有效地评估虚拟机危险程度。本文通过改进内存与磁盘透视组件,提高了内存访问准确性,扩大了监控系统扫描范围。通过内存和文件语义重构,能有效地检恶意行为。实验证明,检测准确率优于同类算法,性能损失在5%以内。
【关键词】:KVM 内省技术 行为检测模型 内核Rootkit 自适应模型
【学位授予单位】:电子科技大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP302;TP309
【目录】:
- 摘要5-6
- ABSTRACT6-10
- 第一章 绪论10-17
- 1.1 研究背景10
- 1.2 研究现状10-15
- 1.2.1 虚拟化技术的发展与分类10-12
- 1.2.2 基于虚拟机检测技术发展12-15
- 1.3 课题研究内容及工作15-16
- 1.4 本论文的结构16-17
- 第二章 相关技术研究17-24
- 2.1 KVM虚拟机原理分析17-19
- 2.1.1 KVM虚拟机总体架构17-18
- 2.1.2 CPU虚拟化分析18-19
- 2.1.3 内存虚拟化分析19
- 2.2 WINDOWS下的恶意行为19-20
- 2.3 内省技术20-23
- 2.4 本章小结23-24
- 第三章 系统总体设计24-28
- 3.1 系统设计要求24
- 3.2 检测系统组件结构24-26
- 3.3 检测系统总体架构26-27
- 3.4 本章小结27-28
- 第四章 关键技术模块研究与实现28-64
- 4.1 数据访问子系统28-40
- 4.1.1 虚拟磁盘透视技术28-30
- 4.1.2 页交换文件透视技术30-34
- 4.1.3 内存同步技术34-40
- 4.2 驱动管理子系统40-50
- 4.2.1 隐藏驱动检测模型40-43
- 4.2.2 数字认证技术43-50
- 4.3 进程管理子系统50-57
- 4.4 自适应检测子系统57-60
- 4.5 Rootkit 检测子系统60-62
- 4.6 本章小结62-64
- 第五章 系统测试64-76
- 5.1 系统测试概述64
- 5.2 子系统测试64-74
- 5.2.1 数据访问子系统测试64-66
- 5.2.2 驱动管理子系统测试66-68
- 5.2.3 进程管理子系统测试68-73
- 5.2.4 自适应检测子系统测试73
- 5.2.5 Rootkit检测子系统测试73-74
- 5.3 本章小结74-76
- 第六章 总结与展望76-78
- 6.1 工作总结76
- 6.2 未来展望76-78
- 致谢78-79
- 参考文献79-82
- 硕士期间取得的研究成果82-83
【参考文献】
中国期刊全文数据库 前4条
1 周振吉;吴礼发;洪征;徐明飞;;云计算环境下的虚拟机可信度量模型[J];东南大学学报(自然科学版);2014年01期
2 李博;李建欣;胡春明;沃天宇;怀进鹏;;基于VMM层系统调用分析的软件完整性验证[J];计算机研究与发展;2011年08期
3 刘小珍;李焕洲;;基于验证欺骗的AVM2虚拟机逃逸技术[J];计算机应用;2010年08期
4 崔竞松;张雅娜;郭迟;张萌;;支持多种虚拟化技术的进程非代理监控方法[J];华中科技大学学报(自然科学版);2014年11期
中国硕士学位论文全文数据库 前2条
1 张丽;基于完全虚拟化的安全监控技术研究[D];南京理工大学;2013年
2 冯帆;基于VMM的Rootkit检测及防护模型研究[D];北京理工大学;2014年
本文关键词:基于KVM虚拟机的恶意行为检测系统设计与实现,由笔耕文化传播整理发布。
,本文编号:375719
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/375719.html
