基于KVM虚拟机的恶意行为检测系统设计与实现

摘要

随着云计算的广泛应用，其面临的安全性也不容忽视。传统恶意行为检测系统运行权限与病毒相同，检测结果容易遭到篡改。虚拟机监视器作为云平台的核心组件，具备高特权、隔离性、透明性和不可旁路性等优点，可以为虚拟机用户提供多种安全服务。本文设计了一个基于KVM虚拟机的恶意行为检测系统，通过实时检测客户机内部进程、驱动、内核 Rookit、文件系统等核心对象，为虚拟机用户提供第二道安全防线。本文的主要工作量及创新点如下。
　　1、搭建了Ovirt云平台开发环境，研究了虚拟化技术原理，分析了KVM虚拟化源码和安全机制，分析了Libvmi内省库实现机制。
　　2、研究了Windows内核运行原理，分析了以内核Rootkit病毒为主的恶意行为，总结了传统方法和虚拟机检测法的优缺点，提出了改进思路。
　　3、提高了Libvmi内存透视能力，填补了磁盘透视空白。通过逆向缺页中断，实现了页交换文件解析技术。通过逆向客户机内核同步机制，实现了访问临界资源同步技术。通过分析NTFS和FAT32文件系统格式与RAW虚拟镜像格式，实现了虚拟磁盘透视技术。
　　4、借助于改进的内省库对内存和磁盘数据进行透视，并根据Windows内核知识库重构高层语义，实现了恶意行为检测系统。提出了基于多视图模型的隐藏进程检测算法，提出了基于内存和文件样本匹配的隐藏驱动检测模型，提出了基于内核标准库匹配的Rootkit检测模型。利用KVM内存虚拟化原理构建了进程行为与状态检测模型，设计了自适应模型动态调节检测策略，降低了负载。并增强了数字签名验证算法，能有效地评估虚拟机危险程度。
　　本文通过改进内存与磁盘透视组件，提高了内存访问准确性，扩大了监控系统扫描范围。通过内存和文件语义重构，能有效地检恶意行为。实验证明，检测准确率优于同类算法，性能损失在5％以内。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 研究背景

1.2 研究现状

1.3 课题研究内容及工作

1.4 本论文的结构

第二章 相关技术研究

2.1 KVM虚拟机原理分析

2.2 Windows下的恶意行为

2.3 内省技术

2.4 本章小结

第三章 系统总体设计

3.1 系统设计要求

3.2 检测系统组件结构

3.3 检测系统总体架构

3.4 本章小结

第四章 关键技术模块研究与实现

4.1 数据访问子系统

4.2 驱动管理子系统

4.3 进程管理子系统

4.4 自适应检测子系统

4.5 Rootkit检测子系统

4.6 本章小结

第五章 系统测试

5.1 系统测试概述

5.2 子系统测试

5.3 本章小节

第六章 总结与展望

6.1 工作总结

6.2 未来展望

致谢

参考文献

硕士期间取得的研究成果