本文關鍵詞：基于虛擬化的不可信模塊運行監(jiān)控

  更多相關文章： 內(nèi)核完整性 模塊隔離 堆棧保護 虛擬機 虛擬機監(jiān)視器 KVM

【摘要】：為了監(jiān)控內(nèi)核模塊rootkit的行為,提出一種基于硬件輔助虛擬化的虛擬機內(nèi)核模塊隔離框架,采用兩套硬件輔助頁表技術實現(xiàn)不可信模塊與內(nèi)核的隔離運行,并使用一種基于棧幀基地址鏈的方法保護內(nèi)核堆棧的完整性.在KVM(基于內(nèi)核的虛擬機)全虛擬化環(huán)境下實現(xiàn)了虛擬機內(nèi)核模塊隔離運行的原型系統(tǒng)Hyper-ISO(超級隔離).實驗結果表明:Hyper-ISO可以實時監(jiān)控不可信模塊與內(nèi)核之間的控制轉移過程、不可信模塊對內(nèi)核代碼與數(shù)據(jù)的訪問序列,并保護內(nèi)核堆棧在模塊運行期間不被模塊惡意修改.
【作者單位】： 四川大學網(wǎng)絡空間安全研究院;四川大學計算機學院;
【關鍵詞】： 內(nèi)核完整性 模塊隔離 堆棧保護 虛擬機 虛擬機監(jiān)視器 KVM
【基金】：國家自然科學基金資助項目(61272447)
【分類號】：TP302;TP309
【正文快照】： 內(nèi)核可通過動態(tài)加載模塊來擴展自身功能,被加載的模塊運行在內(nèi)核空間,與內(nèi)核具有相同的運行權限.如果模塊利用其高特權特性對內(nèi)核實施攻擊,將會破壞內(nèi)核完整性,對操作系統(tǒng)安全帶來嚴重威脅.例如,內(nèi)核rootkit通常利用可加載模塊向內(nèi)核導入惡意代碼,作為內(nèi)核的一部分運行,更易于，

本文編號：519407