一种抗语义攻击的虚拟化软件保护方法

随着计算机和网络的发展,软件核心算法面临着被逆向的威胁越来越大。虚拟机软件保护方法作为一种新型的软件保护方法,利用虚拟化技术保护软件的核心算法。因虚拟指令很难被理解,故其保护强度较高。但是,该方法仍无法抵御基于语义的攻击方法对虚拟机保护后的软件攻击,由此给软件安全带来了严重的威胁。针对现有的各类虚拟机软件保护方法无法应对目前恶意攻击者基于语义攻击的问题,提出了一种抗语义攻击的虚拟机软件保护方法即DAS-VMP。该方法分析了基于语义攻击的关键技术,依此研究出抵抗语义攻击的方法。从程序内部的数据流和执行流出发,通过设计数据流混淆引擎对虚拟机中虚拟解释器（Handlers）进行数据流混淆,使程序内部的数据流结构变得复杂多样,从而攻击者无法进行数据流的分析。隐藏虚拟机中的谓词信息,以抵抗攻击者的符号执行技术,同时将单一进程虚拟机设计为双进程虚拟机,控制软件运行过程中的执行流,使软件的执行过程更加难以被追踪,最终使经过保护后的软件呈现出一种复杂的数据流和执行流,从而阻止攻击者通过基于语义的攻击方法进行逆向分析。理论分析表明,DAS-VMP能够有效抵抗基于语义的攻击,与两款商业虚拟机保护系统的比较表明DAS-VMP对系统的性能开销较小。     

基于硬件架构和虚拟化扩展机制的虚拟机自省机制研究

针对现有虚拟机自省技术利用不可信被监控操作系统的内核数据结构在内存中的期望布局及内核函数构建被监控系统语义、无法抵抗直接内核数据结构操纵攻击的问题,对虚拟机自省机制的能力进行全面分析,并对利用虚拟机自省机制可应对的恶意攻击进行分类,提出更具健壮性的基于硬件体系架构和虚拟化扩展机制的虚拟机自省技术,通过硬件体系结构提供的虚拟机自省特性被动地观察与收集被监控系统信息,并利用虚拟硬件扩展机制主动地截获客户虚拟机内部的事件和指令,达到主动监控的目的.描述了基于硬件的虚拟机自省机制在系统调用序列收集与监控上的应用,并进行了效率测试分析.     

基于内存自省技术的虚拟化安全防护模型

提出了一种基于内存自省技术的虚拟化安全防护模型,能够在无任何先验知识的前提下,通过实时分析物理主机物理内存重构物理主机状态信息、发现正在运行的虚拟机以及重构虚拟机高级语义信息,及时发现虚拟机中存在的恶意行为,并对恶意行为做出智能响应.实验结果表明,该模型具有透明、抗攻击、通用和高效等特性.     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

CHoney:一个面向Cisco路由器攻击捕获的新型蜜罐

从提升网络安全性的目的出发,设计实现了一个Cisco路由器蜜罐CHoney,用于检测针对Cisco路由器的攻击. CHoney使用函数监控和数据追踪等方法来收集攻击者的信息,并根据攻击者不同的敏感操作分别设定报警规则. 经过实验测试发现,CHoney可以及时捕获针对Cisco路由器的攻击,并支持对攻击过程的分析和攻击代码的提取. 实验结果表明,CHoney对于Cisco路由器的攻击检测是有效的,可以有效的提升网络的安全性.     

云环境下的“云滴冻结”攻击

根据云计算环境下服务器集群部署的特征,提出一种新型的、实用的分布式拒绝服务攻击模型--“云滴冻结”攻击．实验表明,攻击者可通过控制受感染的僵尸虚拟机发动该攻击,不仅使云服务器集群的内部网络带宽产生严重的拥塞,而且极大地消耗了物理主机的内存和CPU等资源．该攻击通过非法占用原本分配给合法虚拟机的资源,从而达到拒绝服务的效果．通过量化分析攻击原理,结合传统拒绝服务攻击和防御相关技术,讨论了防御“云滴冻结”攻击的思路．     

基于Honeypot技术的网络入侵检测系统

利用Honeypot(蜜罐)技术设计了一种新的网络入侵检测系统。Honeypot技术是入侵检测技术的一个重要发展方向,已经发展成为诱骗攻击者的一种非常有效而实用的方法,不仅可以转移入侵者的攻击,保护主机和网络不受入侵,而且可以为入侵的取证提供重要的线索和信息,成功地实现了对网络入侵的跟踪与分析,具有一定的实用价值。     

