基于系统虚拟化技术的内核态Rootkit检测方法技术方案

本发明专利技术提供了一种基于系统虚拟化技术的内核态Rootkit检测方法，本发明专利技术通过对Rootkit原理与系统调用和LKM进行深入分析，得到内核态Rootkit隐藏自身模块信息这一行为特点。并针对这一特点，利用设计了基于视图交叉验证的Rootkit检测方法。本发明专利技术通过对Xen内核进行更改以截获系统调用，从而构建可信视图。利用目标客户机的用户态工具构建被感染视图。通过对比可信视图和被感染视图发现隐藏的模块。

【技术实现步骤摘要】
基于系统虚拟化技术的内核态Rootkit检测方法
本专利技术涉及云计算安全领域，具体涉及云计算环境下一种基于系统虚拟化技术的内核态Rootkit检测技术。
技术介绍
近年来，以虚拟机技术为基础的云计算服务得到了迅速发展，越来越多的用户采用云计算服务，将数据向云计算中心迁移。而此时出现了借助Rootkit技术的跨虚拟机攻击等新型攻击形式。如何在虚拟化环境下，借助于虚拟机技术进行恶意代码及其他恶意攻击的检测，保障云计算中心的安全也成为了一个重要课题。Rootkit是恶意软件中最难以检测的类型，主要被恶意攻击者安装在目标系统中，通过修改目标系统重要系统文件或内核以实现隐藏攻击信息（Rootkit自身及其相关恶意软件）和帮助攻击者获取远程登录权限等功能。Rootkit主要分为用户态Rootkit和内核态Rootkit。用户态Rootkit主要通过替换篡改重要系统文件来达到隐藏攻击信息的目的，但其较容易被发现，生存能力低。而内核态Rootkit通过针对系统调用函数等进行恶意修改，隐蔽性好，攻击能力强，逐渐成为主流。传统针对内核态Rootkit的检测主要采用特征码扫描以及内核完整性检测等手段，但本文档来自技高网...

【技术保护点】
一种基于系统虚拟化技术的内核态Rootkit检测方法，其特征在于：采用如下的步骤对虚拟机视图和用户视图进行对比以发现隐藏模块：1）模块监控器初始化包含目标客户机的模块列表module_list信息的虚拟机视图V1；2）超级管理器模块监控目标客户机的系统调用；3）当超级管理器模块监控到发生系统调用sys_init_module()时记录其发生时间戳t1并通知模块监控器更新模块监控器虚拟机视图为V2，记录下V2构建完成的时间戳t2；4）若在t1和t2时间间隔内没有系统调用sys_delete_module()产生，则在分析器模块内对比视图V1和V2，若V1=V2，则说明存在隐藏项，调用超级管理器模...

【技术特征摘要】
1.一种基于系统虚拟化技术的内核态Rootkit检测方法，其特征在于：采用如下的步骤对虚拟机视图和用户视图进行对比以发现隐藏模块：1)模块监控器初始化包含目标客户机的模块列表module_list信息的虚拟机视图V1；2)超级管理器模块监控目标客户机的系统调用；3)当超级管理器模块监控到发生系统调用sys_init_module()时记录其发生时间戳t1并通知模块监控器更新模块监控器虚拟机视图为V2，记录下V2构建完成的时间戳t2；4)若在t1和t2时间间隔内没有系统调用sys_delete_module()产生，则在分析器模块内对比视图V1和V2，若V1＝V2，则说明存在隐藏项，调用超级管理器模块提取sys_init_module()的信息m，若则标记m为Rootkit，给出警告并继续步骤5，否则若sys_delete_module()产生，跳到步骤7；5)模块获取器在被监控系统的用户空间中提取系统进程信息构建用户视图U，并将结果传回给分析器模块；6)在模块监控器利用根据Xenaccess提取process_list信息生成的视图V3，在分析器模块内对比视图U和视图V3，对任意进程P∈V2，若则标记P为Rootkit；7)更新虚拟机视图V1使V1＝V2，并重复步骤1)。2.根据权利要求1所述的基于系统虚拟化技术的内核态Rootkit检测方法，其特征在于：Linux的系统调用通过两种方式实现：使用int0x80中断方式和使用快速系统调用sysenter/sysexit方式。3.根据权利要求2所述的基于系统虚拟化技术的内核态Rootkit检测方法，其特征在于：针对int0x80中断方式，对中断向量...

【专利技术属性】
技术研发人员：王轩，丁宇新，李晔，张加佳，赵海楠，于成龙，刘猛，李鑫鑫，张自力，
申请(专利权)人：哈尔滨工业大学深圳研究生院，
类型：发明
国别省市：