基于VMM的虛擬機(jī)隱藏網(wǎng)絡(luò)連接檢測研究
摘要:惡意軟件可通過隱藏自身行為來逃避安全監(jiān)控程序的檢測,具有較強(qiáng)的隱蔽性和不可察覺性。傳統(tǒng)的基于主機(jī)的隱藏對象檢測系統(tǒng)易被繞過或攻擊而失效,針對當(dāng)前研究中存在的對隱藏網(wǎng)絡(luò)連接的檢測較少,及在虛擬機(jī)監(jiān)視器(VMM)中通過截獲解析數(shù)據(jù)包難以維護(hù)可信網(wǎng)絡(luò)連接視圖的問題,提出基于硬件虛擬化的虛擬機(jī)隱藏網(wǎng)絡(luò)連接檢測方法。該方法在虛擬機(jī)內(nèi)部獲取網(wǎng)絡(luò)連接的用戶層及內(nèi)核層視圖;在VMM層截獲虛擬機(jī)進(jìn)程的系統(tǒng)調(diào)用獲取可信網(wǎng)絡(luò)連接視圖及其與主體進(jìn)程的映射關(guān)系;通過交叉視圖對比實現(xiàn)對虛擬機(jī)隱藏網(wǎng)絡(luò)連接的檢測。實現(xiàn)的原型系統(tǒng)VNDec可在VMM層有效檢測虛擬機(jī)中隱藏的網(wǎng)絡(luò)連接,且可實現(xiàn)網(wǎng)絡(luò)連接隱藏行為與進(jìn)程主體的關(guān)聯(lián)。
注: 保護(hù)知識產(chǎn)權(quán),如需閱讀全文請聯(lián)系現(xiàn)代計算機(jī)雜志社
相關(guān)推薦
更多字化用戶.jpg)
.jpg)
科技.jpg)
與網(wǎng)絡(luò).jpg)
碼世界.jpg)
于我們.jpeg)