基于KVM的Windows虚拟机用户进程防护

为保护Windows虚拟机中进程的内存和系统调用执行路径免受恶意代码的威胁,提出了一种基于KVM的虚拟机用户进程防护方案。结合硬件虚拟化技术,为Windows虚拟机构造一份影子内核以绕过恶意代码对原内核系统调用路径的挂钩,保护进程系统调用路径的安全。同时,在监控代理中过滤跨进程系统调用,在KVM中拦截虚拟机页表切换行为并监控虚拟机断点异常与调试异常,保护进程内存的安全。另外,构造影子监控代理,实现对虚拟机监控代理内存的安全防护。最后,实现了基于KVM的虚拟机用户进程防护系统VMPPS,并对其有效性进行了系统测试与分析。实验结果表明,在性能损失可接受范围内,进程内存与进程系统调用执行路径能够得到有效防护。     

云计算环境下虚拟机快速实时迁移方法

针对云计算数据中心中虚拟机实时迁移时间过长的问题,提出了一种虚拟机快速实时迁移方法.通过对预拷贝模型进行公式化描述和性能分析,在预拷贝方法中增加了用于标记改动频繁内存页的页位图.在迁移过程中对改动频繁的内存页进行判断,将改动频繁的内存页标记到新增的页位图中,并只在最后一轮迭代中传输.实验结果证明,与传统的预拷贝方法相比,改进后的预拷贝方法明显地减少了迁移时间,达到了快速迁移虚拟机的目的.     

基于影子内存的无代理虚拟机进程防护

为了提高虚拟机中进程的安全性,避免系统调用表SSDT和系统调用执行流被恶意挂钩,提出一种基于影子内存的无代理虚拟机进程防护方案。首先利用VMM的高特权级在虚拟机的非换页内存区透明构建一块影子内存,通过向影子内存透明注入SSDT和跳转函数,构建全新SSDT和系统调用执行流,保证SSDT和系统调用执行流的完整性。通过主动挂钩影子内存中的SSDT,利用硬件虚拟化的自动陷入机制检测进程的敏感行为,在VMM中过滤针对受保护进程的非法操作,实现无代理的进程防护。实验结果表明,该方案可以有效地对虚拟机中指定进程进行防护并过滤大部分的rootkit攻击,对虚拟机性能的影响在3%以下。     

基于镜像分割技术的虚拟机启动方法研究

针对虚拟机在网络应用中部署开销高、存储规模大的问题,通过分析引导系统文件,将传统的虚拟机镜像分割为系统镜像和用户自定义镜像;虚拟化系统在启动的时候,同时读取2个镜像文件,随后采用unionfs进行镜像的融合,最终向用户提供完整的虚拟机操作系统。使用IOZONE软件对原型镜像虚拟机进行性能测试,结果证明：该方法可以显著减少虚拟机镜像的传输时间和系统的存储规模。     

蜜罐技术在网络安全中的应用研究

面对网络上复杂而多变的黑客攻击,文提出利用蜜罐技术主动吸引黑客攻击的方法,来监视和跟踪入侵者的行为并进行记录,进而研究入侵者所使用的攻击工具、攻击策略及方法.介绍了蜜罐技术的基本概念和分类,分析了蜜罐的安全价值,并从三方面研究了蜜罐技术在网络安全实践中的应用,同时也讨论了蜜罐的优缺点和风险.     

基于人工免疫的网络入侵动态取证

为有效提取证据,保证证据的原始性和有效性,建立了基于动态克隆选择原理的入侵监控细胞以及动态取证细胞的模型,给出了自体、非自体、抗原、检测细胞以及证据的定义。监控细胞实现对网络入侵的实时监控,并及时启动取证细胞,完成对网络入侵证据的实时提取。实验表明,该模型能有效地对多种攻击进行实时证据的提取,具有自适应性、分布性、实时性等优点,是动态计算机取证的一个较好解决方案。     

