基于VMM的Rootkit检测技术及模型分析

随着计算机网络的发展，信息安全已逐渐成为当今社会的主要问题之一。内核态 Rootkit 以其良好的隐蔽特性被广泛应用于恶意代码中，严重影响操作系统内核的完整性。文章首先对基于LKM的Linux主流Rootkit技术进行了归纳整理，剖析了当前基于VMM的Rootkit检测技术及模型的原理和架构，对“In-VM”、“In-VMM”和“In-Host”检测模型的有效性、实用性、可靠性等方面进行了讨论和对比分析，其中“In-VM”模型在Rootkit检测在有效性方面效果突出，而“In-Host”模型在实用性和可靠性方面效果较好，“In-VMM”作为二者的折中方案，其各方面特性相对均衡。基于VMM的Rootkit检测技术及模型的分析，为明确该领域的研究方向及进一步研究提供参考依据。     

基于VMM的Rootkit及其检测技术研究

借助虚拟化技术,Rootkit隐藏能力得到极大提升,基于VMM的Rootkit的研究成为主机安全领域的热点。总结了传统Rootkit的隐藏方法和技术瓶颈,介绍了VMM的自身优势和软、硬件实现方法,分析了不同VMM Rootkit的设计原理和运行机制。针对VMM存在性检测的不足,阐述了一种新的VMM恶意性检测思路,同时讨论了 VMM Rootkit的演化方向,并从防护的角度提出了一些安全使用虚拟化技术的建议。     

基于本地虚拟化技术的隐藏进程检测

自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中（Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表（TVPL)获取技术,Gemini实现了在虚拟机监视器（VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。     

基于硬件虚拟化技术的隐藏进程检测技术*

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器（libra virtual machine monitor,LibraVMM）实现了从虚拟层隐式获取真实进程列表（true process list, TPL）的新技术。与已有的基于虚拟机技术的解决方案相比,Libra     

VMM入侵检测系统体系结构

针对现存入侵检测系统存在的问题,提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例,因为虚拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

利用虚拟机监视器检测及管理隐藏进程

恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性.传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.     

基于三权分立原则的安全操作系统结构设计

设计了一种新型的操作系统结构.该结构在三权分立的原则下,对传统操作系统的功能进行分割与重组,让不同的功能组件分别运行在不同的虚拟机中,利用虚拟机间的强隔离特性保证各组件的独立性,利用虚拟机间的专有通信机制实现各组件之间的协作与制约.这种新型的结构有效地解决了传统操作系统结构中安全性不高的问题.     

基于内存扫描的隐藏进程检测技术

针对恶意代码普遍使用Rootkit技术来隐藏自身进程这一特点,提出了基于内存扫描的隐藏进程检测方法。该方法通过对系统高端虚拟内存的扫描,判断其中存在的Windows内核对象的类型,得到可信的系统进程信息,从而实现对隐藏进程的检测。同时,该检测方法可以实现对其他类型的Windows内核对象的扫描,具有一定的扩展性。     

操作系统结构研究

目前的操作系统越来越复杂,已接管了计算机系统中几乎所有的控制权,极大地损害了用户的利益,也带来了严重的安全性、可靠性问题.产生这些问题的根本原因是现有操作系统的结构存在着缺陷,因而有必要设计全新的操作系统结构.分析了操作系统与国家政府机构之间的关系,列举了目前操作系统面临的主要问题,借助封建帝王们的政治智慧,提出了新操作系统结构的设计原则,并给出了一种操作系统结构的参考模型.该模型以虚拟化技术为基础,有效地分割了操作系统的权力,可大大提高系统的安全性、可靠性和可观察性.     

VMM中Guest OS非陷入系统调用指令截获与识别

针对虚拟化环境下Guest OS某些特定指令行为不会产生陷入从而在虚拟机管理器(virtual machine monitor, VMM)中无法对其进行监控处理的问题,提出通过改变非陷入指令正常运行条件,使其执行非法产生系统异常陷入VMM的思想;据此就x86架构下Guest OS中3种非陷入系统调用指令在VMM中的截获与识别进行研究：其中基于int和sysenter指令的系统调用通过使其产生通用保护(general protection, GP)错系统异常而陷入,基于syscall指令的系统调用则通过使其产生UD(undefined)未定义指令系统异常而陷入,之后VMM依据虚拟处理器上下文现场信息对其进行识别;基于Qemu&Kvm实现的原型系统表明：上述方法能成功截获并识别出Guest OS中所有3种系统调用行为,正常情况下其性能开销也在可接受的范围之内,如在unixbench的shell测试用例中,其性能开销比在1.900~2.608之间.与现有方法相比,它们都是以体系结构自身规范为基础,因此具有无需修改Guest OS、跨平台透明的优势.     

