基于硬件虚拟化的轻量级内存实时取证技术研究

发布时间：2017-06-25 13:12

  本文关键词：基于硬件虚拟化的轻量级内存实时取证技术研究，由笔耕文化传播整理发布。

【摘要】：随着计算机技术的普及和高速发展,针对计算机的攻击行为也日益频繁,由于商业个人信息的电子化和相关法律的不断完善,其攻击目的也从单纯的破坏行为转为更加隐蔽的信息窃取和资源控制。攻击者倾向于获取珍贵的个人隐私和商业机密,或控制目标机器来实现更大规模的网络攻击,同时设法逃离法律的制裁,这导致了隐藏技术的普及,让罪犯得以延长对目标机器的入侵时间获得最大的利益。为了将犯罪者绳之以法,现有的内存取证技术往往需要事先获取目标电脑的内存镜像,并对镜像进行分析来得到证据。这种事后取证的方法不但费时费力,而且往往获取不到完整的证据。直接对目标机器进行证据获取能较好地解决问题,但是现有的技术和方法大多与攻击者处于同一个权限级别,极容易被侦测和防范,导致获得不可信的证据。虽然已有基于虚拟化的方法,但其主要用于对已获取的样本进行分析,无法直接对目标系统进行取证,灵活度显然不够。本文提出了一个基于硬件虚拟化的轻量化内存实时取证框架,其原理是在运行时动态迁移目标操作系统至虚拟机中,无需停机时间,即可使用虚拟机监视器对目标操作系统进行取证。本文基于取证框架还提出了两种取证技术,其目的分别是：1)获得准确而有效的内存数据,即在目标系统内外两个视角进行联合取证；2)对进程行为进行分析,即使用了一种半同步式的监视方法。所有实现完全基于硬件虚拟化事件,无需修改任何操作系统代码和数据,在使用后也能够完全卸载。这在保护了犯罪现场的同时,也保证了目标系统的持续可用性。为了防止取证过程被攻击者发现和干扰,操作系统的内存空间被完全隔离,并通过加密的控制接口和数据访问接口实现透明的命令控制和证据获取。通过两个具体的取证实验,我们证明了使用该技术的取证方法能够在最新的64位多核操作系统中获得可信和完整的证据,同时具有优秀的性能和极低的内存占用。
【关键词】：证据 实时迁移 内存取证框架 数据分析 行为分析 硬件虚拟化
【学位授予单位】：南京大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP309;TP333.1
【目录】：

• 摘要5-6
• Abstract6-10
• 第一章 绪论10-17
• 1.1 研究背景及意义10-11
• 1.2 内存实时取证的现状11-13
• 1.3 内存实时取证面临的挑战13-14
• 1.4 本文主要工作14-15
• 1.5 组织结构15-17
• 第二章 内存取证技术研究现状17-24
• 2.1 基于操作系统内核的内存取证技术17-18
• 2.2 基于外部硬件的内存取证技术18
• 2.3 基于独立内核的内存取证技术18-19
• 2.4 基于系统管理模式的内存取证技术19
• 2.5 基于软件虚拟化的内存取证技术19-20
• 2.6 基于硬件虚拟化的内存取证技术20-21
• 2.7 不同取证技术的分析与对比21-23
• 2.8 本章小结23-24
• 第三章 基于硬件虚拟化的轻量级内存实时取证框架24-37
• 3.1 Intel-VT硬件虚拟化技术简介24-25
• 3.2 轻量级内存实时取证框架的总体设计25-27
• 3.3 框架各模块的设计和实现27-32
• 3.3.1 事件处理模块的设计和实现27-29
• 3.3.2 内存虚拟化模块的设计和实现29-30
• 3.3.3 控制模块的设计和实现30-31
• 3.3.4 证据导出模块的设计和实现31-32
• 3.4 轻量级内存实时取证框架的特性实现32-35
• 3.4.1 基于实时迁移技术的启动过程32-33
• 3.4.2 取证框架隔离与隐藏特性的实现33-35
• 3.5 本章小结35-37
• 第四章 基于多视角印证的进程信息取证技术37-50
• 4.1 多视角印证技术的意义37-39
• 4.2 基于多视角印证的取证技术的设计39
• 4.3 基于多视角印证的取证技术的实现39-45
• 4.3.1 核心方法实现40-43
• 4.3.2 与取证框架相关的实现43-45
• 4.4 基于多视角印证的取证技术的实验和分析45-49
• 4.4.1 进程信息取证实验45-48
• 4.4.2 性能分析48-49
• 4.5 本章小结49-50
• 第五章 半同步式的内存行为取证技术50-72
• 5.1 半同步式的内存行为取证技术意义50-51
• 5.2 半同步式的内存行为取证技术设计51-54
• 5.2.1 半同步式的内存行为监视原理51-53
• 5.2.2 半同步式的内存行为监视技术的总体设计53-54
• 5.3 半同步式的内存行为取证技术实现54-64
• 5.3.1 监视单元的实现54-60
• 5.3.2 对具有对称多处理结构系统的支持60-61
• 5.3.3 证据的收集、处理和获取61-63
• 5.3.4 与取证框架相关的实现63-64
• 5.4 半同步式的内存行为取证技术实验和分析64-70
• 5.4.1 恶意进程行为取证实验64-68
• 5.4.2 性能分析68-70
• 5.5 本章小结70-72
• 第六章 总结与展望72-74
• 6.1 论文总结72-73
• 6.2 进一步工作展望73-74
• 参考文献74-79
• 致谢79-80
• 攻读硕士学位期间成果列表80-82