基于语义抽象的内存访问错误检测

为了检测内存访问错误,提出了一种基于语义抽象的内存访问错误检测方法,通过对程序具体语义的完备近似抽象,对相关约束变量操作的精确检验,以及控制流图遍历中的函数信息收集,能够在过程间完备地静态检测C程序源代码中的内存访问边界错误。通过将程序分析和程序验证相结合,提高内存检查的自动化和准确性。原型实现表明了方法的有效性。     

一种AVS压缩域视频语义鲁棒水印方法

为了大幅度提高水印方法的鲁棒性,提出了一种视频语义水印方法,利用高级语义稳定且不易受攻击的特点,将视频语义与水印相结合.该方法将关联规则挖掘看作约束优化问题,使用改进的克隆选择算法进行模糊关联规则挖掘,以提取运动语义和纹理语义,并在线生成动态视频语义水印;根据运动语义自适应确定感兴趣镜头,根据纹理语义自适应确定感兴趣Ⅰ帧,根据人眼视觉掩蔽特性,选择运动剧烈和运动缓慢区域作为感兴趣区域,将水印嵌入在感兴趣Ⅰ帧的亮度子块预测残差离散余弦变换中频系数上;利用视频纹理特征,自适应控制水印嵌入强度.实验和分析表明,该方法不仅对各种常规攻击鲁棒,而且对帧重组、帧内裁剪和帧删除等视频特有攻击表现出强的鲁棒性.     

基于隐马尔可夫模型的自适应站点的研究

提出了一个基于隐马尔可夫模型的自适应站点模型。通过对用户访问序列进行语义分析,提取出访问路径中蕴含的信息需求,依此进行站点调整、页面推荐及预取,全面提升了站点的自适应性能。     

改进的可证明安全无证书签名方案

给出樊爱宛等无证书签名方案的一个伪造攻击,攻击显示第Ⅰ类强攻击者能成功伪造任意用户对任意消息的有效签名.分析发现原方案不安全的原因在于,签名阶段选取的随机数没有与消息M关联起来,通过将签名阶段选取的随机数与消息M相关的Hash函数值进行绑定的方式给出了改进方案,其中安全性最优的方案在签名阶段只需1个点乘,在验证阶段需要4个点乘,可抵抗第Ⅰ类超级攻击者、第Ⅱ类超级攻击者的攻击;其余方案在签名阶段只需1个点乘,在验证阶段需要3个点乘,可抵抗第Ⅰ类强攻击者、第Ⅱ类超级攻击者的攻击,针对现实世界的攻击者是安全的.改进方案在椭圆曲线离散对数困难性假设下是可证明安全的.     

基于模拟蜜罐技术的互联网攻击特征提取与安全防御

针对传统被动网络防御技术存在的攻击识别准确率低、误判率高、特征提取效率低等问题,提出了基于虚拟蜜罐的攻击特征提取方法和防御策略.在本地服务器网络中布置多个蜜罐,形成具有完整拓扑结构的防御密网,以提高对攻击数据样本的捕获能力;对网络攻击序列的特征提取,采用字符串全局联配方法判断攻击数据的性质和类别;为了提高特征提取效率,基于层级式比对方法提升算法的效率.实验结果表明,针对不同的攻击类型,密网技术可以获得更稳定的特征匹配结果和更高的安全防御指标值.     

基于内存页面动态合并的旁路转换缓冲器设计

针对内存管理中虚拟页面和物理页面连续分配的特性,提出可对相邻页面进行动态合并的旁路转换缓冲器（TLB）设计方法.该方法的核心思想是在处理器运行过程中,通过对相邻页面的递归合并,动态扩展单个TLB表项的地址映射范围,提高TLB表项的利用率并降低TLB缺失率.在两级TLB架构中,提出基于快速uTLB（fuTLB）和影子uTLB（suTLB）动态切换的新型uTLB结构,作为两级TLB架构的一级缓存,为页面动态合并提供现场和载体,页面合并过程对软件透明.基于Mibench测试基准的实验结果表明,与filter-TLB架构相比,该页面动态合并方法可以平均降低TLB缺失率达27%.     

串空间模型中的口令猜测攻击

给出了鉴别协议猜测攻击的串空间模型.扩充了攻击者串和密码运算类型,重新定义了理想概念,并对相关定理进行了证明.扩展的诚实理想分析模型不仅继承了原理论的有关性质，而且适应猜测攻击的分析.以GLNS协议为例说明了如何利用串空间理论有效地进行协议的形式化分析.