本文關(guān)鍵詞：基于虛擬機(jī)的內(nèi)核模塊行為分析技術(shù)研究，由筆耕文化傳播整理發(fā)布。

【摘要】：一方面，互聯(lián)網(wǎng)的快速發(fā)展為我們提供了靈活便捷的通訊手段和豐富多彩的信息資源，以及便利的電子商務(wù)交易平臺(tái)，另一方面，網(wǎng)絡(luò)所面臨的安全問(wèn)題也越來(lái)越嚴(yán)重。惡意代碼行為分析是檢測(cè)惡意代碼的前提，它為殺毒軟件提供病毒木馬的行為特征，但是傳統(tǒng)行為分析工具本身存在于不安全的系統(tǒng)環(huán)境中，容易受到攻擊或欺騙，基于虛擬機(jī)的惡意代碼行為分析正是為了解決傳統(tǒng)分析工具的缺陷發(fā)展起來(lái)的。 本文圍繞基于虛擬機(jī)的惡意代碼行為分析技術(shù)開(kāi)展研究，針對(duì)現(xiàn)階段缺少內(nèi)核模塊行為分析的缺陷，研究?jī)?nèi)核模塊行為分析技術(shù)，主要貢獻(xiàn)和創(chuàng)新點(diǎn)為： （1）提出一種基于“In-VM”思想的內(nèi)核模塊行為分析模型�，F(xiàn)階段，針對(duì)內(nèi)核模塊行為分析研究較少，主要原因有：一是所有的內(nèi)核模塊共享同一個(gè)內(nèi)核空間，具有相同的系統(tǒng)權(quán)限；二是內(nèi)核函數(shù)分散，無(wú)法使用傳統(tǒng)的函數(shù)HOOK等方法來(lái)監(jiān)視其行為。本文利用虛擬化技術(shù)的優(yōu)勢(shì)，，VMM（Virtual machine monitor）運(yùn)行在客戶(hù)操作系統(tǒng)（Guest OS）的下層，具有更高的運(yùn)行權(quán)限，以此來(lái)監(jiān)視客戶(hù)系統(tǒng)中的行為。本文利用“In-VM”的思想來(lái)隔離待分析的內(nèi)核模塊，分析其篡改系統(tǒng)關(guān)鍵數(shù)據(jù)或運(yùn)行系統(tǒng)函數(shù)的行為。 （2）研究自動(dòng)化的內(nèi)核模塊惡意行為判別方法。在已知內(nèi)核模塊行為的前提下，如何自動(dòng)化地判別該模塊是否包含惡意行為是一個(gè)重點(diǎn)，本文從內(nèi)核數(shù)據(jù)和內(nèi)核函數(shù)兩個(gè)方面展開(kāi)研究，分析關(guān)鍵數(shù)據(jù)區(qū)并實(shí)施保護(hù)，對(duì)高危險(xiǎn)行為實(shí)施報(bào)警；監(jiān)控高危型函數(shù)的執(zhí)行過(guò)程，基于函數(shù)流來(lái)判斷是否存在惡意行為。 （3）實(shí)現(xiàn)了基于“In-VM”思想的內(nèi)核模塊分析原型系統(tǒng)。本文在KVM的基礎(chǔ)上實(shí)現(xiàn)了上述原型系統(tǒng)，利用VMM的虛擬機(jī)內(nèi)存機(jī)制在客戶(hù)系統(tǒng)內(nèi)核中建立一個(gè)隔離的地址空間，待分析內(nèi)核模塊運(yùn)行于該隔離空間中，其篡改系統(tǒng)關(guān)鍵數(shù)據(jù)或運(yùn)行系統(tǒng)函數(shù)的行為都可以被監(jiān)視。實(shí)驗(yàn)表明該原型系統(tǒng)能夠分析DKOM行為、HOOK行為、系統(tǒng)函數(shù)執(zhí)行等等。 本文的研究得到湖南省教育廳產(chǎn)業(yè)化項(xiàng)目（11CY018)的支持，對(duì)提高惡意代碼的分析能力和檢測(cè)能力具有重要意義。
【關(guān)鍵詞】：虛擬機(jī)監(jiān)視器 硬件虛擬化 內(nèi)核行為分析 惡意代碼 In-VM模型
【學(xué)位授予單位】：湘潭大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類(lèi)號(hào)】：TP302;TP391.9
【目錄】：