【共引文献】

中国期刊全文数据库 前10条

1 向涛;苟木理;;Windows 8下基于镜像文件的内存取证研究[J];计算机工程与应用;2013年19期

2 HOWDEN Chris;LIU Lu;LI ZhiYuan;LI JianXin;ANTONOPOULOS Nick;;Virtual vignettes: the acquisition,analysis,and presentation of social network data[J];Science China(Information Sciences);2014年03期

3 季雨辰;伏晓;石进;骆斌;赵志宏;;计算机入侵取证中的入侵事件重构技术研究[J];计算机工程;2014年01期

4 钱勤;董步云;唐哲;伏晓;茅兵;;面向Windows操作系统的内存取证技术研究[J];计算机工程;2014年08期

5 Lian-Hai Wang;Qiu-Liang Xu;;Primary Exploration of Reliability Evaluation of Computer Live Forensics Model on Physical Memory Analysis[J];Journal of Harbin Institute of Technology;2014年04期

6 Ya-Dong Li;Dong-Hui Hu;Yu-Qi Fan;Xin-Dong Wu;;Web Page Forensics:A Web Spider Based Approach[J];Journal of Harbin Institute of Technology;2014年06期

7 Jingsha He;Gongzheng Liu;Bin Zhao;Xuejiao Wan;Na Huang;;Ensuring the Authenticity and Non-Misuse of Data Evidence in Digital Forensics[J];Journal of Harbin Institute of Technology;2015年01期

8 丁勇;吕海峰;余小龙;桂丰;李新国;;一种基于智能终端的远程证明方案[J];密码学报;2015年02期

9 杨泽明;刘宝旭;许榕生;;数字取证研究现状与发展态势[J];科研信息化技术与应用;2015年01期

10 韩宗达;李炳龙;;基于证据库的数字证据转换模型[J];计算机应用研究;2015年07期

中国博士学位论文全文数据库 前1条

1 王连海;基于物理内存分析的在线取证模型与方法的研究[D];山东大学;2014年

中国硕士学位论文全文数据库 前6条

1 陈涛;一种安全高效的虚拟网络结构的设计与实现[D];北京交通大学;2014年

2 孔飞;面向内存的Web邮件取证技术研究与系统实现[D];杭州电子科技大学;2013年

3 季涛;基于虚拟机的云计算可信安全技术研究[D];江苏科技大学;2013年

4 杜炜;KVM客户机主动共享的内存超量使用策略研究[D];杭州电子科技大学;2014年

5 李传龙;云计算系统IaaS层安全性评估模型的研究[D];内蒙古农业大学;2014年

6 况卫国;基于虚拟化技术的高校软件实验平台的研究与实现[D];南昌大学;2014年

  本文关键词：基于硬件虚拟化的轻量级内存实时取证技术研究，，由笔耕文化传播整理发布。

本文编号：482251