作者:任益; 陈兴蜀; 张磊; 李辉rootkitvmm虚拟化技术多视图隐藏性恶意软件
摘要:当前虚拟化环境下对rootkit的检测存在漏检与误检的可能,并且缺少对检测到rootkit后的定位与处理。针对现有检测方法中的不足,提出了一种虚拟环境下基于虚拟机监控器(virtual machine monitor,VMM)的rootkit检测与处理技术,并在Xen上实现了原型系统r Detector。提出使用以安全链表为基础的多视图同步谎言检测机制检测rootkit的隐藏性,以内核敏感信息完整性检查检测rootkit对系统的攻击,并利用VMM提供了对rootkit的定位与处理。实验表明,r Detecor对rootkit的检测效果良好,能够迅速准确地检测出rootkit对系统的攻击,并能有效地对rootkit进行处理,对系统造成的性能损失在可接受的范围内。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社