共查询到20条相似文献,搜索用时 468 毫秒
1.
针对云环境下的租户虚拟机状态监控问题,提出一种基于虚拟机内存实时在线分析的虚拟机监控技术.借助虚拟化层的高特权级,可以在虚拟机外部透明地实时获取虚拟机的物理内存.引入内存取证领域的物理内存解析机制,在虚拟化层在线地分析虚拟机内存中重要的内核数据结构,从而获取虚拟机内存语义知识,有效地解决虚拟机与虚拟化层之间的语义鸿沟问题,实现虚拟机细粒度状态信息监控.由于监控代码处于更高特权级的虚拟化层,无需在用户虚拟机中部署监控代理,因此,虚拟机内部的恶意代码无法旁路和破坏安全监控代码,提高了方法的透明性和安全性.实验表明,该方法可以在低开销下以无监控代理模式为租户提供虚拟机监控服务. 相似文献
2.
通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大. 相似文献
3.
为检测虚拟机内部的IO异常行为,及时发现已知和未知的虚拟机逃逸攻击,基于硬件辅助虚拟化技术,该文提出了一种基于虚拟机IO序列的异常检测方法,包括:提出了一种异步采集技术高效采集虚拟机IO序列;建立了虚拟机IO序列与虚拟机内部进程的映射关联关系,以细粒度描述虚拟机自身IO行为;提出了一种基于双层Hash表的虚拟机IO短序列生成算法,并采用Markov链模型检测异常虚拟机IO序列。在KVM(Kernel-based virtual machine)虚拟化环境下设计并实现原型系统VMDec(virtual machine detecting),通过实验评测了VMDec系统的功能和性能。实验结果表明:VMDec能有效检测出虚拟机内部基于IO的恶意攻击以及已知和未知的虚拟机逃逸攻击,且检测误报率和性能开销在可接受范围内。 相似文献
4.
《华中科技大学学报(自然科学版)》2016,(3):34-38
为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改. 相似文献
5.
基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%. 相似文献
6.
随着安全检测软件深入到系统内核,传统的内核级Rootkit逐渐丧失了隐藏自身和控制系统的优势.但是一种利用虚拟机技术的虚拟机Rootkit又一次打破了平衡,它试图在虚拟化环境下躲避检测,并控制目标系统.本文将介绍两种在不同虚拟化环境下的Roorkit的实现方式. 相似文献
7.
《山东大学学报(理学版)》2017,(6)
为了保证云中虚拟机的安全和从云中寻找完整可靠的犯罪证据,提出了基于物理内存分析的实时监控取证方法,设计开发了相应的云监控取证系统,并给出了具体的设计及实现。此系统的代理端只需要在物理主机上运行,通过获取分析主机的物理内存,分析提取IaaS基础设施层一台或者多台物理主机上安装的虚拟机系统内的关键信息。最后在KVM/Xen虚拟化环境中进行了信息的分析提取和异常检测,结果表明该方法能够获取到云平台中虚拟机的关键证据信息,能对虚拟机中的异常行为进行检测,可有效防止虚拟主机运行恶意软件、违法犯罪等问题。 相似文献
8.
《天津理工大学学报》2020,(1)
本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响. 相似文献
9.
王丽丽 《首都师范大学学报(自然科学版)》2015,(4):16-19
虚拟化技术在云计算中发挥着重要作用,云计算通过虚拟化技术提供灵活高效的应用服务.在分析云计算中虚拟化技术体系结构的基础上,本文分别从虚拟机硬件设备、虚拟机监控软件和虚拟化操作系统三个方面,阐述了虚拟化技术所面临的安全威胁,最后提出了相应的安全防护对策. 相似文献
10.
针对目前基于隐藏的进程保护方法容易被Rootkit检测工具检测出而失效的情况,提出了一种基于直接内核对象操作(DKOM)的进程伪装保护方法.该方法将进程隐藏方法中较为常用的DKOM技术与传统的伪装技术相结合,通过直接修改操作系统内核空间中存储进程相关信息的数据结构,使进程在任务管理器中显示为一些系统进程,以此达到保护进程的目的.进程信息的修改涉及内核的操作,由Windows驱动实现,该驱动兼容Windows 2000以上多个版本的操作系统,具有广泛适用性.实验结果显示,经过该方法修改后,进程查看工具查看到的进程信息与正常的系统进程没有差别.伪装效果较好,用户无法发觉,Rootkit检测工具也不会提示异常.验证了基于DKOM的进程伪装保护方法的有效性. 相似文献
11.
12.
从一类具有一般分布的随机服务系统状态空间出发,定义了一种新的随机过 程──广义马尔柯夫更新过程:研究了这种随机过程的基本性质及分析方法;提出了 一种将广义马尔柯夫更新过程变换为马尔柯夫更新过程的有效状态重组方法──状态 分解合并法,并给出了一种讨论过程极限特性的状态频率法.最后,应用上述方法建 立了[MIGI1]:[nI∞IFCFS]混合制排队系统的解析榨型。 相似文献
13.
考虑独立同分布环境下依人口数控制两性分枝过程,其中后代概率分布受一个随机环境过程影响,配对函数依赖人口数,参与繁衍后代的配对单元数又受控制函数约束。讨论了当k→∞时,均值rk,θ趋于极限rθ1(rk,θ是繁衍分布的均值),得出了模型的一些概率性质以及Wn依L1收敛的必要条件。 相似文献
14.
为了较好地区别单位根过程和平稳过程,该文对带漂移项的单位根过程和趋势项的平稳过程这两个数据生成过程进行分析,结合蒙特卡罗模拟,通过分析方法和参数等方面的阐述,得出参数的收敛速度和分布等方面的区别,从而更好地加强对这两个过程的理解,并为单位根检验给出了参考. 相似文献
15.
单瞬时态单边生灭Q过程的常返性和遍历性 总被引:1,自引:0,他引:1
设Q为单瞬时态单边生灭矩阵,该文利用单边生灭Q-矩阵的定性理论和单时态Q过程的分解定理得到了单边生灭Q-矩阵存在常返Q过程和遍历Q过程的充要条件,并在Q-矩阵满足定理条件时构造了单边生灭常返Q过程和遍历Q过程。 相似文献
16.
17.
18.
企业业务流程及核心业务流程的识别 总被引:4,自引:0,他引:4
刘飚 《中南民族大学学报(自然科学版)》2005,24(2):101-104
通过对企业业务流程定义的分析,抽象出企业流程的要素,提出了企业流程的形式化描述的方法,以及企业流程的基本构成要素和联系.针对企业再造失败率高的原因,分析了再造过程中核心流程识别的重要性及方法,认为企业应将再造的重点放在核心业务流程上. 相似文献
19.
