本文關(guān)鍵詞：基于虛擬化的不可信模塊運(yùn)行監(jiān)控

  更多相關(guān)文章： 內(nèi)核完整性 模塊隔離 堆棧保護(hù) 虛擬機(jī) 虛擬機(jī)監(jiān)視器 KVM

【摘要】：為了監(jiān)控內(nèi)核模塊rootkit的行為,提出一種基于硬件輔助虛擬化的虛擬機(jī)內(nèi)核模塊隔離框架,采用兩套硬件輔助頁(yè)表技術(shù)實(shí)現(xiàn)不可信模塊與內(nèi)核的隔離運(yùn)行,并使用一種基于棧幀基地址鏈的方法保護(hù)內(nèi)核堆棧的完整性.在KVM(基于內(nèi)核的虛擬機(jī))全虛擬化環(huán)境下實(shí)現(xiàn)了虛擬機(jī)內(nèi)核模塊隔離運(yùn)行的原型系統(tǒng)Hyper-ISO(超級(jí)隔離).實(shí)驗(yàn)結(jié)果表明:Hyper-ISO可以實(shí)時(shí)監(jiān)控不可信模塊與內(nèi)核之間的控制轉(zhuǎn)移過程、不可信模塊對(duì)內(nèi)核代碼與數(shù)據(jù)的訪問序列,并保護(hù)內(nèi)核堆棧在模塊運(yùn)行期間不被模塊惡意修改.
【作者單位】： 四川大學(xué)網(wǎng)絡(luò)空間安全研究院;四川大學(xué)計(jì)算機(jī)學(xué)院;
【關(guān)鍵詞】： 內(nèi)核完整性 模塊隔離 堆棧保護(hù) 虛擬機(jī) 虛擬機(jī)監(jiān)視器 KVM
【基金】：國(guó)家自然科學(xué)基金資助項(xiàng)目(61272447)
【分類號(hào)】：TP302;TP309
【正文快照】： 內(nèi)核可通過動(dòng)態(tài)加載模塊來(lái)擴(kuò)展自身功能,被加載的模塊運(yùn)行在內(nèi)核空間,與內(nèi)核具有相同的運(yùn)行權(quán)限.如果模塊利用其高特權(quán)特性對(duì)內(nèi)核實(shí)施攻擊,將會(huì)破壞內(nèi)核完整性,對(duì)操作系統(tǒng)安全帶來(lái)嚴(yán)重威脅.例如,內(nèi)核rootkit通常利用可加載模塊向內(nèi)核導(dǎo)入惡意代碼,作為內(nèi)核的一部分運(yùn)行,更易于，

本文編號(hào)：519407