共查询到19条相似文献,搜索用时 88 毫秒
1.
《计算机应用与软件》2015,(7)
随着互联网的发展,当今社会对于信息安全的关注度越来越高。内核级Rootkit能够隐藏自身及恶意软件,对系统安全产生了严重威胁。现有基于虚拟化技术的内核Rootkit检测方案主要针对系统静态Hook进行检测和保护,对基于动态Hook的攻击行为缺乏有效的分析和防御手段。为了解决上述问题,设计并实现了一种基于新型VMI(Virtual Machine Introspection)的检测内核Rootkit的通用系统,对内核静态和动态Hook都能够进行检测和保护。实验表明,系统成功检测出内核级Rootkit对于内核Hook的攻击和篡改,对大量常见的内核Rootkit都有效,同时对于基于动态Hook的攻击行为也能够及时报警,能够有效增强系统对于Rootkit的检测能力。 相似文献
2.
IVirt:基于虚拟机自省的运行环境完整性度量机制 总被引:2,自引:0,他引:2
完整性度量是检测程序篡改的重要方法,但是在虚拟化环境下传统的检测方法已体现出不足.例如,度量软件与被度量对象处于相同操作系统中易受攻击.该文从安全性和性能两方面出发,提出了一种基于虚拟机自省的完整性度量机制IVirt(Integrity for Virtualization).该机制从虚拟机外部通过地址转换和内容定位得到所需的虚拟机内存数据,从而对虚拟机内部的程序进行完整性度量,以检验程序是否遭到篡改.该文以典型的虚拟机监视器Xen为例实现了IVirt原型系统.相比于同类工作,IVirt一方面将度量软件与被度量对象分离,防止度量软件遭到攻击;另一方面采用地址转换来度量运行时状态,这区别于采用事件拦截机制的度量方法,以降低性能开销.实验结果表明,该方法能够检测出虚拟机运行时的软件篡改,而且在性能上不会引入过高的代价. 相似文献
3.
可信计算组织(TCG,trusted computing group)提出的虚拟机远程证明方案可以为云计算平台提供虚拟机完整性验证服务,而直接使用 TCG 提出的方案性能较低,并且会受到布谷鸟攻击的威胁。利用虚拟机自省技术(VMI,virtual machine introspection)设计了新的虚拟机远程证明方案。通过在虚拟机监视器(VMM,virtual machine monitor)中获取虚拟机远程验证证据的方法消除在虚拟机内执行布谷鸟攻击的路径,利用物理可信平台模块(TPM,trusted platform module)保证虚拟机远程验证证据的完整性,减少了身份证明密钥(AIK,attestation identity key)证书的产生数量,降低了私有证书颁发机构的负载。实验表明,方案可以有效验证虚拟机的完整性状态,在虚拟机数量较多的情况下,性能优于TCG提出的虚拟机远程证明方案。 相似文献
4.
为弥补传统防火墙对Web服务防护能力的不足,设计了Web务防火墙-ws-Firewall,其主要功能是Web 服务攻击检测拦截和提供Web服务的访问控制机制.通过应用XML模式匹配方法,提高了Web服务攻击检测的能力,实现了基于属性的访问控制机制,更适合Web服务的跨域应用场合. 相似文献
5.
在交换网络中,ARP欺骗是一种很常见的攻击,使用ARP欺骗可以对两台计算机之间的通信进行拦截,这种方法被称为中间人攻击,即攻击者将虚假的ARP应答分组发送给目标主机,从而影响目标主机的正常通信.将分步介绍在一个有三台计算机的网络中实施攻击的全过程,以其中一台计算机作为攻击者去拦截另外两台计算机之间的通信. 相似文献
6.
通过分析 SYN Flooding攻击原理 ,介绍了基于路由器的 TCP拦截技术及其应用方法。用此技术可操纵 IP报文中的源和目的地址、防止 SYN Flooding攻击 ,从而加强进出网络的报文的安全性和控制能力。 相似文献
7.
在软件定义网络(SDN)中,动态主机配置协议(DHCP)泛洪攻击报文通常能通过reactive方式主动地进入控制器,对SDN危害巨大。针对传统的DHCP泛洪攻击防御方法无法阻止SDN中该攻击带来的控制链路阻塞这一问题,提出一种DHCP泛洪攻击的动态防御机制(DDM)。DDM包含检测模型和缓解模型。在检测模型中,不同于他人提出的静态阈值检测方法,采用DHCP流量均速和IP池余量两个关键参数建立动态峰值估计模型来评估端口是否受到攻击,若受到攻击则交由缓解模型进行防御。在缓解模型中,利用地址解析协议(ARP)的应答特点进行IP池清洗,并设计了周期内分时段拦截机制对攻击源进行截流,在缓解阻塞的同时,最大限度减少拦截对用户正常使用的影响。仿真实验结果表明,相对静态阈值检测,DDM检测误差平均降低18.75%。DDM缓解模型能高效地拦截流量,同时将用户在拦截期正常接入网络的等待时间平均缩短81.45%。 相似文献
8.
恶意弹窗广告是一种强迫式的广告,这些广告给投放者带来巨大的利益,但是严重影响了用户体验,侵犯了用户权益,同时也带来很多安全隐患。恶意弹窗广告攻击检测系统采用C/S架构,服务端使用朴素贝叶斯算法根据训练集生成和更新训练结果,并利用训练结果对客户端发送的弹窗截图文本进行分类预测。客户端包括基础拦截、截图拦截以及主动拦截三个模块,主动拦截模块使用OCR技术将可疑弹窗截图转化为文本,然后把此文本传给服务端,服务端加载之前训练集产生的训练结果,利用朴素贝叶斯算法得到此文本的预测结果,客户端根据预测结果确定对此弹窗是否拦截。本系统实现了弹窗识别拦截的智能化,配置方便,交互界面易于使用。 相似文献
9.
