搜档网
当前位置:搜档网 › 安全虚拟环境中的进程执行精确监控

安全虚拟环境中的进程执行精确监控

收稿日期:2012‐03‐09

作者简介:刘哲元(1982-),男,西北工业大学博士研究生,E‐mail:liuzheyuan@mail.nwpu.edu.cn.doi:10.3969/j.issn.1001‐2400.2012.06.030

安全虚拟环境中的进程执行精确监控

刘哲元,慕德俊

(西北工业大学控制与网络研究所,陕西西安 710072)

摘要:提出了通过进程移植实现对用户级进程执行实施监控的方法,旨在同时解决隔离和兼容性问题,并

采取重定向系统调用来保证被移植进程执行的连续性.实验结果表明了文中方法的有效性和可行性,以及

对系统性能的微小影响.

关键词:进程监控;语义鸿沟;虚拟机自省

中图分类号:TP316.4 文献标识码:A 文章编号:1001‐2400(2012)06‐0181‐06

Securevirtualization‐basedfine‐grainedprocessexecutionmonitoring

LIUZheyuan,MUDejun

(ControlandNetworkInst.,NorthwesternPolytechnicalUniv.,Xi摧an 710072,China)

Abstract: Computermalwarehasforcedthetransferofthetraditionalin‐hostsecuritytoolstothedevelopmentofVMM‐basedsolutionswhichisolatetheanti‐malwaresoftwarefromuntrustedsystems.However,theinherentsemanticgapposesagreatchallengeinsupportingexistingmonitoringtools.Inthispaper,wepresentaprocesstransferringmethodforfine‐grainedprocessexecutionmonitoringtoaddressbothisolationandcompatibilityproblems.Alsobyredirectingsystemcallsinvokedbythesuspectprocessweguaranteetheexecutionflowofthetransferredprocess.Evaluationresultsshowitseffectivenessandfeasibilitywithatinyinfluenceonthesystem.KeyWords: processmonitoring;semanticgap;virtualmachineintrospection恶意软件以其功能与形式的持续进化成为当今个人与企业计算机用户的最大威胁.安全巨头

McAfee[1]近期的一份报告表明,2010年发现的新型恶意软件(包括已有的变种)已突破两千万,意味着当年每天约有55000个新样本被发现.传统的防御工具因为置身于主机系统中而成为已突破防御的恶意软件首先打击的对象.即使这些主机安全工具以其本地访问能力在监视系统行为和检测恶意活动方面具有优势,它

们却因根本的隔离问题受限而自身难保.研究人员因此开发出了众多基于虚拟机隔离技术的方法[2‐5],将安

全工具从非受信系统中移出.然而,得益于虚拟机管理器(VMM)特性的系统隔离效果又引发了众所周知的语义鸿沟难题:主机安全工具很难从外围监视,从语义上也很难推断不同的客户机内行为.

为了解决语义鸿沟问题,基于虚拟机自省(VirtualMachineIntrospection)的系统受到广泛应用[6‐7],但

它们却无法与现有的安全软件(包括一些系统和进程的监控工具)兼容.具体到单个进程的精确监控,兼容性问题显得尤为突出.对进程的监控要求截获大范围事件并进行语义解释,如用户级库函数调用或系统调用及其参数.更棘手的是这些基于自省的系统对于客户机操作系统的版本及变更非常敏感,常常会因为一个系统补丁而崩溃,严重限制了方案的有效性.

笔者提出一种基于进程移植精确监控用户级进程执行的方法,可以同时解决上述隔离性和兼容性问题.与之前基于虚拟机隔离技术的方法类似,该方法首先把非受信系统定义为客户虚拟机(VMs),将安全工具置于客户虚拟机外部(即安全虚拟机内部);然后将需监控的可疑进程从客户机转移到安全机中,使被分析对象位于安全工具及其可执行环境中.文中方法的优势在于,支持已有的用户级进程监控工具(如strace和

2012年12月

第39卷 第6期 西安电子科技大学学报(自然科学版)JOURNAL OF XIDIAN UNIVERSITY Dec.2012Vol.39 No.6

相关主题