明升体育

24小時明升体育熱線

諮詢電話

ASP.NETVC++MySQLPHP安卓JSPLinuxJava機械VBASP單片機模具汽車工程明升体育設計Flash
您當前的位置:明升体育 > 明升体育設計論文 >
快速導航
明升体育明升体育
关于明升
我們是一家專業提供高質量代做明升体育設計的網站aaaa。2002年成立至今爲衆多客戶提供大量明升体育設計、明升体育等服務aaaaa,贏得衆多客戶好評aaaa,因爲專注aaaa,所以專業aaaaa。寫作老師大部分由全國211/958等高校的博士及碩士生設計aaaaa,執筆aaaa,目前已爲5000餘位客戶解決了論文寫作的難題aaaa。 秉承以用戶爲中心aaaaa,爲用戶創造價值的理念aaaa,我站擁有無縫對接的售後服務體系aaaa,代做明升体育設計完成後有專業的老師進行一對一修改與完善aaaa,對有答辯需求的同學進行一對一的輔導,爲你順利明升体育保駕護航
代做明升体育設計
常見問題

Linux環境木馬檢測技術

添加時間:2019/04/01
隨着計算機技術的飛速發展aaaa,在各行各業中都能看到計算機技術在其中起到了非常重要的作用aaaa。但是隨着網絡與計算機應用技術的不斷深入到各行各業aaaaa,隨之帶來的安全問題也越來越凸顯出來aaaa。
  以下爲本篇論文正文:

摘要

近年來aaaaa,Linux系統在服務器領域的份額一直在上升aaaaa,特別是在雲計算領域aaaa。但是aaa,由於開源代碼aaa,Linux面臨着越來越嚴峻的安全挑戰aaa。 Linux環境中的內核級rootkit類型特洛伊木馬具有與操作系統內核相同的權限aaa。它可以修改系統中的任何數據和代碼aaa,成爲一種具有極高隱藏性和極難檢測的惡意木馬軟件aaaa。一個非常嚴重的威脅aaa,研究Linux環境下內核級rootkit類型木馬的檢測技術是非常重要的aaa。

QEMU虛擬化技術支持硬件虛擬化aaaaa,具有比客戶操作系統內核級別更高的權限和客戶端系統的隔離aaaaa,爲實現內核級rootkit類型木馬檢測技術提供了可靠的保證aaaa。因此aaa,理論上利用QEMU技術的Rootkit檢測技術可以有效地檢測內核級rootkit類型的木馬aaa。基於以上理論基礎aaa,本文將討論如何使用QEMU虛擬化技術在Linux環境中檢測內核級rootkit類型木馬aaa。本文的主要工作如下:

(1)主要討論相關技術aaaaa,包括Linux內核結構及相關特性aaaaa,rootkit的特性和危害aaa,Linux環境下的rootkit核心技術aaa,QEMU虛擬化技術和虛擬機檢測技術aaaa。

(2)從總體目標aaa,要求和原則三個方面aaaa,對傳統檢測模型和現有虛擬機檢測模型進行比較分析aaaaa,提出並設計了一種改進的虛擬機檢測模型aaaaa。基於QEMU檢測rootkit工具的總體框架aaaa。最後aaa,在此框架下aaaaa,開發了兩個檢測插件:

靜態內存分析插件和動態識別過程插件aaaaa。

(3)分析QEMU內存虛擬化技術aaaa,從兩個方面設計和實現靜態內存分析插件:轉儲虛擬機內存和分析內存信息aaa。

(4)分析QEMU動態翻譯技術aaaa,從動態捕獲過程和提取過程信息兩個方面設計並實現動態識別過程插件aaaaa。

(5)使用兩個插件在Linux環境中測試和測試內核級rootkit類型的木馬suterusu並獲得相應的測試結果aaaaa。

最後aaaa,通過對測試結果的分析aaa,本文設計的兩個檢測插件可以有效地檢測內核級rootkit類型木馬aaaaa,表明改進的基於QEMU的rootkit檢測模型是可行的aaa。

