虚拟化环境下Rootkit检测系统关键技术研究

发布时间：2020-02-08 23:34

【摘要】：云计算因具有动态扩展、按需服务、按量计费等优势而成为继互联网之后又一次信息技术革命,但随着越来越多的用户将数据和服务迁移至云中,云计算的安全问题成为用户关注的焦点。虚拟化技术是云计算的基础,虚拟化环境的安全性直接影响用户数据和服务的安全。虚拟化环境下的Rootkit检测技术是增强虚拟化平台安全性的一个重要的有效手段,现有的虚拟化环境下Rootkit检测技术主要存在以下问题：(1)检测系统存在被恶意代码绕过的风险,即不具备透明性；(2)性能开销较大；(3)对未知Rootkit的检测能力不足。本文基于职能分离的检测系统架构和智能优化算法针对上述问题对现有检测技术进行了改进和优化,具体工作包括以下四个方面。1.针对现有的虚拟化环境下Rootkit检测技术易被绕过、性能开销较大的问题,提出了基于职能分离的检测系统架构XenMatrix,实现了检测系统对恶意代码的透明性,确保自身不被绕过；在该架构下设计了检测频率的自适应调整策略,实现了Rootkit检测频率的动态调整,有效降低了检测系统的性能开销。2.针对现有检测技术对未知Rootkit检测能力不足的问题,本文在XenMatrix系统架构下基于BP神经网络设计了NNDRM (The Detecting Rootkit Model Based on Neural Network)检测模型,提出了检测模型中的量化算法、Rootkit检测算法和解码算法,通过仿真实验证明该检测模型提高了对未知Rootkit的检测能力。3.针对NNDRM检测模型中Rootkit检测算法的学习速率和泛化能力问题,基于改进量子粒子群优化算法提出一种新的Rootkit检测算法XenMDRA(The Modified Algorithm for Detection Rootkit in Xen),通过仿真实验证明了新的检测算法具有更快的学习速率和更强的泛化能力,进一步提高了对未知Rootkit的检测能力。4.为进一步验证本文提出的XenMatrix系统架构、NNDRM检测模型和XenMDRA检测算法在虚拟化环境下的有效性,基于Xen虚拟化设计了Rootkit检测原型系统,并进行了功能验证和性能指标评估实验。通过对实验结果的分析表明,相比目前现有检测技术,本文提出的系统架构、检测模型和检测算法能够有效检测未知Rook it,具有较高的检测率和较低的性能开销。
【学位授予单位】：解放军信息工程大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP309

【参考文献】