共查询到18条相似文献,搜索用时 109 毫秒
1.
虚拟机环境检测方法研究综述 总被引:2,自引:0,他引:2
虚拟化技术带来的资源利用、管理和隔离的优势,使其被广泛应用在虚拟服务器、恶意代码分析、云计算平台搭建等领域.恶意代码的编写者和安全研究人员也在虚拟化发展热潮中展开了新一轮的技术博弈,如何检测虚拟环境的存在成为当前研究的热点.介绍虚拟机环境检测方法的意义,从本地虚拟机环境检测和远程虚拟机环境检测两个方面分别展开举例说明检测的原理和方法,在总结虚拟机环境检测方法的基础上,指出虚拟化透明性增强的方向,探讨和分析未来的发展趋势. 相似文献
2.
3.
自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中(Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表(TVPL)获取技术,Gemini实现了在虚拟机监视器(VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。 相似文献
4.
5.
基于虚拟化的安全监控 总被引:2,自引:0,他引:2
近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义. 相似文献
6.
分析对比了恶意代码的静态分析方法和动态分析方法,设计并实现了一种结合虚拟机技术和Windows操作系统自身所具有的调试功能来获取恶意代码行为的模块,该模块能够自动控制虚拟机运行监控程序来获取恶意代码的行为,并通过引入基于信息增益的特征权重算法来获得行为特征. 相似文献
7.
基于硬件虚拟化技术的隐藏进程检测技术* 总被引:1,自引:0,他引:1
随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器(libra virtual machine monitor,LibraVMM)实现了从虚拟层隐式获取真实进程列表(true process list, TPL)的新技术。与已有的基于虚拟机技术的解决方案相比,Libra 相似文献
8.
9.
自修改代码技术是恶意程序用以防止反汇编静态分析的最常见技术。传统操作系统的恶意代码防范技术不能有效监测和防止自修改恶意代码的执行和传播。介绍了一个基于虚拟机架构对自修改代码进行监测和监控的方法CASMonitor,能够从虚拟机外部动态、透明地监控虚拟机内部指定程序的执行过程,监测代码的自修改行为,解析新生成代码的入口点,进而提供病毒扫描等功能。x86/Win32虚拟机架构下的实验表明,该技术能够处理多种自修改代码行为以及常见的加壳工具。 相似文献
10.
11.
通过对虚拟机UML(user—mode Linux)的体系结构的分析,结合它自身的特点,提出了一种适合于UML的主机入侵检测方法:关于虚拟机的主机系统调用的入侵检测系统。这种方法是从虚拟机外部,即它的虚拟机管理器VMM(Virtual Machine Monitor)上采集数据,和传统的在虚拟机内部采集数据的方法比较,这种方法速度快,而且还很安全。 相似文献
12.
通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件. 相似文献
13.
虚拟机技术的广泛应用给信息安全带来新的问题和挑战,由于现有的安全扫描系统检测不到虚拟机的存在,所以无法扫描虚拟机的安全漏洞。文中提出了一种面向VPC(Microsoft VirtualPC)的虚拟机远程检测方法,此方法根据虚拟机MAC地址中携带的厂商标识符,能正确地识别网络中存在的VPC虚拟机;并利用虚拟机与宿主机的关联性快速寻找到虚拟机的宿主机,为进一步扫描虚拟机的安全漏洞和管理虚拟机网络提供基础。实验结果表明,该方法能准确地检测网络中存在的VPC虚拟机。 相似文献
14.
徐胜超 《计算机测量与控制》2020,28(10):241-246
提出了一种新的物理主机异常状态检测算法PHSDA(Physical host status anomalous detection algorithm)。PHSDA算法包括两个阶段;在超负载检测中,采用一种迭代权重线性回归方法来预测物理资源的使用效率情况;在低负载检测中,利用多维物理资源的均方根来确定其资源使用阈值下限,避免异常状态的物理主机数量的增加; PHSDA检测算法配合迁移过程中后续的虚拟机选择策略和虚拟机放置策略,就可以形成一个全新的虚拟机迁移模型PHSDA-MMT-BFD。以CloudSim模拟器作为PHSDA的仿真环境。经PHSDA策略优化过后的新虚拟机迁移实验表明:比近几年的BenchMark迁移模型比较起来,可以很好的降低云数据中心的能量消耗,虚拟机迁移次数减少,云服务质量明显提高。 相似文献
15.
16.
刘真 《计算机工程与科学》2008,30(2):105-109
虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I/O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。 相似文献
17.
针对现存入侵检测系统存在的问题,提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例,因为虚拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。 相似文献
18.
提出基于遗传算法的虚拟机放置方法GA-VMP(Genetic Algorithm based Virtual Machine Placement)。GA-VMP是一种应用于虚拟机迁移过程的优化算法。在物理主机状态检测和虚拟机选择阶段分别选取了鲁棒局部归约检测方法和最小迁移时间选择方法;在最后的虚拟机放置阶段,GA-VMP将遗传算法应用到虚拟机的重新分配过程中形成了一个全新的虚拟机迁移模型。设计云数据中心的能量消耗数学模型,以能量消耗最小作为遗传算法的目标函数。Cloudsim模拟器仿真结果表明:在总体能量消耗、虚拟机迁移次数、服务等级协议违规率等指标上明显降低,平衡指标参数只有少量的增加。仿真结果可为其他企业构造节能云数据中心提供参考作用。 相似文献