虚拟机环境检测方法研究综述

虚拟化技术带来的资源利用、管理和隔离的优势,使其被广泛应用在虚拟服务器、恶意代码分析、云计算平台搭建等领域.恶意代码的编写者和安全研究人员也在虚拟化发展热潮中展开了新一轮的技术博弈,如何检测虚拟环境的存在成为当前研究的热点.介绍虚拟机环境检测方法的意义,从本地虚拟机环境检测和远程虚拟机环境检测两个方面分别展开举例说明检测的原理和方法,在总结虚拟机环境检测方法的基础上,指出虚拟化透明性增强的方向,探讨和分析未来的发展趋势.     

基于行为分析和特征码的恶意代码检测技术*

本文提出一种新的恶意代码检测技术,能自动检测和遏制(未知)恶意代码,并实现了原型系统。首先用支持向量机对恶意代码样本的行为构造分类器,来判断样本是否是恶意代码,同时对恶意代码提取出特征码。运行在主机的代理利用特征码识别恶意代码并阻断运行。为了精确分析程序行为,将程序放入虚拟机运行。实验结果表明相对于朴素贝叶斯和决策树,系统误报率和漏报率均较低,同时分布式的系统架构加快了遏制速度。     

基于本地虚拟化技术的隐藏进程检测

自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中（Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表（TVPL)获取技术,Gemini实现了在虚拟机监视器（VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。     

虚拟机检测技术研究

虚拟机在反恶意软件研究领域的应用越来越普遍。虚拟机检测技术对恶意软件的作者或反恶意软件的研究人员都具有重要的意义。首先简述了虚拟机检测技术的意义,然后介绍了虚拟机检测技术的理论基础,接着描述了现有的虚拟机检测技术的基本思想,分析了其优缺点,最后在总结现有成果的基础上,指出了未来的研究重点和方向。     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

恶意代码行为获取的研究与实现

分析对比了恶意代码的静态分析方法和动态分析方法,设计并实现了一种结合虚拟机技术和Windows操作系统自身所具有的调试功能来获取恶意代码行为的模块,该模块能够自动控制虚拟机运行监控程序来获取恶意代码的行为,并通过引入基于信息增益的特征权重算法来获得行为特征.     

基于硬件虚拟化技术的隐藏进程检测技术*

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器（libra virtual machine monitor,LibraVMM）实现了从虚拟层隐式获取真实进程列表（true process list, TPL）的新技术。与已有的基于虚拟机技术的解决方案相比,Libra     

跨虚拟机的可信检测

随着网络计算以及"云计算"的兴起,虚拟化技术得到了更多重视与应用。在计算机技术中,安全问题一直是非常重要研究课题。运用虚拟化技术,可以发现一些新的方法来解决传统非虚拟化计算机环境下的安全问题。设计并实现了虚拟机之间的检测方法,来对目标虚拟机进行可信检测。该方法最大的优势在于其对目标虚拟机进行可信检测的同时,可以避免恶意软件对检测程序本身的攻击。     

基于虚拟机架构的自修改代码监测技术

自修改代码技术是恶意程序用以防止反汇编静态分析的最常见技术。传统操作系统的恶意代码防范技术不能有效监测和防止自修改恶意代码的执行和传播。介绍了一个基于虚拟机架构对自修改代码进行监测和监控的方法CASMonitor,能够从虚拟机外部动态、透明地监控虚拟机内部指定程序的执行过程,监测代码的自修改行为,解析新生成代码的入口点,进而提供病毒扫描等功能。x86/Win32虚拟机架构下的实验表明,该技术能够处理多种自修改代码行为以及常见的加壳工具。     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

虚拟机UML下的主机入侵检测

通过对虚拟机UML（user—mode Linux）的体系结构的分析,结合它自身的特点,提出了一种适合于UML的主机入侵检测方法：关于虚拟机的主机系统调用的入侵检测系统。这种方法是从虚拟机外部,即它的虚拟机管理器VMM（Virtual Machine Monitor）上采集数据,和传统的在虚拟机内部采集数据的方法比较,这种方法速度快,而且还很安全。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

面向MicrosoftVirtualPC的虚拟机远程检测方法

虚拟机技术的广泛应用给信息安全带来新的问题和挑战,由于现有的安全扫描系统检测不到虚拟机的存在,所以无法扫描虚拟机的安全漏洞。文中提出了一种面向VPC（Microsoft VirtualPC）的虚拟机远程检测方法,此方法根据虚拟机MAC地址中携带的厂商标识符,能正确地识别网络中存在的VPC虚拟机;并利用虚拟机与宿主机的关联性快速寻找到虚拟机的宿主机,为进一步扫描虚拟机的安全漏洞和管理虚拟机网络提供基础。实验结果表明,该方法能准确地检测网络中存在的VPC虚拟机。     

虚拟机迁移中一种新的物理主机异常状态检测算法

提出了一种新的物理主机异常状态检测算法PHSDA(Physical host status anomalous detection algorithm)。PHSDA算法包括两个阶段;在超负载检测中,采用一种迭代权重线性回归方法来预测物理资源的使用效率情况;在低负载检测中,利用多维物理资源的均方根来确定其资源使用阈值下限,避免异常状态的物理主机数量的增加; PHSDA检测算法配合迁移过程中后续的虚拟机选择策略和虚拟机放置策略,就可以形成一个全新的虚拟机迁移模型PHSDA-MMT-BFD。以CloudSim模拟器作为PHSDA的仿真环境。经PHSDA策略优化过后的新虚拟机迁移实验表明：比近几年的BenchMark迁移模型比较起来,可以很好的降低云数据中心的能量消耗,虚拟机迁移次数减少,云服务质量明显提高。     

基于指令相对吞吐率的虚拟机检测方法

对于常见的虚拟机检测方法仅适用于特定配置的虚拟机的不足,设计并实现一种基于特权指令与非特权指令的相对吞吐率变化的检测虚拟机的方法,检测过程采用查询-验证的方式。该方法可以成功地分辨出物理机环境与虚拟机环境的不同,并且事先只需了解较少的待检测目标的配置信息,对不同硬件配置的依赖性较小。     

虚拟机技术的复兴

虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I／O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。     

VMM入侵检测系统体系结构

针对现存入侵检测系统存在的问题,提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例,因为虚拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。     

利用遗传算法完成虚拟机放置策略的优化

提出基于遗传算法的虚拟机放置方法GA-VMP(Genetic Algorithm based Virtual Machine Placement)。GA-VMP是一种应用于虚拟机迁移过程的优化算法。在物理主机状态检测和虚拟机选择阶段分别选取了鲁棒局部归约检测方法和最小迁移时间选择方法;在最后的虚拟机放置阶段,GA-VMP将遗传算法应用到虚拟机的重新分配过程中形成了一个全新的虚拟机迁移模型。设计云数据中心的能量消耗数学模型,以能量消耗最小作为遗传算法的目标函数。Cloudsim模拟器仿真结果表明：在总体能量消耗、虚拟机迁移次数、服务等级协议违规率等指标上明显降低,平衡指标参数只有少量的增加。仿真结果可为其他企业构造节能云数据中心提供参考作用。