關鍵詞:Linux內核aaa,rootkit檢測aaa,QEMUaaaa,系統安全性

ABSTRACT

最近aaaaa,Linux在服務器領域的佔用率逐漸上升aaaaa,特別是在雲計算領域aaaaa。但是aaaa,由於開源aaa,Linux面臨着潛在的嚴重安全挑戰aaaaa。 Linux環境下的內核級Rootkit是一種惡意軟件aaaaa,它可以獲取內核權限並可以修改系統內的所有數據和代碼aaaa。由於它擅長隱藏且難以檢測aaa,因此對Linux系統的安全性造成了嚴重威脅aaa。在此背景下aaa,研究內核級Rootkit的檢測技術將是非常有意義的aaa。

隨着QEMU虛擬化技術的發展aaaa,支持硬件虛擬化技術aaaaa,擁有內核級權限並將客戶端系統與主機系統隔離aaaaa,這爲Linux環境中內核級Rootkit的檢測提供了保證aaa。基於QEMU技術的內核級rootkit理論上aaa。基於以上原理aaaa,本文的主要內容是如何利用QEMU模擬器可視化技術在Linux環境中檢測內核級Linux Rootkitaaaaa。本文主要包含以下工作:

(1)分析了相關技術aaaa。這些主要是關於Linux內核的屬性和原理aaaa,Rootkit的功能和可能的危害aaa,Rootlet的核心知識aaa,QEMU的虛擬化技術以及基於虛擬化的檢測技術aaaa。

(2)本文將從三個方面(總體目標aaaaa,要求和原則)進行分析aaa,然後分析傳統的檢測模型和基於虛擬機技術的檢測模型aaaa。最後aaaa,將創建一個基於虛擬機技術的改進檢測模型aaa。基於該模型aaaaa,將導出兩個檢測插件(靜態內存分析插件和動態過程識別插件)aaa。

(3)通過對QEMU內存虛擬化技術的分析aaaa,設計並實現了靜態內存分析插件aaaa。它由轉儲虛擬機內存和內存信息分析組成aaaaa。

(4)通過對QEMU動態轉換技術的分析aaa,設計並實現了動態過程識別插件aaa。它由動態實現捕獲過程和信息提取過程組成aaa。

(5)在Linux系統環境下使用這兩個插件測試和檢測內核級Rootkit Suterusuaaaaa,並給出相關結果aaa。

最後aaa,通過測試結果分析aaaaa,設計了兩個檢測插件aaaaa,可以有效地檢測內核級Rootkit的存在aaa,表明改進的基於QEMU的Rootkit檢測模型是可行的aaa。

關鍵詞: Linux內核aaaaa,Rootkit檢測aaa,QEMUaaaa,系統安全性

Linux操作系統在企業服務器領域佔據主導地位aaaaa,尤其是在雲平臺上aaa。據統計aaa,截至2014年aaaa,Linux雲平臺的市場份額爲75%[1]aaaa。但是aaaaa,Linux環境的安全性也面臨着嚴峻的挑戰aaaa,其中內核安全性尤其引人注目aaa,而Linux環境的木馬檢測已成爲研究的熱點aaaaa。

雲計算技術的發展促進了各種雲平臺的普及和推廣aaaa。越來越多的用戶將自己的數據存儲到雲服務器中aaaa,雲服務器包含大量隱私和敏感數據aaa。由於雲計算數據所有權和管理權的分離aaaa,這些數據的安全性已成爲雲服務器提供商必須面對的問題aaa。目前aaaaa,惡意攻擊已成爲雲服務器面臨的嚴峻挑戰之一aaaa,尤其是內核級rootkit [2] [3]攻擊aaaa。

Rootkit技術通過修改系統調用函數aaaa,修改內存信息或修改內核代碼來隱藏自身及其相關文件aaa。 Linux環境中的內核級rootkit攻擊會破壞操作系統內核aaa,因此預防非常困難aaa。操作系統內核是系統可信操作的基礎aaaa,爲所有系統和用戶程序提供操作信息和環境aaaaa。如果內核受到攻擊aaa,受害者系統將失去其可信賴的支持aaaaa,導致整個系統的軟件(包括安全檢測軟件)被破壞和攻擊aaaaa。

