基于VMM的虛擬機隱藏網絡連接檢測研究
摘要:惡意軟件可通過隱藏自身行為來逃避安全監控程序的檢測,具有較強的隱蔽性和不可察覺性。傳統的基于主機的隱藏對象檢測系統易被繞過或攻擊而失效,針對當前研究中存在的對隱藏網絡連接的檢測較少,及在虛擬機監視器(VMM)中通過截獲解析數據包難以維護可信網絡連接視圖的問題,提出基于硬件虛擬化的虛擬機隱藏網絡連接檢測方法。該方法在虛擬機內部獲取網絡連接的用戶層及內核層視圖;在VMM層截獲虛擬機進程的系統調用獲取可信網絡連接視圖及其與主體進程的映射關系;通過交叉視圖對比實現對虛擬機隱藏網絡連接的檢測。實現的原型系統VNDec可在VMM層有效檢測虛擬機中隱藏的網絡連接,且可實現網絡連接隱藏行為與進程主體的關聯。
注: 保護知識產權,如需閱讀全文請聯系現代計算機雜志社
相關推薦
更多
