基于本地虚拟化技术的隐藏进程检测

自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中（Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表（TVPL)获取技术,Gemini实现了在虚拟机监视器（VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。     

基于硬件虚拟化实现多结点单一系统映像

实现多结点单一系统映像SSI（Single System Image）是并行计算机体系结构研究的一个重要方向。当前;国内、外关于SSI的大量研究工作是在中间件层（Middleware Level）开展的;存在透明性较差和性能较低等问题。提出了一种实现多结点SSI的新方法;即利用硬件虚拟化技术;在操作系统OS（Operating System）之下构建分布式虚拟机监视器DVMM（Distributed Virtual Machine Monitor）;DVMM由各结点之上的VMM（Virtual Machine Monitor）共同组成;各VMM完全对称;通过各结点的VMM之间协作;实现多结点系统资源的感知、整合、虚拟化和呈现;使多结点对OS呈现为SSI;通过DVMM与OS配合;实现在多结点系统上透明地运行并行应用软件。同现有方法相比;所述方法具有透明性好、性能较高、应用面广和实现难度适中等优势。     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

基于Xen虚拟化的隐藏进程检测方法

恶意进程利用Rootkit使自己具有极强的隐蔽性.传统的隐藏进程检测工具部署在被检测系统中,容易受到攻击.为提高检测系统的抗攻击性和准确性,提出了一种虚拟环境下特征匹配的隐藏进程检测系统.该系统部署在被监控虚拟机外部,自调整检测频率扫描计算机内存来获取进程相关信息,并通过与预先构建好的特征模板进行相似度匹配,达到检测隐藏进程的目的.实验结果表明,该检测系统可以有效地检测出典型的Rootkit代码,确定隐藏进程的存在.     

Xen硬件虚拟化下一种客户机进程追踪技术

Xen硬件虚拟化(HVM)是运行于Xen Hypervisor上, 无需修改客户操作系统内核便可实现虚拟化的技术. 但Xen HVM在提升用户体验的同时, 也造成了VMM对客户机的干涉和理解程度的降低, 丧失了进程粒度级别的管理能力. 鉴于此, 提出了一种针对Xen HVM客户机的轻量级进程追踪技术原型Xen HPT. 借助VMM掌握的客户机ESP寄存器信息, 从客户机外部隐式捕获其实时进程信息. 实验证明, 该技术是一种追踪客户机进程的有效方法.     

SWsoft虚拟化技术

目前主流的虚拟化技术主要有以下三种:硬件虚拟化(虚拟机)、准虚拟化和操作系统虚拟化。     

Rootkit隐藏技术与检测方法研究

近些年来,恶意代码攻击的目的由破坏炫耀向经济利益转变,因而更加注重自身的隐藏.Rootkit具有隐蔽性强、特权级高等特点,成为主机安全的严重威胁.硬件虚拟化技术出现后,Rootkit扩展到了操作系统外部,对检测技术提出了新的挑战.本文总结了近几年网络安全领域中Rootkit隐藏技术和检测技术的研究进展,分析了各自面临的问题,并基于对Rootkit隐藏技术和检测技术的分析,探讨Rootkit检测技术的发展趋势.     

基于线程调度的隐藏进程检测技术研究

随着互联网的快速发展,信息技术已成为促进经济发展、社会进步的巨大推动力。Windows操作系统的普及和不断提升,使得基于Windows的各种进程隐藏技术迅速传播,同时对应的进程检测技术也需要进一步扩充。文章针对Windows操作系统的新版本64位Windows7系统,设计了一种基于截获SwapContext函数的隐藏进程检测方案并软件实现。实验结果表明,该方法可以全面检测64位Windows7的隐藏进程,检测结果准确、可靠,可进行实际应用。     

基于HSC的进程隐藏检测技术

介绍了目前Windows下常见的进程隐藏检测技术,提出了基于截获系统调用（HSC)的进程隐藏检测技术,利用隐藏进程的行为特征,通过截获系统调用建立完整的进程列表来检测隐藏进程,并针对该技术对抗RootKit的攻击提出了改进。该种隐藏进程的检测方法十分可靠,可以检测出常规安全检测工具不能发现的系统恶意程序。     

基于硬件辅助虚拟化技术的反键盘记录器模型

结合已有的键盘记录器,分析了Windows中从用户按键到应用程序处理消息的过程,并针对该过程详细分析了可能出现的安全威胁。在此基础上提出了基于硬件辅助虚拟化的反键盘记录器模型。利用CPU提供的硬件辅助虚拟化技术实现了虚拟机监控器,当获取用户输入时通过在虚拟机监控器中自主处理键盘中断并将读取到的键盘扫描码信息交由受保护的用户线程来保护用户键盘输入的安全。     

