虚拟化平台操作系统内核级Rootkits防护方法研究

来源 :北京理工大学 | 被引量 : 0次 | 上传用户:zhlinen
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着信息技术的发展,社会对信息安全的需求日益迫切,信息安全已经成为一个不容忽视的问题。而操作系统作为信息系统的基础要素之一,其安全问题会威胁到整个信息系统,其内核的安全是操作系统安全防护的主要内容,一旦遭到威胁则可能影响到整个操作系统甚至信息系统的安全。内核级Rootkits攻击是威胁操作系统内核安全性的主要问题,它可以篡改操作系统内核代码或数据,进而控制整个操作系统,隐藏其恶意行为。论文以对抗内核级Rootkits攻击的防护方法为研究目标,以保护操作系统内核数据完整性为技术路线,首先针对多平台构建数据访问关系图和函数调用关系图;而后以此为判断依据,分别对内核中非栈数据和栈数据进行防护;再建立操作系统内核级Rootkits防护模型和实验原型。论文的主要成果和创新点包括:1.提出了一种利用虚拟化异常机制、兼容多种平台架构的操作系统内核级数据访问和函数调用关系图自动构建方法,该方法不依赖于其软件结构或编译规定,准确率和查全率高。为了给内核中非栈数据防护方法和内核中栈数据防护方法提供判断依据,提出了一种数据访问和函数调用关系图自动构建方法。该方法利用虚拟机监控器的页异常机制监控特定内存数据的写访问,记录访问内存数据的指令,从而建立数据访问关系图;利用虚拟机监控器的软件断点异常机制劫持内存函数的头地址指令、调用指令和返回指令等,从而监控内存函数间的父子调用关系,再建立从子函数到父函数的函数调用关系图。实验分别针对x86架构的32位Windows XP、32位Linux和x64架构的64位Windows 7进行关系图构建,结果表明,数据访问关系图的构建准确率为100%;函数调用关系图的构建准确率为100%,查全率在87%以上。该方法可兼容x86和x64处理器架构的多种操作系统,且不依赖于其软件结构或编译规定。构建的这两类关系图可直接作为内核中非栈数据和栈数据防护方法的判断依据。2.提出了一种以合法内核模块代码段、数据访问关系图和函数调用关系图为可信区间的内核中非栈数据防护方法,对内核中的代码、堆数据、数据段、BSS段等进行保护,该方法可有效对抗多种类型的Rootkits攻击,可靠性高。为了对抗MEP、KOH和DKOM类型的Rootkits对内核中非栈数据的攻击,提出了一种建立可信区间的内核中非栈数据防护方法。该方法以合法内核模块代码段建立可信区间,检测内核中非栈数据里的离散函数指针是否指向合法内核模块代码段;然后以数据访问关系图和函数调用关系图建立可信区间,确保内核中非栈数据里其它类型的目标数据只能由数据访问关系图中的指令进行修改,且调用这些指令的父函数也需要满足函数调用关系图。实验针对32位Windows XP选取6种典型的恶意Rootkits并构建14种攻击样本进行测试,结果表明,该方法可防护各种典型的恶意Rootkits和攻击样本,成功地抵御了MEP、KOH和DKOM类型的Rootkits攻击,并且能够同时阻止页映射攻击,对内核中非栈数据进行了有效的保护。与同类方法相比,该方法的显著优势在于对DKOM类型攻击的防护上,它能够阻止这类恶意代码的运行,且防护方法更加完备、可靠。3.提出了一种通过监控内核栈的切换、替换、创建和删除等过程,将可执行单元与其内核栈进行绑定的内核中栈数据防护方法,该方法防护能力强,作用范围广,能够对内核栈中所有类型的数据进行同步保护。为了阻止“return-to-schedule”及其扩展类型的Rootkits对内核中栈数据的攻击,提出了一种绑定可执行单元的内核中栈数据防护方法。