● 摘要
虚拟化技术实现了计算、存储、网络等IT资源的虚拟化,是云计算行业快速发展的基础。虚拟机是云环境对外提供的一种最基本的服务形式,云服务提供商向个人、组织用户提供单个虚拟机或者多个虚拟机组成的虚拟网络,以满足用户对易维护、高可用性的弹性云服务的需求。随着云环境中安全问题日益凸显,对虚拟机运行时的安全监测成为云服务提供商和用户的共同需求。
针对这一需求,本文研究了恶意软件的行为特征以及虚拟化技术的原理与实现,结合两种技术实现了对被恶意软件感染的虚拟机运行时检测方法,论文主要工作如下:
(1)分析了国内外虚拟机运行时安全和恶意行为监测相关的研究现状,指出了现有研究中存在的问题。研究者在交叉视图比较,内核或者代码完整性验证以及结合传统安全工具的角度在虚拟机安全监测领域做出了各自的探索,提出了各自的解决方案,但是也存在一定的局限性;
(2)针对恶意软件感染后呈现出的隐藏性的特点,提出了基于可信视图的隐藏进程检测方法。通过对进程生存周期的研究,综合了Windows进程管理的机制以及虚拟化的技术特点,实现了在虚拟化层次可靠地对进程创建和进程退出行为的截获从而建立起进程列表的可信视图,并进一步实现在进程整个生存周期监测其隐藏行为;
(3)针对恶意软件感染后呈现出的寄生性的特点,提出了寄生进程的检测方案。在该方案中,针对不同类型的系统进程提出了不同的应对方法:对网络功能比较单一的程序,在虚拟化管理层引入了进程级别的网络行为监测机制,以检测恶意软件注入后产生的异常网络行为;对网络功能比较复杂的程序,则采取基于进程管理结构的注入行为检测方法,从而实现对寄生进程的检测。
需要指出的是,本文提出的恶意行为监测方法完全在虚拟化层实现,属于外部监测模式,不依赖于虚拟机中的代理程序,具有较好的透明性。实验表明,本文提出的方案对恶意软件广泛存在的隐藏和寄生行为有较好的检测效果,并且不会对虚拟机产生较大的性能上的影响。
相关内容
相关标签