李勇钢
- 作品数:7 被引量:9H指数:2
- 供职机构:中国科学技术大学更多>>
- 发文基金:国家自然科学基金安徽省科技攻关计划中国科学院合肥物质科学研究院院长基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于虚拟机自省的隐藏文件检测方法被引量:1
- 2016年
- 通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法 FDM.FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件.FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明,FDM能够准确快速地检测出虚拟机内部的隐藏文件.
- 乌云李平李勇钢
- 基于快速语义修复的操作系统隐藏对象检测技术被引量:2
- 2018年
- 与传统的入侵检测系统相比,基于虚拟机自省的入侵检测系统的抗干扰性更强.但由于存在语义鸿沟问题,即低层的硬件字节信息与操作系统级语义之间的差异,导致入侵检测系统的通用性和实时性下降.针对此问题,本文提出了Vlhd,一种基于语义鸿沟修复方法的rootkit隐藏对象检测技术.Vlhd将系统分离成离线和在线模块两部分.在线模块用于即时地在虚拟机外部重构虚拟机语义视图;离线模块用于离线地提取操作系统语义知识,并向在线模块提供语义服务.通过对各类Linux操作系统和多种rootkit进行入侵检测试验,发现Vlhd对rootkit的隐藏对象检测效果良好,通用性强.Vlhd的单次扫描时间为34ms,对系统引入了1.1%(扫描周期设置为8s时)的性能开销.
- 李勇钢李勇钢崔超远乌云
- 关键词:虚拟化ROOTKITXEN
- 基于虚拟机自省的客户机进程内容获取被引量:4
- 2016年
- 针对目前在虚拟机外部,对虚拟机中进程内容获取存在语义鸿沟、获取困难的问题,提出一种基于虚拟机自省(virtual machine introspection,VMI)的进程内容获取技术。在Xen[1]虚拟化平台下,从虚拟CPU上下文信息入手,逐页获取进程内存底层信息;解析进程特定数据结构,根据特定的数据结构分析底层信息。该技术可在虚拟机外部得到客户机操作系统进程列表,以及客户机进程的代码、映射文件等所有进程信息,为虚拟机中进程粒度的研究提供基础。
- 李勇钢崔超远李平
- 关键词:XEN内存虚拟化LINUX
- 基于资源访问控制的控制流劫持检测与防御研究
- 受商业利益等因素的驱使,各类恶意软件技术针对操作系统进行了多种多样的攻击,导致其安全问题变得越来越严峻。其中,控制流劫持作为攻击操作系统的基本手段之一而被攻击者广泛采用。控制流劫持是指攻击者通过篡改具有控制属性的数据或引...
- 李勇钢
- 关键词:安全检测资源访问控制
- 基于虚拟化技术的客户虚拟机内核模块检测方法
- 2015年
- 虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法 KMDM.KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明,KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.
- 李平崔超远李勇钢
- 关键词:虚拟化虚拟机监视器
- 基于自适应机制的虚拟机进程实时监视方法被引量:3
- 2019年
- 系统虚拟化作为支撑云计算的关键技术,其安全问题显得尤为重要.在虚拟机外部对虚拟机内部的进程进行监视,可以使监视工具与不受信任的虚拟机隔离,能够有效地监视虚拟机行为.当前的虚拟机外部监视技术大多是基于周期或某一时间点上的内存快照技术展开的.但是,由于进程执行具有随机性、突发性的特点,而基于周期性或时间点的内存快照类方法监视过程不连续,容易造成漏检率较高的问题.为此,提出了一种基于自适应机制的虚拟机进程实时监视技术RTMonitor.RTMonitor利用虚拟机管理器(Virtual Machine Manager,VMM)在虚拟机外部实时捕获内核栈基址的切换,以此确定进程的切换动作.之后,获取与当前进程相关的硬件信息流,通过解析硬件信息得到当前运行进程的高层语义.针对进程执行的随机性和突发性特点,RTMonitor通过缓存进程内容并创建多任务的方法提高执行速率,采用自适应调度机制实现存储节点数量、执行任务数量与进程执行情形的动态匹配.与基于时间点的内存快照类方法相比,RTMonitor将进程监视扩展到了整个时间轴上,使得监视过程具有连续性的特点.最后,通过对进程的捕捉率、捕捉延时及隐藏性检测实验,证明了系统的可行性和有效性.
- 崔超远李勇钢李勇钢乌云
- 关键词:虚拟机实时监视ROOTKIT自适应机制
- 系统虚拟化环境下客户机系统调用信息捕获与分析
- 2019年
- 针对当前方法无法对系统调用参数和返回值等信息进行捕获和分析的问题,在Nitro的基础上建立了一个实时监视客户机内系统调用的系统.该系统通过修改硬件规范和指令重写,实现对快速系统调用进入和退出指令的捕捉和分析.之后,结合VCPU的上下文信息和系统调用的语义模板解析各参数;捕获到系统调用退出指令后,则根据VCPU寄存器信息解析返回值.实验证明,与同类捕获系统调用的方法相比,该系统可以实时捕获客户机内的系统调用序列,解析得到完整的系统调用信息,包括系统调用名、系统调用号、参数和返回值.该系统还能区分不同进程产生的系统调用,并在宿主机中引入了不超过15%的性能开销.
- 宁强崔超远李勇钢
- 关键词:系统调用序列KVM
