基于硬件虚拟技术的恶意代码检测与审计
Malicious Code Detection and Auditing Based on Hardware Virtualization Technology
信息技术迅猛发展的同时,给信息安全也不断带来了新的挑战.而恶意代码检测的焦点则在于如何检测和如何在检测运行时与恶意代码的抗衡.传统的检测方式在面对现代恶意代码日益复杂的内部机制是远远不够的,其主要原因在于:一是针对一些新型恶意代码的检测基本无效;二是对于一些深层的恶意代码攻击,无法使检测器获得更高的特权等级;三是难以提高检测器自身的透明性,容易受到恶意代码的干扰.因此,论文的研究目的在于实现对恶意代码全面、透明的检测与审计.围绕个人计算机的信息安全,对当前已知RootKit技术、Intel X86平台的启动过程、恶意代码检测技术等内容进行研究,分析阐述了现有技术存在的问题.全面分析了虚拟技术,重点研究了硬件虚拟技术的相关概念及技术特点.在这些研究基础之上,提出了基于硬件虚拟化的透明检测技术与安全审计技术.构建了一个主机恶意代码检测与安全审计系统.该检测审计系统可对操作系统内核地址、内核代码、系统调用、中断描述符基址和一定范围内存进行保护,并对文件操作、进程启动、软件安装卸载、网络数据包进行审计.检测审计系统的各个模块之间联系紧密,功能互补.在很大程度上弥补了传统的主机保护机制在面对新型恶意代码时的不足,以及难以脱离用户访问组件,实现透明的制约.实验讨论了这些关键技术的实现机制与应用环境,测试了主机检测审计系统对新型恶意代码检测的有效性,以及主机安全审计的可靠性.最后也对基于硬件虚拟技术的主机检测审计系统指出了进一步的研究方向.
- 作者:
- 杨政寰
- 学位授予单位:
- 解放军信息工程大学
- 专业名称:
- 计算机应用技术
- 授予学位:
- 硕士
- 学位年度:
- 2010年
- 导师姓名:
- 祝跃飞
- 中图分类号:
- TP393.08
- 关键词:
- RootKit;安全;VM;硬件虚拟机模块;透明;审计
- RootKit;Security;VM;Hardware Virtual Machine Module;Transparency;Auditing