积分商城

最新搜索: CH340 排插 入门教程 canopen TMC5160 altium Designer 20 电路设计与仿真从入门到精通
您现在的位置是:首页 > 技术资料 > 基于快速语义修复的操作系统隐藏对象检测技术
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

基于快速语义修复的操作系统隐藏对象检测技术

更新时间:2019-12-24 12:02:55 大小:1021K 上传用户:守着阳光1985查看TA发布的资源 标签:快速语义修复 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

与传统的入侵检测系统相比,基于虚拟机自省的入侵检测系统的抗干扰性更强.但由于存在语义鸿沟问题,即低层的硬件字节信息与操作系统级语义之间的差异,导致入侵检测系统的通用性和实时性下降.针对此问题,本文提出了Vlhd,一种基于语义鸿沟修复方法的rootkit隐藏对象检测技术.Vlhd将系统分离成离线和在线模块两部分.在线模块用于即时地在虚拟机外部重构虚拟机语义视图;离线模块用于离线地提取操作系统语义知识,并向在线模块提供语义服务.通过对各类Linux操作系统和多种rootkit进行入侵检测试验,发现Vlhd对rootkit的隐藏对象检测效果良好,通用性强.Vlhd的单次扫描时间为34ms,对系统引入了1.1%(扫描周期设置为8s时)的性能开销.


