基于虛擬機架構的惡意行為跟蹤系統(tǒng).pdf

1、隨著信息化的發(fā)展,惡意代碼潛入用戶主機,制造惡意行為、竊取用戶隱私,所帶來的危害日益嚴重。此外,其自身行為日益隱蔽,對惡意代碼的檢測造成一定的阻礙。傳統(tǒng)基于主機的檢測系統(tǒng),運行在受保護系統(tǒng)內(nèi)部,檢測結果易受惡意代碼的篡改。動態(tài)污點跟蹤技術能夠有效檢測惡意行為,但其基于模擬器QEMU實現(xiàn),需要跟蹤整個系統(tǒng)級的指令流,性能開銷龐大,不能用于在線檢測。
　　基于虛擬機架構的惡意行為跟蹤系統(tǒng),將檢測系統(tǒng)部署于虛擬化架構中的特權域,在外部對

2、每個受保護系統(tǒng)提供安全檢測。該架構通過語義還原技術獲取和傳統(tǒng)檢測技術相同的視圖,且彌補了傳統(tǒng)檢測技術的不足。同時,系統(tǒng)設計并實現(xiàn)按需跟蹤技術,動態(tài)將客戶操作系統(tǒng)在虛擬機和模擬器之間遷移。在截獲到污點數(shù)據(jù)處理的指令時,將客戶操作系統(tǒng)動態(tài)遷移到模擬器中運行,在傳播過程結束后,將客戶操作系統(tǒng)從模擬器中遷移到虛擬機內(nèi)繼續(xù)運行。該技術避免對系統(tǒng)運行階段內(nèi),出現(xiàn)次數(shù)繁多、不會造成任何威脅的指令的跟蹤,從而使得污點跟蹤的性能開銷大大減少。基于虛擬機架

3、構的惡意行為跟蹤系統(tǒng)同時實現(xiàn)基于數(shù)據(jù)流的跟蹤方式,用于保護用戶隱私數(shù)據(jù)。
　　測試結果表明,系統(tǒng)能夠同時對Windows和Linux兩種系統(tǒng)進行惡意代碼檢測,彌補普通檢測軟件只能用于特定操作系統(tǒng)的缺陷。通過交叉視圖對比方式,系統(tǒng)檢測出隱藏進程的rootkits。利用動態(tài)污點跟蹤技術,系統(tǒng)能檢測出利用棧溢出、緩沖區(qū)溢出進行攻擊的蠕蟲。以隱私數(shù)據(jù)作為污點時,系統(tǒng)能夠跟蹤其傳播的詳細信息,保護用戶隱私數(shù)據(jù)。系統(tǒng)在沒有污點開銷時,對比運行