[发明专利]基于系统虚拟化技术的内核态Rootkit检测方法

说明书

技术领域

本发明涉及云计算安全领域，具体涉及云计算环境下一种基于系统虚拟化技术的内核态Rootkit检测技术。

背景技术

近年来，以虚拟机技术为基础的云计算服务得到了迅速发展，越来越多的用户采用云计算服务，将数据向云计算中心迁移。而此时出现了借助Rootkit技术的跨虚拟机攻击等新型攻击形式。如何在虚拟化环境下，借助于虚拟机技术进行恶意代码及其他恶意攻击的检测，保障云计算中心的安全也成为了一个重要课题。Rootkit是恶意软件中最难以检测的类型，主要被恶意攻击者安装在目标系统中，通过修改目标系统重要系统文件或内核以实现隐藏攻击信息（Rootkit自身及其相关恶意软件）和帮助攻击者获取远程登录权限等功能。Rootkit主要分为用户态Rootkit和内核态Rootkit。用户态Rootkit主要通过替换篡改重要系统文件来达到隐藏攻击信息的目的，但其较容易被发现，生存能力低。而内核态Rootkit通过针对系统调用函数等进行恶意修改，隐蔽性好，攻击能力强，逐渐成为主流。传统针对内核态Rootkit的检测主要采用特征码扫描以及内核完整性检测等手段，但内核态Rootkit的不断发展使得这些检测工具常常受到Rootkit的攻击而失效。迫切需要一种新的检测思路对内核态Rootkit进行有效防治。

发明内容

本发明通过对内核态Rootkit以及系统虚拟化技术进行深入分析，找到了一种利用系统虚拟化技术进行内核态Rootkit检测的新技术，同时为云计算环境下其他恶意代码的检测提供借鉴。为了解决上述问题，本发明提供了一种基于系统虚拟化技术的内核态Rootkit检测方法。

一种基于系统虚拟化技术的内核态Rootkit检测方法，采用如下的步骤对虚拟机视图和用户视图进行对比以发现隐藏模块：

1）模块监控器初始化包含目标客户机的模块列表module_list信息的虚拟机视图V1；

2）超级管理器模块监控目标客户机的系统调用；

3）当超级管理器模块监控到发生系统调用sys_init_module()时记录其发生时间戳t1并通知模块监控器更新模块监控器虚拟机视图为V2，记录下V2构建完成的时间戳t2；sys_init_module():加载内核模块；

4）若在t1和t2时间间隔内没有系统调用sys_delete_module()产生，则在分析器模块内对比视图V1和V2，若V1=V2，则说明存在隐藏项，调用超级管理器模块提取sys_init_module()的信息m，若则标记m为Rootkit，给出警告并继续步骤5，否则若sys_delete_module()产生，跳到步骤7；sys_delete_module()：删除内核模块；

5）模块获取器在被监控系统的用户空间中提取系统进程信息构建用户视图U，并将结果传回给分析器模块；

6）在模块监控器利用根据Xenaccess提取process_list信息生成的视图V3，在分析器模块内对比视图U和视图V3，对任意进程P∈V2，若则标记P为Rootkit；process_list：进程列表；

7）更新虚拟机视图V1使V1=V2，并重复步骤1）。

作为本发明的进一步改进，Linux的系统调用通过两种方式实现：使用int0x80中断方式和使用快速系统调用sysenter/sysexit方式。sysenter/sysexit：系统调用进入/退出。

作为本发明的进一步改进，针对0x80中断方式，对中断向量表上的0x80中断向量地址进行改动，使其陷入到中断处理函数中，从而截获系统调用，首先通过VMM读取CPU中GUEST_IDTR_BASE和GUEST_IDTR_LIMIT值，获得客户机的IDT地址，进一步找到0x80中断地址，将其地址设置为NO_PRESENT。VMM：虚拟机监控器；GUEST_IDTR_BASE：客户机中断向量表基址地址；GUEST_IDTR_LIMIT：客户机中断向量表长度；IDT：客户机中断向量表；NO_PRESENT：未显示。