基于虛擬化技術(shù)的內(nèi)核代碼保護(hù)機(jī)制.pdf

1、近幾年來(lái)，隨著黑客技術(shù)特別是Rootkit技術(shù)的發(fā)展，攻擊者們已經(jīng)把觸角伸入到了操作系統(tǒng)的內(nèi)核。操作系統(tǒng)的內(nèi)核代碼面臨著嚴(yán)重的威脅。目前，保護(hù)操作系統(tǒng)安全的辦法有防火墻、入侵檢測(cè)系統(tǒng)、入侵恢復(fù)系統(tǒng)和安全操作系統(tǒng)等。這些系統(tǒng)規(guī)模較大，設(shè)計(jì)復(fù)雜，且不能很好地應(yīng)對(duì)新的攻擊技術(shù)給內(nèi)核代碼帶來(lái)的威脅。另一方面，虛擬化技術(shù)的復(fù)興給安全領(lǐng)域的研究帶來(lái)了新的曙光。由于虛擬化技術(shù)本身具有天然的安全優(yōu)勢(shì)，它已經(jīng)被廣泛地運(yùn)用于各個(gè)安全領(lǐng)域的研究中。而許多最新

2、的研究成果都表明，利用虛擬化技術(shù)增強(qiáng)操作系統(tǒng)的安全性是一種行之有效的辦法。 本文對(duì)各種相關(guān)的虛擬化系統(tǒng)進(jìn)行了調(diào)研，分析了這些虛擬化系統(tǒng)的優(yōu)缺點(diǎn)，指出了它們?cè)谠O(shè)計(jì)和實(shí)現(xiàn)中遇到的關(guān)鍵問(wèn)題，并總結(jié)了它們?cè)趩?wèn)題解決過(guò)程中的經(jīng)驗(yàn)和教訓(xùn)。在此基礎(chǔ)之上，本文設(shè)計(jì)并且實(shí)現(xiàn)了一種基于虛擬化技術(shù)的操作系統(tǒng)內(nèi)核代碼保護(hù)系統(tǒng)。本系統(tǒng)的特色在于：沒(méi)有采用傳統(tǒng)的防守策略，而是巧妙地利用了當(dāng)前CPU的特性，用虛擬化的方法在操作系統(tǒng)層引入了哈佛內(nèi)存體系結(jié)構(gòu)的特

3、征，采用將非法操作進(jìn)行重定位的方法來(lái)保護(hù)內(nèi)核代碼、對(duì)抗內(nèi)核級(jí)Rootkit一類攻擊的威脅；由于沒(méi)有引入新的軟件層次，且系統(tǒng)的實(shí)現(xiàn)代碼都經(jīng)過(guò)了精心的設(shè)計(jì)和優(yōu)化，充分地利用了底層硬件特性，因而完全不影響操作系統(tǒng)的正常功能，對(duì)系統(tǒng)的性能影響也很??；另外，本系統(tǒng)還能夠?qū)⒐粜袨橛涗浵聛?lái)，為入侵分析提供有用的信息。 實(shí)驗(yàn)表明，與類似的系統(tǒng)相比，本文的虛擬化系統(tǒng)具有較好的安全性，能夠抵御內(nèi)核級(jí)Rootkit對(duì)內(nèi)核代碼的惡意篡改，且在性能表現(xiàn)