• 摘要4-5
• Abstract5-8
• 第1章 引言8-22
• 1.1 課題研究背景及選題意義8-20
• 1.1.1 網(wǎng)絡(luò)安全威脅越來(lái)越嚴(yán)重8-12
• 1.1.2 惡意代碼發(fā)展迅速12-14
• 1.1.3 惡意代碼的反分析技術(shù)14-16
• 1.1.4 惡意代碼行為分析技術(shù)16-20
• 1.2 研究目標(biāo)與研究?jī)?nèi)容20-21
• 1.3 論文的組織結(jié)構(gòu)21-22
• 第2章 基于虛擬機(jī)的惡意代碼行為分析22-30
• 2.1 虛擬化技術(shù)22-24
• 2.2 基于虛擬機(jī)的惡意代碼分析原理24-26
• 2.3 研究現(xiàn)狀分析26-28
• 2.3.1 用戶(hù)空間行為分析26-28
• 2.3.2 內(nèi)核空間行為分析28
• 2.4 現(xiàn)階段研究的缺陷28-29
• 2.5 小結(jié)29-30
• 第3章 基于虛擬機(jī)的內(nèi)核模塊分析模型30-40
• 3.1 “In-VM”檢測(cè)思想30-32
• 3.2 行為分析模型32-37
• 3.2.1 惡意內(nèi)核模塊的主要行為32-34
• 3.2.2 行為分析模型34-36
• 3.2.3 模型分析36-37
• 3.3 惡意行為判別37-39
• 3.3.1 關(guān)鍵內(nèi)核數(shù)據(jù)37
• 3.3.2 系統(tǒng)函數(shù)37-39
• 3.4 小結(jié)39-40
• 第4章 系統(tǒng)實(shí)現(xiàn)40-48
• 4.1 KVM 虛擬機(jī)40-43
• 4.2 系統(tǒng)實(shí)現(xiàn)43-47
• 4.2.1 建立 In-VM Kernel space43
• 4.2.2 內(nèi)核空間切換43-45
• 4.2.3 行為捕獲45-47
• 4.3 小結(jié)47-48
• 第5章 實(shí)驗(yàn)48-55
• 5.1 實(shí)驗(yàn)?zāi)康?/span>48
• 5.2 實(shí)驗(yàn)環(huán)境48
• 5.3 試驗(yàn)內(nèi)容48-54
• 5.3.1 DKOM 技術(shù)48-50
• 5.3.2 函數(shù) HOOK50-53
• 5.3.3 函數(shù)執(zhí)行監(jiān)視53-54
• 5.4 小結(jié)54-55
• 第6章 結(jié)束語(yǔ)55-57
• 6.1 工作總結(jié)55
• 6.2 下一步工作55-57
• 參考文獻(xiàn)57-61
• 致謝61-62
• 在學(xué)期間發(fā)表的學(xué)術(shù)論文與研究成果62

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 謝鈞;黃皓;張佳;;基于分段保護(hù)的內(nèi)核模塊隔離機(jī)制[J];計(jì)算機(jī)應(yīng)用與軟件;2006年12期

2 李淑文;嵌入式Linux內(nèi)核模塊加載技術(shù)的分析[J];廣東經(jīng)濟(jì)管理學(xué)院學(xué)報(bào);2004年04期

3 孫海彬,傅謙,徐良賢;Linux內(nèi)核模塊的實(shí)現(xiàn)機(jī)制[J];微型機(jī)與應(yīng)用;2000年11期

4 孫海彬,傅謙,徐良賢;Linux內(nèi)核模塊的實(shí)現(xiàn)機(jī)制[J];微電子學(xué)與計(jì)算機(jī);2001年03期

5 劉天華;陳梟;朱宏峰;劉駿;;Linux可加載內(nèi)核模塊機(jī)制的研究與應(yīng)用[J];微計(jì)算機(jī)信息;2007年20期

6 熊海泉;;Linux模塊實(shí)現(xiàn)機(jī)制剖析[J];科技廣場(chǎng);2006年02期

7 王瓊;;使用NetFilter構(gòu)建Linux防火墻[J];電腦知識(shí)與技術(shù);2010年25期

8 譚成鑫;王雷;關(guān)育新;;支持自恢復(fù)的微重啟技術(shù)研究[J];小型微型計(jì)算機(jī)系統(tǒng);2013年01期

9 解國(guó)紅;Linux內(nèi)核模塊的編寫(xiě)及技巧小談[J];電腦編程技巧與維護(hù);2002年02期

10 ;ARM公司推出新RealView Integrator內(nèi)核模塊[J];電子產(chǎn)品世界;2004年10期

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前1條

1 夏武邋徐繼哲;量身定制一款免費(fèi)的防火墻[N];中國(guó)計(jì)算機(jī)報(bào);2008年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前2條

1 石凡;基于被動(dòng)攔截的內(nèi)核模塊保護(hù)機(jī)制[D];浙江大學(xué);2010年

2 劉佳;基于標(biāo)簽檢測(cè)的網(wǎng)絡(luò)業(yè)務(wù)監(jiān)管系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];復(fù)旦大學(xué);2011年

  本文關(guān)鍵詞：基于虛擬機(jī)的內(nèi)核模塊行為分析技術(shù)研究，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：322835