该方法通过监控内核栈的切换、替换、创建和删除等过程,同步地改变内核栈所在内存区域的读写属性,使得可执行单元只能修改自身的内核栈数据,无法篡改其他内核栈数据,从而达到将可执行单元与其内核栈进行绑定的效果;然后依据数据访问和函数调用关系图对内核中的相关代码、数据进行保护,从而保证可执行单元不会通过执行恶意代码来篡改自身的内核栈数据。实验针对32位Windows XP构建了6种攻击内核栈数据的测试样本进行检验,结果表明,该方法可以防护全部攻击样本,成功阻止了return-to-schedule”及其扩展类型的Rootkits攻击,可以有效防护内核栈上的返回地址、参数、局部变量等所有类型的数据。4.构建了一个基于虚拟化技术支持多种平台架构的内核级Rootkits防护模型,设计实现了其实验原型系统,该实验系统防护能力强,占用资源少。为了抵御Rootkits对操作系统内核数据的攻击,构建了一种内核级Rootkits防护模型,并设计实现其实验原型系统。该系统主要利用了内核中非栈数据和栈数据防护方法来对操作系统内核中的内存数据进行保护;同时监控对操作系统关键寄存器的写操作,从而保证这些寄存器数据的完整性;为了能够兼容多种平台,该系统通过识别客户虚拟机中操作系统类型,然后重构其语义信息并加以保护。实验针对32位Windows XP选取6种典型的恶意Rootkits并构建25种攻击样本进行测试,结果表明,该实验系统可有效抵御各种典型的Rootkits和测试样本,性能开销不足3.1%。同时,也可以防护64位Windows 7和32位Linux环境下的典型恶意Rootkits的攻击。该实验系统以较少的占用资源有效地保护多种操作系统的内核数据。
其他文献
本文介绍一种利用VB和Matlab对液压打桩锤系统进行仿真和分析的方法。通过VB和Matlab的接口,把Matlab作为VB的服务器,完成数据的输入、计算和输出的全过程。本文重点介绍了如何
对象识别是计算机视觉领域的一个基本问题,生成有判别力的图像表示是解决这个问题的一种重要方法。词袋模型(Bag-of-Words, BOW)是一种常用的图像表示方式,它把局部的特征抽
以某电厂为例,在化学清洗导则的基础上,对余热锅炉结构进行了分析,制定了该类型余热锅炉化学清洗方案,并针对该方案操作周期长的缺点,做了进一步尝试性优化。
在线网上学习在世界上已不是新鲜事,但在越南这一学习系统尚未达到有效应用。特别是越南的学分制度,需要进行一次全面的分析和更大范围的研究以了解实际情况和提供解决方案,
开展隐写检测特征分析和隐写算法识别研究,对提高隐写检测的准确率、效率,以及隐秘信息的提取等,具有重要的理论价值和现实意义。本文着重对图像隐写检测特征比较和选择、特
基于低空巡航导弹等地面高度飞行的事实,在引入多路径球面几何模型的基础上,推导并定义了反应多路径条件下地基雷达探测性能的多路径因子。通过分析多路径因子对探测巡航导弹
针对供水GIS缺乏现场使用手段的问题,开发完成了移动版GIS。通过应用移动GIS,施工人员能够方便快捷地实现管网及相关附属设施的属性查询、事故现场相关阀门的定位,在缩短抢修
通过对赛事产业的产业内竞争对手、供应商、买方、潜在进入者和替代产品五大主体的界定及其竞争压力分析,绘制了我国赛事产业的竞争格局,并构建了我国赛事产业的五力模型。总
扎木钦矿床处于大兴安岭中南部的锡林浩特-霍林郭勒多金属成矿带内,是近年来大兴安岭地区发现的大型铅锌多金属矿床之一.扎木钦铅锌矿床赋存在侏罗系上统白音高老组酸性火山
回 回 产卜爹仇贱回——回 日E回。”。回祖 一回“。回干 肉果幻中 N_。NH lP7-ewwe--一”$ MN。W;- __._——————》 砧叫]们羽 制作:陈恬’#陈川个美食 Back to yield