信息系统或软件的漏洞一直是信息安全事件发生的主要根源。软件漏洞,特别是内核软件漏洞,给信息安全带来了巨大的威胁。内核程序包括操作系统内核、设备驱动、第三方驱动等,它们运行在ring0上,拥有系统最高权限,共享同一虚拟地址空间,负责硬件驱动访问、虚拟内存的管理等核心任务,因此其安全性对整个系统至关重要。内核漏洞由于其特殊的成因等,是不可避免的,因此,漏洞监测技术日益受到重视。首先,本文在分析传统漏洞监测技术的基础上,针对其存在无法监测内核程序行为或对应监测方法需要修改被监测程序而导致监测结果受到影响等问题,通过对内核漏洞的产生原因和利用技术的研究,提出一种基于硬件虚拟化动态的自动化内核漏洞监测方法。该方法采用硬件虚拟化技术将真实系统映射成虚拟运行环境,构建一个轻量级虚拟机监视器,实现对内核程序调用CPU指令和访问特定内存等的监测,从而达到保证内核程序独立运行情况下的监测。当可能的内核漏洞发生时,结合内核漏洞产生原理、利用技术等以及内核数据结构,便能动态地判定漏洞。然后,根据本文所提出的方法,采用Intel VT技术,设计并实现一个面向Windows的监测系统。监测系统包含初始化、事件分析、事件分发与处理、策略判定、漏洞分析定位五大模块。初始化模块根据采用的虚拟化技术和监测布局完成虚拟环境初始化和监测初始化。事件分析模块通过底层硬件信息的分析重构出上层语义信息。事件分发与处理模块对事件进行基本处理和分发,策略判定模块根据事件对漏洞攻击三个阶段进行判定,漏洞分析定位模块借助栈回溯实现漏洞的定位。各模块环环相扣,实现了对内核漏洞的全面监测。最后通过测试实验分析,结果表明本系统能在不影响内核程序运行的情况下,实现了对内核漏洞的更多更准地监测,从而进一步说明本文所提出方法的有效性。