VMM中Guest OS非陷入系统调用指令截获与识别

针对虚拟化环境下Guest OS某些特定指令行为不会产生陷入从而在虚拟机管理器(virtual machine monitor, VMM)中无法对其进行监控处理的问题,提出通过改变非陷入指令正常运行条件,使其执行非法产生系统异常陷入VMM的思想;据此就x86架构下Guest OS中3种非陷入系统调用指令在VMM中的截获与识别进行研究：其中基于int和sysenter指令的系统调用通过使其产生通用保护(general protection, GP)错系统异常而陷入,基于syscall指令的系统调用则通过使其产生UD(undefined)未定义指令系统异常而陷入,之后VMM依据虚拟处理器上下文现场信息对其进行识别;基于Qemu&Kvm实现的原型系统表明：上述方法能成功截获并识别出Guest OS中所有3种系统调用行为,正常情况下其性能开销也在可接受的范围之内,如在unixbench的shell测试用例中,其性能开销比在1.900~2.608之间.与现有方法相比,它们都是以体系结构自身规范为基础,因此具有无需修改Guest OS、跨平台透明的优势.     

虚拟机陷出的检测及分析

虚拟机执行敏感指令时会陷出到虚拟机管理器(virtual machine monitor,VMM)处理,虚拟机频繁陷出是影响虚拟化性能的重要因素,因此全面了解导致陷出的敏感指令对虚拟化性能优化有重要意义。提出了一个创新性的方法\"桶竞争法\"(competition in bucket method,CBM),通过把敏感指令的地址映射到不同的桶中,采用竞争方式在各个桶内寻找陷出次数最多的几个地址,能高效地跟踪所有的虚拟机陷出。     

面向虚拟机的远程磁盘缓存

在虚拟机(virtual machine)系统中,随着虚拟机数量和应用程序需求的不断增长,内存容量已经成为应用程序性能的主要瓶颈。为了提升内存密集型和I/O密集型程序的页面交换性能,提出了虚拟机的远程磁盘缓存机制REMOCA,它允许运行在一台物理主机上的虚拟机将其他物理主机的内存作为其二级磁盘缓存。由于网络传输延迟远远小于磁盘访问,用网络传输代替磁盘访问就能够有效地降低虚拟机的平均磁盘访问延迟。REMOCA的目标就要尽可能地减少磁盘访问。REMOCA运行在虚拟机管理器中,其基本工作原理是截获并处理虚拟机的页面淘汰、磁盘访问等事件。REMOCA能够与现有的虚拟机内存管理机制(如气球技术、影子缓存)相结合,从而提供更加灵活的内存资源管理策略。实验数据表明,REMOCA能有效地降低页面抖动对虚拟机性能的影响,并在很大程度上提升虚拟机中I/O密集型应用的性能。     

虚拟机监视器结构与实现技术*

首先介绍了虚拟机技术的发展历史以及虚拟机监视器所具有的优点和特性,总结了其体系结构和分类,并分析了虚拟机监视器内部逻辑模块;从CPU虚拟化、内存虚拟化、I/O虚拟化和硬件支持四个方面讨论了虚拟机监视器的实现技术;最后基于当前学术界和业界对虚拟机技术的研究情况,阐述了未来虚拟机技术面对的机遇与挑战。     

自适应调整虚拟机权重参数的调度方法

在基于特权服务操作系统的虚拟机架构下客户操作系统需要借助特权服务操作系统来访问真实硬件,目前虚拟机调度算法的优化主要是侧重于I/O密集型虚拟机的研究,而忽视了CPU密集型虚拟机,更忽视了特权服务操作系统的I/O处理能力对虚拟机整体性能的影响.针对这些问题,提出了一种基于Credit算法的自适应调整虚拟机权重参数的优化调度方法,将特权服务操作系统的I/O处理能力作为虚拟机参数调整的一个重要参数,同时兼顾I/O密集型虚拟机和CPU密集型虚拟机对资源的需求.实验结果表明该方法能够及时根据当前的I/O请求数量和特权服务操作系统的处理能力合理调整虚拟机的权重参数,从而大大提高了客户操作系统CPU处理性能和硬件设备的访问性能.     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

轻量级虚拟机软件技术——LVMM

为提高PC系统的可管理性和安全性,提出一种轻量级虚拟机软件技术——LVMM。定义活跃用户域,可直接访问除磁盘和网络之外的物理设备,以及虚拟磁盘和虚拟网络设备。保证在保持PC使用模式基本不变的前提下,可在同一平台上同时运行多个用户虚拟系统,且支持独立于用户操作系统的资源访问控制。经测试,LVMM原型系统具有较小的整体虚拟化开销。     

云计算IPv4/IPv6虚拟机在线迁移系统设计

根据云计算平台的特点,为了实现IPv4/IPv6环境下的云计算基础平台建设,设计了一种基于自适应的NAT-PT与隧道技术协作的IPv4/IPv6虚拟机在线迁移系统。该系统适用于IPv4向IPv6演进的前期、中期、后期。利用设计的全局控制引擎为核心转换连接IPv4/IPv6网络并与特权虚拟机交互完成虚拟机在线迁移,可向客户端跨IPv4/IPv6网络提供云计算服务。该系统应用于IPv4/IPv6过渡期间云计算基础平台构建。