基于虛擬機自省的惡意軟件分析技術(shù)研究.pdf

1、云計算是通過網(wǎng)絡(luò)提供方便、廉價的計算服務(wù)，但其安全問題一直是用戶最關(guān)注的。虛擬化作為云計算的支撐性技術(shù)，其中的虛擬機本身存在風險，進而危害到整個云計算系統(tǒng)的安全性。本文研究利用虛擬機自省技術(shù)對虛擬化環(huán)境中虛擬機惡意軟件進行檢測和監(jiān)控，改善虛擬機安全性能。主要工作包括：
　　首先，提出了一種基于虛擬機自省的惡意軟件分析原型方法。通過解析內(nèi)核調(diào)試文件獲取關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的相對虛擬地址，經(jīng)過內(nèi)存虛擬化計算出內(nèi)核物理基地址，從而得到內(nèi)核函數(shù)在

2、內(nèi)存中的分布情況。通過斷點注入的方式監(jiān)控每個內(nèi)核模塊和函數(shù)的調(diào)用情況。通過監(jiān)控CR3寄存器，捕獲進程發(fā)生上下文切換事件。遍歷該進程所加載的模塊和該模塊內(nèi)的函數(shù)，對需要監(jiān)控的函數(shù)注入INT3斷點，虛擬機繼續(xù)執(zhí)行對應(yīng)的函數(shù)時，執(zhí)行流程就會被劫持為自省機制的監(jiān)控流程，從而提取系統(tǒng)調(diào)用序列等相關(guān)信息。使用n-gram的方法產(chǎn)生聚類特征，將序列數(shù)據(jù)轉(zhuǎn)化為特征向量，基于這個特征向量可以計算出不同行為的分析報告之間的相似度，在此基礎(chǔ)上采用聚類分類算法

3、對系統(tǒng)調(diào)用序列進行分析。實驗結(jié)果驗證了其有效性。
　　其次，提出了一種分離式虛擬機自省模型。該模型的基本思想是將原本運行在特權(quán)域的 VMI模塊遷移至用戶域，由一個專門運行 VMI工具的虛擬機執(zhí)行對其他用戶域虛擬機的監(jiān)控工作。從而降低了特權(quán)域的可信計算基，降低了被攻擊的可能性和遭受攻擊后的損失。實驗結(jié)果表明，該模型同樣可以完成原來虛擬機自省任務(wù)，在功能性上沒有減弱，但由于 VMI運行的用戶域虛擬機，相對于特權(quán)域的權(quán)限較低，所以在執(zhí)行