基于虚拟化的不可信模块运行监控

发布时间：2017-07-04 21:20

  本文关键词：基于虚拟化的不可信模块运行监控

  更多相关文章： 内核完整性 模块隔离 堆栈保护 虚拟机 虚拟机监视器 KVM

【摘要】：为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改.
【作者单位】： 四川大学网络空间安全研究院;四川大学计算机学院;
【关键词】： 内核完整性 模块隔离 堆栈保护 虚拟机 虚拟机监视器 KVM
【基金】：国家自然科学基金资助项目(61272447)
【分类号】：TP302;TP309
【正文快照】： 内核可通过动态加载模块来扩展自身功能,被加载的模块运行在内核空间,与内核具有相同的运行权限.如果模块利用其高特权特性对内核实施攻击,将会破坏内核完整性,对操作系统安全带来严重威胁.例如,内核rootkit通常利用可加载模块向内核导入恶意代码,作为内核的一部分运行,更易于，

本文编号：519407