本文關(guān)鍵詞：基于虛擬機的內(nèi)核模塊行為分析技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：一方面，互聯(lián)網(wǎng)的快速發(fā)展為我們提供了靈活便捷的通訊手段和豐富多彩的信息資源，以及便利的電子商務(wù)交易平臺，另一方面，網(wǎng)絡(luò)所面臨的安全問題也越來越嚴重。惡意代碼行為分析是檢測惡意代碼的前提，它為殺毒軟件提供病毒木馬的行為特征，但是傳統(tǒng)行為分析工具本身存在于不安全的系統(tǒng)環(huán)境中，容易受到攻擊或欺騙，基于虛擬機的惡意代碼行為分析正是為了解決傳統(tǒng)分析工具的缺陷發(fā)展起來的。 本文圍繞基于虛擬機的惡意代碼行為分析技術(shù)開展研究，針對現(xiàn)階段缺少內(nèi)核模塊行為分析的缺陷，研究內(nèi)核模塊行為分析技術(shù)，主要貢獻和創(chuàng)新點為： （1）提出一種基于“In-VM”思想的內(nèi)核模塊行為分析模型�，F(xiàn)階段，針對內(nèi)核模塊行為分析研究較少，主要原因有：一是所有的內(nèi)核模塊共享同一個內(nèi)核空間，具有相同的系統(tǒng)權(quán)限；二是內(nèi)核函數(shù)分散，無法使用傳統(tǒng)的函數(shù)HOOK等方法來監(jiān)視其行為。本文利用虛擬化技術(shù)的優(yōu)勢，，VMM（Virtual machine monitor）運行在客戶操作系統(tǒng)（Guest OS）的下層，具有更高的運行權(quán)限，以此來監(jiān)視客戶系統(tǒng)中的行為。本文利用“In-VM”的思想來隔離待分析的內(nèi)核模塊，分析其篡改系統(tǒng)關(guān)鍵數(shù)據(jù)或運行系統(tǒng)函數(shù)的行為。 （2）研究自動化的內(nèi)核模塊惡意行為判別方法。在已知內(nèi)核模塊行為的前提下，如何自動化地判別該模塊是否包含惡意行為是一個重點，本文從內(nèi)核數(shù)據(jù)和內(nèi)核函數(shù)兩個方面展開研究，分析關(guān)鍵數(shù)據(jù)區(qū)并實施保護，對高危險行為實施報警；監(jiān)控高危型函數(shù)的執(zhí)行過程，基于函數(shù)流來判斷是否存在惡意行為。 （3）實現(xiàn)了基于“In-VM”思想的內(nèi)核模塊分析原型系統(tǒng)。本文在KVM的基礎(chǔ)上實現(xiàn)了上述原型系統(tǒng)，利用VMM的虛擬機內(nèi)存機制在客戶系統(tǒng)內(nèi)核中建立一個隔離的地址空間，待分析內(nèi)核模塊運行于該隔離空間中，其篡改系統(tǒng)關(guān)鍵數(shù)據(jù)或運行系統(tǒng)函數(shù)的行為都可以被監(jiān)視。實驗表明該原型系統(tǒng)能夠分析DKOM行為、HOOK行為、系統(tǒng)函數(shù)執(zhí)行等等。 本文的研究得到湖南省教育廳產(chǎn)業(yè)化項目（11CY018)的支持，對提高惡意代碼的分析能力和檢測能力具有重要意義。
【關(guān)鍵詞】：虛擬機監(jiān)視器 硬件虛擬化 內(nèi)核行為分析 惡意代碼 In-VM模型
【學(xué)位授予單位】：湘潭大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP302;TP391.9
【目錄】：