目前aaaa,特徵碼比較技術可以實現用戶模式惡意代碼的檢測aaa。但是aaaa,內核級rootkit類型特洛伊木馬能夠修改系統的任何數據和函數調用aaa。因此aaaaa,上述方法不能滿足Linux內核級rootkit類型木馬的檢測要求aaaa。虛擬機技術運行在客戶操作系統的底層aaaa,可以支持硬件虛擬化aaaaa,並且具有比客戶操作系統的內核級別更高的權限aaaaa。它可以有效地檢測Linux環境中的內核級rootkit類型木馬aaaaa。

但是aaaa,在基於虛擬技術的Linux內核級rootkit類型木馬的檢測技術檢測中仍存在許多問題aaaaa。例如aaaaa,2015年9月1日aaaa,阿里巴巴雲服務器發生故障aaa,某些用戶的雲服務器發生系統命令aaaa,非惡意可執行文件aaaa。被刪除後aaa,由此造成的經濟損失可能無法估量aaaaa。最後aaa,阿里雲提供的官方解釋是aaa,雲盾Knight服務器組件的惡意文件檢測和查殺功能升級觸發了一個bugaaaaa,導致一些服務器的少量可執行文件被錯誤隔離aaaaa。系統在第一次啓動回滾aaaaa,並且已經基本恢復了手動隔離的文件aaaaa。我們正在回到尚未恢復的個人客戶aaaa,並儘快協助恢復[4]aaaa。

這裏提到的雲盾是基於虛擬機技術來監控和殺死惡意文件和程序aaaa,但也存在誤報和過失殺人的案例aaaaa。因此aaaa,研究基於虛擬機技術的Linux內核級rootkit類型木馬檢測技術具有重要意義aaaa。

虛擬機技術通過檢測客戶端操作系統完整性aaa,可以檢測內核級rootkit類型的特洛伊木馬aaaaa。首先aaaaa,完全保存了客戶操作系統的重要信息aaaa。其次aaaa,基於虛擬機監控技術獲取客戶操作系統內存存儲的中斷向量表和內核代碼信息;最後aaa,摘要信息完全用原始信息完成aaa。性別比較aaa,如果它們不一致aaaaa,則表明存在內核級rootkit類型的特洛伊木馬並修改有關客戶機操作系統的重要信息aaaaa。與傳統的rootkit完整性檢測技術相比aaa,通過虛擬機進行完整性檢測更加可靠aaa,但它可能會導致一些性能損失aaa。

2008年aaa,Ryan Riley等人aaa。提出了一種基於傳統檢測技術的內核代碼完整性的虛擬機檢測模型aaa,並設計了一個NICKLE檢測系統aaaaa,可以防止內核級rootkit類型的木馬運行[8]aaaaa。它是在三個虛擬平臺(QEMUaaaaa,VirtualBox和VMware Workstation)上實現的輕量級檢查系統aaa,可檢測23種真實的內核級rootkit類型aaa。

2011年aaaa,劉偉等人aaa。通過分析發現aaaa,先前的檢測系統僅檢測數據完整性或僅檢測控制流的完整性aaaaa,因此它提出了數據和控制流的完整性檢測模型[9]aaa。它們基於虛擬機監視器aaa,實現OSISS(操作系統完整性監視系統)檢測系統aaaaa,以同時檢測數據並控制流完整性aaaaa,並具有可接受的性能損失aaaa。 2012年aaaaa,陳偉等人aaa。分析了當前檢測系統中文件系統完整性檢測的缺陷aaa,提出了一種基於檢測器和文件反向定位技術的新型文件完整性檢測系統[10]aaa。該系統可以預先確定對文件的訪問嘗試aaaaa,並根據不同的訪問嘗試做出相應的保護措施aaaaa。

通過虛擬化技術aaaaa,虛擬機監控層首先獲取客戶操作系統的底層可信視圖信息aaaa,然後從客戶OS層獲取自己的不可信視圖aaaa。兩個視圖層具有語義鴻溝[11]aaa。最後aaa,從客戶OS的操作系統級別aaaaa,存儲器分配和文件重建所獲得的基礎可信視圖信息aaaa。然後aaaa,將重構的操作系統層的信息與客戶OS獲得的不可信的視圖信息進行比較aaa,以確定rootkit是否存在[12] [13]aaaaa。