部分文件列表

文件名 大小
基于快速语义修复的操作系统隐藏对象检测技术.pdf 1021K

【关注视频号领20积分】   【关注公众号立即送20积分】

部分页面预览

(完整内容请下载后查看)
5
Vol. 46 No. 5  
May 2018  
2018  
5
ACTA ELECTRONICA SINICA  
基于快速语义修复的操作系统  
隐藏对象检测技术  
12  
1
3
1
, , ,  
李勇钢 崔超远 乌 云 孙丙宇  
( 1.  
230031; 2.  
国科学院质科学研究肥智研究所智实验室 肥  
国科学技术  
230088)  
国科学院质科学研究应用技术肥  
肥  
230027; 3.  
:
.  
统的入侵检测系统基于虚拟入侵检测系统的抗干扰更强 但语义鸿沟  
, , .  
问题 节信息操作系统语义入侵检测系统的通用性和实时降 针问题  
Vlhd,  
一种基于语义鸿修复方法的  
rootkit  
. Vlhd  
隐藏对象检测技术 系统分线和线块两部  
本文提出了  
; ,  
线虚拟外部虚拟语义视图 离线线地操作系统语义知识 线  
块提供语义服务 类  
Linux rootkit Vlhd rootkit  
操作系统入侵检测验 发对  
的隐藏对象检测  
果良好 通用强  
. Vlhd  
34ms,  
扫描对系统了  
1. 1% (  
8s ) .  
扫描周置为 开销  
:
;
; rootkit; xen;  
语义修复  
关键词  
中图分类号  
URL: http: / /www. ejournal. org. cn  
虚拟化 隐藏检测  
:
TP316  
:
A
: 0372-2112 ( 2018) 05-1025-07  
DOI: 10. 3969 /j. issn. 0372-2112. 2018. 05. 001  
文献标识码  
文章编号  
电子学报  
The OS Hidden Object Detection Technology Based on  
Fast Semantic Repair  
12  
1
3
1
LI Yong-gang CUI Chao-yuan WU Yun SUN Bing-yu  
( 1. Lab of Intelligent DecisionInstitute of Intelligent MachinesHefei Institutes of Physical ScienceChinese Academy of Sciences,  
HefeiAnhui 230031China; 2. University of Science and Technology of ChinaHefeiAnhui 230027China;  
3. Institute of Applied TechnologyHefei Institutes of Physical ScienceChinese Academy of SciencesHefeiAnhui 230088China)  
Abstract: Compared with the traditional intrusion detection systemthe intrusion detection system based on virtual  
machine introspection has stronger anti-jamming ability. Howeverthe difference between the hardware byte information and  
the high level semantics leads to the decrease of the versatility and real-time. Aiming to solve this problemthis paper propo-  
ses Vlhda OS hidden object detection technology based on semantic repair method. Vlhd separates the system into two  
parts: the offline module and the online module. The online module reconstructs semantic view outside the target virtual ma-  
chine; the offline module is responsible for the extraction of OS semantic knowledgeand providing semantic services to the  
online module. Through a variety of rootkit intrusion detection test in various types of Linux OSwe find that Vlhd can de-  
tect the objects hidden by rootkits. A single scan time of Vlhd is 34msand the performance overhead is 1. 1% ( scan cycle  
is set to 8s) .  
Key words: virtualization; hidden detection; rootkit; xen; semantic repair  
rootkit  
提升其隐藏隐藏的  
驱使  
1
引言  
技术操作系统指令单替升级为劫持内控  
45]  
( VM)  
随着虚拟虚拟机  
已经成  
往往和  
核对象操作先进技术  
恶意软  
1 ~ 3]  
rootkit  
攻击新目标  
难以被检测到  
rootkit  
.  
隐藏 检测 受商业利益  
研究人员针对  
rootkit  
关于安  
: 2016-10-12;  
: 2017-07-21;  
:
责任辑 蓝红杰  
收稿日期  
回日期  
:
国家然科学金  
( No. 31371340) ;  
( No. 2016YFB0502604)  
国家金  
1026  
2018  
6]  
( VMI)  
检测服务 的研究 虚拟省  
技术提出  
的检测从  
内部至外部 使其目标操作系统具有了更  
VMI VM  
与数据访核重向技术 于  
TVM VM  
中的数据相合生成程  
7 ~ 9]  
VMI  
入侵检测模型  
VM  
隔离另外  
基于  
内部与  
. Virtuoso VMST .  
显著缺陷是损耗大  
方法自动化生成大  
检测技术得并分析  
节信息 看  
VM  
内部状件的字  
.  
都依赖的操作系统核知识 通用性不强 此  
, ,  
节信息语义此 此类方法  
.  
线交互影响系统效率 下  
Vlhd  
重大挑战 消除语义鸿沟  
方面线地建立的语义知识使其核  
语义鸿沟问题 需要息  
, ; ,  
本不再敏通用方面 检测过  
系统的语义重语义重状  
语义信息线交互多的工  
,  
数据 语义信息语义知识 中 语义知识是桥  
.  
操作 检测效率  
数据和语义信息桥梁 操作  
3
Vhld  
系统总体设计  
, ,  
系统的语义知识即使是细距 都可  
Vlhd  
1 ,  
体设要包括线和线  
检测系统语义知识的取主用在线  
, ,  
块两部它们独立  
核语义取和类方法 会严影响  
线语义知识线块提供语义服  
;
系统的效率 使系统通用受到限制  
语义知识库需要系统运行前就语义解  
问题 本文本文提出了  
Vlhd,  
一种基于轻  
析模生成 包含类  
OS  
语义信息及核操作函  
rootkit  
. Vlhd  
线  
语义修复的  
的语义知识线对语义构 能够  
VM( TVM) rootkit  
隐藏对象检测方法  
,  
请求线请求用  
函数语义信息反馈线动  
检测目标  
被  
隐藏的对象 与  
, ,  
线块进静默请求  
Vlhd  
检测效率  
检测的对现  
及通用大的优势  
2
相关工作  
VMI  
研究用  
技术解语义鸿沟问题开  
7]  
. X-TIER  
TVM  
的研究作  
VM .  
信息 向  
入  
的方取  
块  
VM  
TVM  
TVM  
取  
用  
数据结构取  
信息 最超  
( Hypercall)  
VM  
信息实时传递给  
8]  
( VMM) .  
X-TIER  
SYRINGE  
func-  
器  
同  
技术 使其在  
Localized shepherding  
用  
外部其内部的  
技术控  
SYRINGE  
tion-call injection  
VM  
函数用 同用  
数据码的完整性  
VM  
. X-TIER  
.  
内外交互 影响系统能  
现过程需  
10]  
LibVMI  
TVM  
可获得其内部状用  
需介入  
口可获诸如程列表 网络端口  
TVM LibVMI  
LibVMI  
过  
等  
TVM  
信息 但  
生成语义视图  
内部的特定文件的描  
程 需要  
述符核模都需要线取  
TVM  
system. map  
致  
LibVMI  
TVM  
存  
VM( SVM)  
内部 户  
VM  
线块部安全  
( GVM)  
的特点  
,  
线块采用在线处理的方式 通过  
11]  
12]  
Virtuoso  
VMST  
决  
hypervisor GVM  
取  
, ,  
节信息 解析语义 进  
. Virtuoso  
VM  
先进训练 将  
语义鸿沟问题  
TVM  
内部程序  
:  
入侵检测 线要包括模  
, ;  
运行取相指令指令之  
.  
意视图视图证模块 内映  
;
动态取生成将其融合  
GVM  
( ) ,  
对象 虚拟地址 行  
位  
VM . VMST vir-  
语义重对  
翻译在  
可读定地址存  
tuoso  
训练繁琐且自动化低的问题 行  

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号