基于隐马尔可夫模型的火焰检测

提出一种利用隐马尔可夫模型对普通视频中的火焰进行分析的方法,除应用运动和颜色分析对火焰进行识别外,还通过隐马尔可夫模型对火焰的闪烁特性进行分析。实验结果表明,该方法能有效区分火焰和具有火焰颜色的普通运动物体,减少了火灾监测中误报警的次数,具有一定的实际意义。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

基于曲线波隐马尔可夫模型的人脸检测

提出了一种基于曲线波隐马尔可夫模型的混合人脸检测算法.曲线波变换是一种多尺度几何变换,具有很好的方向性,能用极少的非零系数精确表示图像的边缘,是一种最稀疏的表示方法.根据隐马尔可夫模型对人脸拓扑结构的约束,采用3状态的隐马尔可夫模型进行从粗到细的人脸检测.实验结果表明,这种算法具有较好的检测速度与正确率及鲁棒性.     

自组织隐马尔可夫模型的人脸检测研究

该文提出了自组织隐马尔可夫模型的人脸检测方法，采用多视人脸样本对隐马尔可夫模型进行训练，得到其参数的初步估计值，在此基础上，裁剪那些状态之间的弱连接，将网络自组织成多路径的左右模型（MPLR）。然后利用EM算法对参数重新进行估计，得到隐马尔可夫模型的状态图，在检测阶段，通过求取最优状态序列和最大相似度的方法来判断，与伪二维隐马尔可夫模型相比，该方法的优点在于能检测多视下的人脸，不只局限于垂直正面视，实验结果证明了该方法的有效性。     

基于支持对象的野点检测方法

从模式识别的角度出发，分析了基于核的野点检测方法，指出随着样本数目的增加，该方法会因为过大的优化规模而无法实际操作，为此提出了基于支持对象的野点检测方法，该方法大大降低了运算规模和内存需求，保证了野点检测实时性的要求。     

一种基于相关特征匹配的移动目标检测方法

提出了一种在变化背景中利用相关特征匹配来检测移动目标的方法,该方法利用图像的灰度均值及灰度均方差作为自适应阈值过滤原图像,将图像中的目标物分离;提取特征并将特征参数化,利用特征参数欧式距离检测目标;通过检测连续多帧图像,对图像中非移动目标进行过滤,最终得到移动目标。该方法与相关系数法检测移动目标的方法相比减少了计算量,并且相邻图像中存在部分相同背景的情况不影响检测结果。实验结果证明,该方法能在变化背景图像中有效地检测到运动目标。     

基于HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务(DDoS)攻击时,网络中数据包的统计特征会显示出异常.检测这种异常是一项重要的任务.一些检测方法基于数据包速率的假设,然而这种假设在一些情况下是不合理的.另一些方法基于IP地址和数据报长度的统计特征,但这些方法在IP地址欺骗攻击时检测率急剧下降.提出了一种基于隐马尔可夫模型(HMM)的DDoS异常检测方法.该方法集成了4种不同的检测模型以对付不同类型的攻击.通过从数据包中提取TCP标志位,UDP端口和ICMP类型及代码等属性信息建立相应的TCP,UDP和ICMP 的隐马尔可夫模型,用于描述正常情况下网络数据包序列的统计特征.然后用它来检测网络数据包序列,判断是否有DDoS攻击.实验结果显示该方法与其他同类方法相比通用性更好、检测率更高.     

基于隐马尔可夫模型的加密恶意流量检测

近年来,随着网络加密技术的普及,使用网络加密技术的恶意攻击事件也在逐年增长,依赖于数据包内容的传统检测方法如今已经无法有效地应对隐藏在加密流量中的恶意软件攻击.为了能够应对不同协议下的加密恶意流量检测,提出了基于ProfileHMM的加密恶意流量检测算法.该方法利用生物信息学上的基因序列比对分析,通过匹配关键基因子序列,实现识别加密攻击流量的能力.通过使用开源数据集在不同条件下进行实验,结果表明了算法的有效性.此外,设计了两种规避检测的方法,通过实验验证了算法具有较好的抗规避检测的能力.与已有研究相比,该工作具有应用场景广泛以及检测准确率较高的特点,为基于加密流量的恶意软件检测研究领域提供了一种较为有效的解决方案.