2008年aaaaa,STaaaa。瓊斯等人aaa。基於作爲Lycosid檢測系統實現的虛擬化技術aaaaa,提出了一種基於語義重建和使用交叉視圖比較來檢測隱藏進程的方法[14]aaa。 Lycosid檢測系統使用線性迴歸統計方法從過程數量的總和重建獲取的客戶OS底層信息aaa,然後將其與從GuestOS內獲得的過程數量進行比較aaaaa。 2011年aaa,王麗娜等人設計並實現了一個基於VMM的系統來檢測隱藏過程[15]aaaaa。該系統通過語義重建過程隊列信息aaaa,並比較過程隊列差異以確定是否隱藏了過程aaa。此外aaa,該檢測系統與其他檢測系統的不同之處在於aaaaa,它提供了一種響應機制aaa,該機制可以將關於隱藏進程的信息反饋給主機系統aaaaa。

2012年aaa,郭福祥等人aaa。提出了對客戶操作系統模型的全面測試aaaa,並設計了ComMon檢測系統[16]aaaa。檢測系統首先通過語義重建網絡aaaa,處理和文件信息aaaaa,然後從這三個方面監控和檢測客戶操作系統aaaa,實現全方位檢測aaaaa,對虛擬機網絡起到一定的保護作用aaaaa。

適用於Linux環境的木馬檢測技術:

跳轉到 code cache 跳轉到代碼緩存

TCG 翻譯函數調用的過程TCG翻譯函數的過程調用

動態識別進程插件劃分 動態識別流程插件分區

進程描述符和內核棧 進程描述符和內核堆棧

虛擬機進程切換過程 虛擬機流程切換流程

目錄

摘要
摘要
插圖指數
縮寫比較表
第1章介紹
1.1研究背景和意義 1.2國內外研究現狀
1.3論文的研究工作和內容安排
第2章相關技術背景介紹 2.1 Linux內核分析
2.1.1 Linux內核結構
2.1.2 Linux內核功能
2.1.3 Linux主子系統
2.2 Rootkit技術簡介
2.2.1 Rootkit的基本概念
2.2.2 Rootkit的主要特點
2.2.3 rootkit的主要危害
2.3 Linux環境下rootkit的核心技術
2.4 QEMU和虛擬機檢測技術簡介
2.4.1 QEMU內存虛擬化技術
2.4.2 QEMU動態翻譯技術
2.4.3虛擬機檢測技術
2.5本章概要
第3章基於QEMU的rootkit類型木馬檢測工具的總體設計
3.1總體分析
3.1.1總體目標
3.1.2需求分析
3.1.3設計原則
3.2試驗模型的總體設計
3.3檢查工具的總體框架
3.3.1檢查工具的結構
3.3.2每個插件功能的說明
3.4本章概要
第四章靜態內存分析插件的設計與實現
4.1靜態內存分析插件設計
4.1.1 QEMU內存虛擬化
4.1.2靜態存儲器分析插件工藝設計
4.2靜態存儲器分析模塊的實現
4.2.1轉儲虛擬機內存實現
4.2.2內存信息實現分析
4.3本章概要
第五章動態識別過程插件的設計與實現 5.1動態識別流程插件設計
5.1.1 QEMU動態翻譯
5.1.2動態識別過程插件過程設計
5.2動態識別流程插件的實現
5.2.1提取過程信息的實現
5.2.2動態捕獲過程的實施
5.3本章概要
第六章測試和結果分析
6.1測試環境施工
6.2測試結果
6.3結果分析
6.4本章概要
第七章總結與展望
7.1摘要
7.2展望 參考
確認
關於作者

(如果您需要查看本明升体育設計的全文aaaa,請聯繫客服索取)

    相關內容
    明升体育主要爲您提供代做明升体育設計及各專業明升体育論文寫作輔導服務aaaaa。
    所有論文、資料均源於網上的共享資源以及一些期刊雜誌aaaaa,所有論文僅免費供網友間相互學習交流之用aaaa,請特別注意勿做其他非法用途aaa。
    如有侵犯您的版權或其他有損您利益的行爲aaaa,請聯繫指出aaaaa,明升体育會立即進行改正或刪除有關內容!