作者:蔡梦娟隐藏网络连接系统调用语义重构交叉视图虚拟机监视器
摘要:恶意软件可通过隐藏自身行为来逃避安全监控程序的检测,具有较强的隐蔽性和不可察觉性。传统的基于主机的隐藏对象检测系统易被绕过或攻击而失效,针对当前研究中存在的对隐藏网络连接的检测较少,及在虚拟机监视器(VMM)中通过截获解析数据包难以维护可信网络连接视图的问题,提出基于硬件虚拟化的虚拟机隐藏网络连接检测方法。该方法在虚拟机内部获取网络连接的用户层及内核层视图;在VMM层截获虚拟机进程的系统调用获取可信网络连接视图及其与主体进程的映射关系;通过交叉视图对比实现对虚拟机隐藏网络连接的检测。实现的原型系统VNDec可在VMM层有效检测虚拟机中隐藏的网络连接,且可实现网络连接隐藏行为与进程主体的关联。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