在基于交换环境的局域网内,针对ARP欺骗技术的防御手段日益成熟,导致基于ARP欺骗技术的嗅探器极易受到安全防护软件的拦截与查杀,失去嗅探效果。本文提出了一种非ARP欺骗技术,即MAC欺骗技术,并设计与实现了一种基于MAC欺骗技术的局域网嗅探器原型。与传统ARP欺骗技术相比,这种欺骗技术可以绕过多种ARP防御工具,成功截取网络数据以及对目标主机进行拒绝服务攻击。本文通过采用时间交替机制、过滤机制等多种关键技术,有效地提高了嗅探器的效率和准确率。经过测试,本嗅探器可较好地突破安全防护软件的拦截与查杀,实现嗅探效果。 相似文献
10.
11.
虚拟机自省技术是备受学术界和工业界关注的安全方法,在入侵检测、内核完整性保护等多方面发挥了重要作用.该技术在实现过程中面临的一个核心难题是底层状态数据与所需高层语义之间的“语义鸿沟”,该难题限制了虚拟机自省技术的发展与广泛应用.为此,本文基于语义重构方式的不同将现有的虚拟机自省技术分为四类,并针对每一类自省技术中的关键问题及其相关工作进行了梳理;然后,在安全性、性能及可获取的高层语义信息量等方面对这四类方法进行了比较分析,结果显示不同方法在指定比较维度上均有较大波动范围,安全研究人员需综合考虑四类方法的特点设计满足自身需求的虚拟机自省方案.最后,本文详细介绍了虚拟机自省技术在安全领域的应用情况,并指出了该技术在安全性、实用性及透明性等方面需深入研究的若干问题. 相似文献
12.
针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。 相似文献
13.
通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件. 相似文献
14.
APT(Advanced Persistent Threat)攻击通常由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击中使用的APT木马变化无穷,常规杀毒软件难于检测,严重威胁了国家核心机构和重点部门的安全,同时也给电子数据取证带来了很大的挑战。文章提出了一种基于基于虚拟机与API调用监控技术的APT木马取证模型,可有效对APT木马的攻击行为进行取证。 相似文献
15.
One of the widely used strategies for achieving system integration in the arena of supply chain management is the vendor-managed inventory (VMI) approach. Although there exists a large amount of literature that examines various aspects of VMI, little looks at how this model evolves as the implementation progresses and matures. Therefore, this paper shows how to analyze the intrinsic evolutionary mechanism of the VMI supply chains by applying the evolutionary game theories. It is found that during the early stage of the VMI implementation, the upstream supplier will have some profit loss; however, as the transaction quantity increases in the long run, which will eventually benefit the entire chain, it is necessary for the downstream buyer to share profit with the upstream supplier to cover the supplier’s initial loss in order to exploit and sustain the benefits of the VMI. Additionally, the impact factors for VMI to become an evolutionary stable strategy are examined. All the results identify the conditions under which the VMI model is favorable over the traditional chain structure and shed lights on when and why collaboration is critical for a successful, long-term implementation of VMI. 相似文献
16.
三维树木模型在虚拟地理环境, 三维城市场景等领域中应用广泛, 但由于树木中包含丰富的几何信息, 难以对大规模的森林场景进行有效的渲染. 为此我们设计了一种基于视点互信息(Viewpoint Mutual Information, VMI)的树木实时简化方法. 在预处理中按照树枝间的拓扑关系将树木划分为具有父子关系的节点, 然后根据VMI计算每片树叶在多个视点下的平均重要度并以此对树叶进行排序, 重要程度较小的树叶在简化过程中将会被优先删除. 实时简化过程中, 我们提出了一种视点依赖的简化方法, 大大降低了需要渲染的数据量. 为了提高渲染森林场景时的性能, 我们使用了多种渲染优化措施以避免不必要的细节层次(Level Of Detail, LOD)切换. 相似文献
17.
内核级Rootkit位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁。目前基于虚拟机的Rootkit方面应用大都偏重于完整性保护,未对Rootkit的攻击手段和方式进行检测识别。文中在虚拟机框架下,提出了一种新型的Rootkit检测系统VDR,VDR通过行为分析可有效识别Rootkit的攻击位置方式,并自我更新免疫该Rootkit的再次攻击。实验表明,VDR对已知Rootkit的检测和未知Rootkit的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便。 相似文献
18.
19.
刘鹏飞 《计算机工程与应用》2012,48(28):6-9,51
以零售商和供应商组成的供应商管理库存(VMI)供应链系统为研究对象,考虑随机需求下VMI系统中可能存在滞销成本和缺货惩罚,建立传统、Stackelberg博弈、相同权力Nash协商、不同权力Nash协商的4种价格补贴机制的协调模型。通过数值分析得出:价格补贴机制下传统的VMI协调的不合理性;Stackelberg博弈的VMI协调达不到集成供应链整体收益,但可使零售商和供应商收益得到改善;相同权力和不同权力的Nash协商均能完美协调分散式VMI,零售商与供应商各自增加的收益在协商权力相同时是相等的,在协商权力不同时与自身协商权力正相关。 相似文献