基于资源访问控制的控制流劫持检测与防御研究
发布时间:2023-03-04 11:12
受商业利益等因素的驱使,各类恶意软件技术针对操作系统进行了多种多样的攻击,导致其安全问题变得越来越严峻。其中,控制流劫持作为攻击操作系统的基本手段之一而被攻击者广泛采用。控制流劫持是指攻击者通过篡改具有控制属性的数据或引导控制流进行非法跳转,使控制流按照攻击意图流动。针对内核控制流,攻击者通常采用Rootkit技术篡改具有控制属性的内核数据,以实现控制流重定向;针对用户控制流,攻击者通常使用代码复用攻击技术实现控制流的非法跳转。攻击者使用被劫持的控制流能够实现其攻击目的,因此如何检测和防御控制流劫持是确保系统安全的关键问题。控制流被劫持的根本原因在于操作系统固有的权级部署结构和对执行实体采用的极小干预架构设计,导致其缺乏对执行实体资源访问的有效控制。在传统的操作系统部署结构中,操作系统占据最高的特权等级ring0,使得操作系统中所有的执行实体所能获取到的最高执行权限不高于操作系统本身的特权等级。同时,为提高执行效率,现有的操作系统结构设计仅对执行实体的控制流做了基本的行为规范。这些因素致使已有的安全工具难以建立有效的资源访问控制模型,进而限制了对控制流重定向和非法跳转的检测和防御能力。...
【文章页数】:118 页
【学位级别】:博士
【文章目录】:
摘要
ABSTRACT
第1章 绪论
1.1 研究背景
1.1.1 Rootkit概述
1.1.2 代码复用攻击概述
1.2 相关研究
1.2.1 内核控制流劫持的检测和防御方法
1.2.2 用户控制流劫持的检测和防御方法
1.3 研究意义
1.4 主要贡献
1.5 文章结构安排
第2章 操作系统与虚拟化原理
2.1 操作系统原理
2.1.1 进程的组织形式
2.1.2 进程的加载过程
2.1.3 进程对库函数的调用过程
2.1.4 LKM的创建执行
2.1.5 函数调用过程
2.2 虚拟化原理
2.2.1 虚拟化概述
2.2.2 CPU虚拟化
2.2.3 内存虚拟化
2.2.4 硬件辅助虚拟化
第3章 资源访问控制模型的设计与实现
3.1 问题描述与分析
3.2 VirtWall总体设计
3.3 VirtWall实现原理
3.3.1 模式划分
3.3.2 内存访问控制
3.3.3 VirtWall的自我保护与透明化部署
3.3.4 事件注入机制
3.4 本章小结
第4章 内核控制流劫持检测与防御模型
4.1 问题描述与分析
4.2 SecProtector总体设计
4.2.1 内核控制流劫持检测
4.2.2 内核控制流劫持防御
4.3 SecProtector的部署实现
4.3.1 基于EPT的内存访问控制
4.3.2 基于硬件虚拟化的陷入捕捉机制
4.3.3 内核控制流实时检测策略
4.3.4 恶意内核对象的逆向追溯
4.4 实验及分析
4.4.1 SecProtector对内核控制流劫持的检测和防御
4.4.2 SecProtector对已加载的Rootkit的逆向追溯
4.4.3 性能评估
4.5 本章小结
第5章 用户控制流劫持检测和防御模型
5.1 问题描述及分析
5.2 ProShadow 总体设计
5.2.1 ROP攻击检测与防御
5.2.2 JOP攻击检测与防御
5.3 ProShadow 系统实现
5.3.1 进程监视
5.3.2 地址定位
5.3.3 构建并维护影子副本
5.3.4 影子副本执行保护
5.4 实验及分析
5.4.1 ProShadow对ROP攻击的检测和防御
5.4.2 ProShadow对JOP攻击的检测与防御
5.4.3 ProShadow性能测试
5.5 本章小结
第6章 结论与展望
6.1 总结与结论
6.2 展望
参考文献
致谢
在读期间发表的学术论文与取得的其他研究成果
本文编号:3754186
【文章页数】:118 页
【学位级别】:博士
【文章目录】:
摘要
ABSTRACT
第1章 绪论
1.1 研究背景
1.1.1 Rootkit概述
1.1.2 代码复用攻击概述
1.2 相关研究
1.2.1 内核控制流劫持的检测和防御方法
1.2.2 用户控制流劫持的检测和防御方法
1.3 研究意义
1.4 主要贡献
1.5 文章结构安排
第2章 操作系统与虚拟化原理
2.1 操作系统原理
2.1.1 进程的组织形式
2.1.2 进程的加载过程
2.1.3 进程对库函数的调用过程
2.1.4 LKM的创建执行
2.1.5 函数调用过程
2.2 虚拟化原理
2.2.1 虚拟化概述
2.2.2 CPU虚拟化
2.2.3 内存虚拟化
2.2.4 硬件辅助虚拟化
第3章 资源访问控制模型的设计与实现
3.1 问题描述与分析
3.2 VirtWall总体设计
3.3 VirtWall实现原理
3.3.1 模式划分
3.3.2 内存访问控制
3.3.3 VirtWall的自我保护与透明化部署
3.3.4 事件注入机制
3.4 本章小结
第4章 内核控制流劫持检测与防御模型
4.1 问题描述与分析
4.2 SecProtector总体设计
4.2.1 内核控制流劫持检测
4.2.2 内核控制流劫持防御
4.3 SecProtector的部署实现
4.3.1 基于EPT的内存访问控制
4.3.2 基于硬件虚拟化的陷入捕捉机制
4.3.3 内核控制流实时检测策略
4.3.4 恶意内核对象的逆向追溯
4.4 实验及分析
4.4.1 SecProtector对内核控制流劫持的检测和防御
4.4.2 SecProtector对已加载的Rootkit的逆向追溯
4.4.3 性能评估
4.5 本章小结
第5章 用户控制流劫持检测和防御模型
5.1 问题描述及分析
5.2 ProShadow 总体设计
5.2.1 ROP攻击检测与防御
5.2.2 JOP攻击检测与防御
5.3 ProShadow 系统实现
5.3.1 进程监视
5.3.2 地址定位
5.3.3 构建并维护影子副本
5.3.4 影子副本执行保护
5.4 实验及分析
5.4.1 ProShadow对ROP攻击的检测和防御
5.4.2 ProShadow对JOP攻击的检测与防御
5.4.3 ProShadow性能测试
5.5 本章小结
第6章 结论与展望
6.1 总结与结论
6.2 展望
参考文献
致谢
在读期间发表的学术论文与取得的其他研究成果
本文编号:3754186
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3754186.html