• 摘要4-5
• Abstract5-8
• 第1章 引言8-22
• 1.1 課題研究背景及選題意義8-20
• 1.1.1 網(wǎng)絡(luò)安全威脅越來越嚴重8-12
• 1.1.2 惡意代碼發(fā)展迅速12-14
• 1.1.3 惡意代碼的反分析技術(shù)14-16
• 1.1.4 惡意代碼行為分析技術(shù)16-20
• 1.2 研究目標與研究內(nèi)容20-21
• 1.3 論文的組織結(jié)構(gòu)21-22
• 第2章 基于虛擬機的惡意代碼行為分析22-30
• 2.1 虛擬化技術(shù)22-24
• 2.2 基于虛擬機的惡意代碼分析原理24-26
• 2.3 研究現(xiàn)狀分析26-28
• 2.3.1 用戶空間行為分析26-28
• 2.3.2 內(nèi)核空間行為分析28
• 2.4 現(xiàn)階段研究的缺陷28-29
• 2.5 小結(jié)29-30
• 第3章 基于虛擬機的內(nèi)核模塊分析模型30-40
• 3.1 “In-VM”檢測思想30-32
• 3.2 行為分析模型32-37
• 3.2.1 惡意內(nèi)核模塊的主要行為32-34
• 3.2.2 行為分析模型34-36
• 3.2.3 模型分析36-37
• 3.3 惡意行為判別37-39
• 3.3.1 關(guān)鍵內(nèi)核數(shù)據(jù)37
• 3.3.2 系統(tǒng)函數(shù)37-39
• 3.4 小結(jié)39-40
• 第4章 系統(tǒng)實現(xiàn)40-48
• 4.1 KVM 虛擬機40-43
• 4.2 系統(tǒng)實現(xiàn)43-47
• 4.2.1 建立 In-VM Kernel space43
• 4.2.2 內(nèi)核空間切換43-45
• 4.2.3 行為捕獲45-47
• 4.3 小結(jié)47-48
• 第5章 實驗48-55
• 5.1 實驗?zāi)康?/span>48
• 5.2 實驗環(huán)境48
• 5.3 試驗內(nèi)容48-54
• 5.3.1 DKOM 技術(shù)48-50
• 5.3.2 函數(shù) HOOK50-53
• 5.3.3 函數(shù)執(zhí)行監(jiān)視53-54
• 5.4 小結(jié)54-55
• 第6章 結(jié)束語55-57
• 6.1 工作總結(jié)55
• 6.2 下一步工作55-57
• 參考文獻57-61
• 致謝61-62
• 在學(xué)期間發(fā)表的學(xué)術(shù)論文與研究成果62

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 謝鈞;黃皓;張佳;;基于分段保護的內(nèi)核模塊隔離機制[J];計算機應(yīng)用與軟件;2006年12期

2 李淑文;嵌入式Linux內(nèi)核模塊加載技術(shù)的分析[J];廣東經(jīng)濟管理學(xué)院學(xué)報;2004年04期

3 孫海彬,傅謙,徐良賢;Linux內(nèi)核模塊的實現(xiàn)機制[J];微型機與應(yīng)用;2000年11期

4 孫海彬,傅謙,徐良賢;Linux內(nèi)核模塊的實現(xiàn)機制[J];微電子學(xué)與計算機;2001年03期

5 劉天華;陳梟;朱宏峰;劉駿;;Linux可加載內(nèi)核模塊機制的研究與應(yīng)用[J];微計算機信息;2007年20期

6 熊海泉;;Linux模塊實現(xiàn)機制剖析[J];科技廣場;2006年02期

7 王瓊;;使用NetFilter構(gòu)建Linux防火墻[J];電腦知識與技術(shù);2010年25期

8 譚成鑫;王雷;關(guān)育新;;支持自恢復(fù)的微重啟技術(shù)研究[J];小型微型計算機系統(tǒng);2013年01期

9 解國紅;Linux內(nèi)核模塊的編寫及技巧小談[J];電腦編程技巧與維護;2002年02期

10 ;ARM公司推出新RealView Integrator內(nèi)核模塊[J];電子產(chǎn)品世界;2004年10期

中國重要報紙全文數(shù)據(jù)庫 前1條

1 夏武邋徐繼哲;量身定制一款免費的防火墻[N];中國計算機報;2008年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前2條

1 石凡;基于被動攔截的內(nèi)核模塊保護機制[D];浙江大學(xué);2010年

2 劉佳;基于標簽檢測的網(wǎng)絡(luò)業(yè)務(wù)監(jiān)管系統(tǒng)的設(shè)計與實現(xiàn)[D];復(fù)旦大學(xué);2011年

  本文關(guān)鍵詞：基于虛擬機的內(nèi)核模塊行為分析技術(shù)研究，由筆耕文化傳播整理發(fā)布。

本文編號：322835