基于KVM的Windows虚拟机用户进程防护

为保护Windows虚拟机中进程的内存和系统调用执行路径免受恶意代码的威胁,提出了一种基于KVM的虚拟机用户进程防护方案。结合硬件虚拟化技术,为Windows虚拟机构造一份影子内核以绕过恶意代码对原内核系统调用路径的挂钩,保护进程系统调用路径的安全。同时,在监控代理中过滤跨进程系统调用,在KVM中拦截虚拟机页表切换行为并监控虚拟机断点异常与调试异常,保护进程内存的安全。另外,构造影子监控代理,实现对虚拟机监控代理内存的安全防护。最后,实现了基于KVM的虚拟机用户进程防护系统VMPPS,并对其有效性进行了系统测试与分析。实验结果表明,在性能损失可接受范围内,进程内存与进程系统调用执行路径能够得到有效防护。     

基于Intel VT硬件虚拟化的Rootkit技术

Intel VT硬件虚拟化技术使Rootkit可以利用底层优势实现深度隐藏。首先结合木马协同隐藏的思想,提出了基于Intel VT硬件虚拟化的Rootkit(HVRootkit)的协同隐藏模型,并给出形式化描述;然后根据该模型,在深入分析进程切换过程和操作系统内核数据结构的基础上,设计并实现了HVRootkit原型,该原型能够监控系统进程的切换过程,并通过修改与内核层进程视图和用户层进程视图相关的数据结构,隐藏系统进程。实验表明,HVRootkit原型符合协同隐藏的思想,能够实现对进程的深度隐藏,隐藏性能明显优于传统的内核级Rootkit。     

基于影子内存的无代理虚拟机进程防护

为了提高虚拟机中进程的安全性,避免系统调用表SSDT和系统调用执行流被恶意挂钩,提出一种基于影子内存的无代理虚拟机进程防护方案。首先利用VMM的高特权级在虚拟机的非换页内存区透明构建一块影子内存,通过向影子内存透明注入SSDT和跳转函数,构建全新SSDT和系统调用执行流,保证SSDT和系统调用执行流的完整性。通过主动挂钩影子内存中的SSDT,利用硬件虚拟化的自动陷入机制检测进程的敏感行为,在VMM中过滤针对受保护进程的非法操作,实现无代理的进程防护。实验结果表明,该方案可以有效地对虚拟机中指定进程进行防护并过滤大部分的rootkit攻击,对虚拟机性能的影响在3%以下。     

基于虚拟机的程序运行时监控方法

为实现在系统层面对程序运行时行为的监控,本文设计了基于虚拟机的程序运行时动态监控框架。利用事件驱动机制,借助虚拟机翻译程序的原理,选取特定事件作为被关注事件进行注册,从虚拟环境中提取CPU状态进行分析,从而获得相关程序动态运行信息。以基于控制流的可疑程序分析作为应用实例,描述了具体实现过程。测试结果表明,该框架能够在系统层进行有效的行为监控,方便获取操作系统内核状态和进程的信息,为程序的动态行为分析提供了有利的支持。     

基于虚拟机的内核完整性保护技术

针对云计算中客户虚拟机内核完整性面临的威胁,该文提出了一种保护虚拟机内核完整性的技术-CTVM。该技术在KVM虚拟机环境中实现了虚拟化可信执行环境的创建,使多个客户虚拟机同时拥有可信计算功能,能对客户虚拟机提供启动完整性度量;在此基础上利用硬件辅助虚拟化技术,通过为客户虚拟机构造隔离的地址空间,使客户虚拟机中不可信模块与内核运行在逻辑隔离的地址空间。从这两个方面实现对客户虚拟机的启动和运行时的完整性保护。最后,以某国产服务器为实验平台实现了CTVM原型系统,系统测试与分析验证了技术的可用性,系统性能损耗在可接受的范围内。     

基于虚拟机监控器的类蜜罐实时内存取证

为了解决传统的基于“镜像-分析”的内存取证技术面临的提取内存镜像时间过长及无法有效截获瞬时性内存攻击的问题,提出类蜜罐的实时内存取证方法（RTMF）.利用虚拟机监控器针对性地提取内存片段,对提取的数据进行语义重构,以获得操作系统级语义信息.利用扩展页表机制设置关键内存页面的访问权限,将这些内存页面作为蜜罐;针对蜜罐的违规访问会触发扩展页表故障而陷入虚拟机监控器,实时拦截攻击.结果表明,在发现内存攻击后,RTMF既可记录攻击者对内存的修改历史,又可对攻击者追踪溯源.经微基准测试,该方法引入的性能开销在可接受的范围内.     

基于内存自省技术的虚拟化安全防护模型

提出了一种基于内存自省技术的虚拟化安全防护模型,能够在无任何先验知识的前提下,通过实时分析物理主机物理内存重构物理主机状态信息、发现正在运行的虚拟机以及重构虚拟机高级语义信息,及时发现虚拟机中存在的恶意行为,并对恶意行为做出智能响应.实验结果表明,该模型具有透明、抗攻击、通用和高效等特性.     

