共查询到17条相似文献,搜索用时 62 毫秒
1.
通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件. 相似文献
2.
IVirt:基于虚拟机自省的运行环境完整性度量机制 总被引:2,自引:0,他引:2
完整性度量是检测程序篡改的重要方法,但是在虚拟化环境下传统的检测方法已体现出不足.例如,度量软件与被度量对象处于相同操作系统中易受攻击.该文从安全性和性能两方面出发,提出了一种基于虚拟机自省的完整性度量机制IVirt(Integrity for Virtualization).该机制从虚拟机外部通过地址转换和内容定位得到所需的虚拟机内存数据,从而对虚拟机内部的程序进行完整性度量,以检验程序是否遭到篡改.该文以典型的虚拟机监视器Xen为例实现了IVirt原型系统.相比于同类工作,IVirt一方面将度量软件与被度量对象分离,防止度量软件遭到攻击;另一方面采用地址转换来度量运行时状态,这区别于采用事件拦截机制的度量方法,以降低性能开销.实验结果表明,该方法能够检测出虚拟机运行时的软件篡改,而且在性能上不会引入过高的代价. 相似文献
3.
基于虚拟化的安全监控 总被引:2,自引:0,他引:2
近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义. 相似文献
4.
分析了系统虚拟机的基本原理;对系统虚拟机设计中的关键问题,包括处理器、内存和I/O设备的虚拟化、以及虚拟机的迁移进行了深入研究,分析了需要解决的问题,比较并总结了针对这些问题已提出的解决方法。探讨了基于虚拟机的各种应用,展望了虚拟机发展趋势。 相似文献
5.
自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中(Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表(TVPL)获取技术,Gemini实现了在虚拟机监视器(VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。 相似文献
6.
基于硬件虚拟化技术的隐藏进程检测技术* 总被引:1,自引:0,他引:1
随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtual machine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list, TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra 相似文献
7.
实现多结点单一系统映像SS(ISingle System Image)是并行计算机体系结构研究的一个重要方向。当前,国内、外关于SSI的大量研究工作是在中间件层(MiddlewareLevel)开展的,存在透明性较差和性能较低等问题。提出了一种实现多结点SSI的新方法,即利用硬件虚拟化技术,在操作系统OS(Operating System)之下构建分布式虚拟机监视器DVMM(Distributed Virtual Machine Monitor),DVMM由各结点之上的VMM(Virtual Machine Monitor)共同组成,各VMM完全对称;通过各结点的VMM之间协作,实现多结点系统资源的感知、整合、虚拟化和呈现,使多结点对OS呈现为SSI;通过DVMM与OS配合,实现在多结点系统上透明地运行并行应用软件。同现有方法相比,所述方法具有透明性好、性能较高、应用面广和实现难度适中等优势。 相似文献
8.
基于虚拟机的运行时入侵检测技术研究 总被引:1,自引:0,他引:1
入侵检测技术通常分为误用检测和异常检测两类,误用检测根据攻击模式库检测已知的攻击行为,但却难以防范未知的攻击行为;异常检测技术虽然可以预测偏离正常值阈区间的潜在攻击行为,但却存在较高的误报现象。在虚拟机监视器中对虚拟机操作系统的运行行为进行带外监控,避免了操作系统内监控模块被病毒感染的难题;通过监视虚拟机的运行时行为,对之作组合序列的合法性分析,扩展了误用检测防范长时间段攻击行为的能力,识别通过合法系统调用进行的恶意攻击。测试数据表明,该技术能够较好地检测出复杂组合攻击行为。 相似文献
9.
刘真 《计算机工程与科学》2008,30(2):105-109
虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I/O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。 相似文献
10.
11.
针对云计算中带内完整性度量方案存在的依赖操作系统安全机制、部署复杂和资源浪费等问题,提出了基于虚拟机监控技术的带外完整性度量方案,可用于为云计算基础设施即服务(IaaS)的租户提供可信的虚拟域。该方案包括域外监控方案和域内外协同监控方案两部分。前者可对开源Linux虚拟域实现完全透明的完整性度量,同时弥补了其他基于系统调用捕获的域外方案所存在的不足。后者将实时度量与预先度量方法、域内度量与域外度量方法、细粒度的注册表度量方法和基于系统调用的域间信息传输方法相结合,可对不完全开源的Windows虚拟域实现完整性度量。实验证明了方案的度量能力是完备的、性能影响是可接受的。 相似文献
12.
13.
14.
15.
虚拟机执行敏感指令时会陷出到虚拟机管理器(virtual machine monitor,VMM)处理,虚拟机频繁陷出是影响虚拟化性能的重要因素,因此全面了解导致陷出的敏感指令对虚拟化性能优化有重要意义。提出了一个创新性的方法"桶竞争法"(competition in bucket method,CBM),通过把敏感指令的地址映射到不同的桶中,采用竞争方式在各个桶内寻找陷出次数最多的几个地址,能高效地跟踪所有的虚拟机陷出。 相似文献
16.
基于显卡直接分配的虚拟机图形加速系统① 总被引:1,自引:0,他引:1
介绍了设计并实现的基于显卡直接分配的虚拟机图形加速系统Gracias,它的思想是把显卡直接分配给某一台完全虚拟化的虚拟机使用。这样一来,虚拟机中显卡的设备驱动程序对于显卡的使用和访问操作就不会被虚拟机监控器所拦截,也不用通过软件模拟的方式来处理这些访问请求,而是直接交给真实的硬件去完成。这使得对图形处理要求很高的程序在虚拟机中可以获得比普通虚拟化方法高很多的性能提升。 相似文献