收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于Intel VT的内核完整性监控技术研究

张贵民  
【摘要】:操作系统内核完整性对计算机系统安全具有重要意义,如何有效监控内核完整性已成为系统安全领域的研究热点。本文首先通过对当前存在的多种内核攻击实现方式和特点的分析,得出需要进行重点监控的四类关键内容,即内核代码、内核数据、关键寄存器以及关键内核对象,然后提出了一种基于Intel VT的内核完整性监控方法,该方法基于四类关键内容的不同特点分别对它们采用了不同的监控机制。论文的主要工作和贡献包括:(1)提出一种基于扩展页表(Extended Page-table,EPT)的内存保护机制。该机制可保护只读内存页和某些内存页中的局部数据,利用该机制实现了对内核代码和部分静态数据的完整性保护。另外,对关键寄存器CR0、IDTR和GDTR进行了严格的访问控制,有效防御了通过修改该类寄存器实现内核完整性篡改的攻击,进一步增强了对内核完整性的保护能力。(2)提出一种基于数据不变量的内核数据完整性监控方法。该方法依据内核数据不变量的状态判断内核数据完整性是否被篡改,通过监控不变量实现对内核数据完整性的监控,并基于不变量的不同特点分别对其采用了访问控制和周期性度量的监控方式,极大降低了实现内核数据完整性监控的复杂性,提高了监控效率。(3)提出一种基于进程监控的隐藏进程实时检测方法。该方法在任务切换时提取当前被调度执行的进程信息,然后采用一种新的视图对比方式判断其是否为隐藏进程。该方法有效解决了传统隐藏进程检测方法存在的TOC-TOU问题。另外,由于进程隐藏多通过篡改内核数据或代码实现,隐藏进程的存在可作为内核完整性被篡改的重要依据,因此隐藏进程检测进一步增强了内核完整性监控能力。(4)设计并实现了Linux内核完整性监控原型系统Ker Visor。实验和分析结果表明,该系统可检测和防御多种内核篡改攻击,实现了对内核完整性的有效监控。同时,Ker Visor具有较小的时间开销和较高的自身安全性,并且在具有相同内核环境的不同系统间部署时具备良好的可移植性。


知网文化
【相似文献】
中国硕士学位论文全文数据库 前1条
1 张贵民;基于Intel VT的内核完整性监控技术研究[D];解放军信息工程大学;2014年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978