一种抗语义攻击的虚拟化软件保护方法

随着计算机和网络的发展,软件核心算法面临着被逆向的威胁越来越大。虚拟机软件保护方法作为一种新型的软件保护方法,利用虚拟化技术保护软件的核心算法。因虚拟指令很难被理解,故其保护强度较高。但是,该方法仍无法抵御基于语义的攻击方法对虚拟机保护后的软件攻击,由此给软件安全带来了严重的威胁。针对现有的各类虚拟机软件保护方法无法应对目前恶意攻击者基于语义攻击的问题,提出了一种抗语义攻击的虚拟机软件保护方法即DAS-VMP。该方法分析了基于语义攻击的关键技术,依此研究出抵抗语义攻击的方法。从程序内部的数据流和执行流出发,通过设计数据流混淆引擎对虚拟机中虚拟解释器（Handlers）进行数据流混淆,使程序内部的数据流结构变得复杂多样,从而攻击者无法进行数据流的分析。隐藏虚拟机中的谓词信息,以抵抗攻击者的符号执行技术,同时将单一进程虚拟机设计为双进程虚拟机,控制软件运行过程中的执行流,使软件的执行过程更加难以被追踪,最终使经过保护后的软件呈现出一种复杂的数据流和执行流,从而阻止攻击者通过基于语义的攻击方法进行逆向分析。理论分析表明,DAS-VMP能够有效抵抗基于语义的攻击,与两款商业虚拟机保护系统的比较表明DAS-VMP对系统的性能开销较小。     

一种采用硬件虚拟化的内核数据主动保护方法

恶意代码通过访问或者加载内核代码,实现权限提升、自身隐蔽、敏感信息截获等功能,对操作系统的安全带来严重的危害。因此,如何保护操作系统内核的完整性成了目前的研究热点。硬件虚拟化技术为内核的安全保障提供了有力的支持。本文提出了一种采用硬件虚拟化的内核数据主动保护方法,该方法对关键寄存器、代码指针表、函数代码等恶意代码攻击的关键点进行识别和放入保护区,利用硬件虚拟化的自动陷入机制检测对保护区的非法篡改。同时,利用单步执行技术和事件转发技术保障OS其它操作的兼容性。另外,通过保护页的合并减少保护区的长度以提高异常处理的效率。最后,实现了一个采用该技术的原型工具-HV_KDAP,该工具检测了主流的9款Rootkit样本,实验结果证实其增加的负载为12.7%。该工具还可以抑制内核本地权限提升的攻击,以及用于内核攻击的取证。     

基于软件模拟的虚拟机系统故障插入工具

对虚拟机系统故障插入工具所涉及的故障模型、插桩方式、触发机制和监控跟踪等进行研究.通过统计分析各种虚拟机系统的故障症状,给出虚拟机系统的典型故障模型（包括故障类型、故障位置、发生模型和持续时间等）及实现代码.在研究虚拟机系统架构和故障插入实现原理的基础上,采用软件模拟方法基于Xen系统设计一个故障插入工具——SFIVE,介绍相应的插桩方式、触发机制和监控机制.实验分析表明,SFIVE具有较高的虚拟机系统故障覆盖率,能够激活和监控与大部分虚拟机相关的插桩故障.     

基于虚拟化技术的可重构路由器控制平面模型

可重构路由器技术是下一代网络体系的重要组成部分,文章分析了现有网络设备控制软件在支持可重构方面的不足,提出了一种基于虚拟化技术的可重构路由器控制软件模型,该模型基于成熟稳定的多进程操作系统,通过操作系统的内核虚拟化技术来为可重构路由器不同构件软件提供相同的运行环境,支持系统资源的配额管理,隔绝了不同构件软件运行在同一个控制软件系统中的性能影响,提高了整个可重构路由器控制软件系统的开放性和安全性。     

自动探测和保护确保内核完整性

内核rookits攻击对内核完整性构成致命威胁,因此对内核rootkits探测和防护确保内核完整性是当前研究的热点,然而现有的研究总存在不足:要么侧重内核rootkits防护,要么侧重内核rootkits探测,并未将两者相结合确保内核完整性。鉴于此,本文将探测和保护相结合形成一个自动联动机制,从而构成了基于探测保护的一体化系统ADPos来确保内核完整性。实验表明ADPos系统既能自动全面有效地探测与防护,而且又不牺牲系统性能为代价,并且兼容多种OS系统、同时防零日攻击。     

数据挖掘在网站网页设计优化中的应用

因特网的应用提供了前所未有的数据量 ,因而查找用户所需的信息成为一件困难又麻烦的事情。有效组织数据 ,简化用户的查找是构造网站数据库必须认真考虑的问题 ,但这取决于用户的使用模式。了解用户如何使用网站的各项内容是一个知识发现的问题。而数据挖掘技术的目的就是在大量数据中发现知识 ,它已经成为知识发现的核心技术。从而数据挖掘技术为网络领域提供了一个知识发现的手段。讨论了在网站网页设计优化中使用数据挖掘技术的问题。介绍了一个具体的应用于该方面的数据挖掘工具WDWT的设计与实现。论述了系统的结构 ,各组成部分的功能 ,关联规则的发现算法     

谷氨酸发酵过程专家系统研究

通过对发酵过程及专家系统知识的分析和研究,得出谷氨酸发酵过程的重要参数以及影响因素,设计谷氨酸发酵过程的专家系统.系统界面由VC＋＋编写,内核采用专家系统专用工具CLIPS设计.专家系统具有数据库和知识库,用来储存谷氨酸发酵过程的数据、事实和经验,由独立的推理机实现其推理过程,具有良好的人机交互界面,可以为谷氨酸生产过程提供有效的操作指导.     

一种改进的形式化本体模型研究

基于对象、属性、类及其之间的4个主要关系,即实例关系、属关系、抽象关系和区分关系,提出一种本体三角形模型.该模型符合人的抽象思维过程,其核心机制是抽象原理.采用一阶逻辑等值演算形式化定义该模型结构,根据实体及其关系分析其约束机制,论述相应公理,解释一些重要推论.这种形式化本体理论系统描述了分类学,为实现本体框架奠定了基础,可用于实现知识推理.