亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

云平臺(tái)vmm層行為監(jiān)控方法

文檔序號(hào):8299362閱讀:404來(lái)源:國(guó)知局
云平臺(tái)vmm層行為監(jiān)控方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及云平臺(tái)VMM層行為監(jiān)控方法。
【背景技術(shù)】
[0002] HostKeeper:該入侵檢測(cè)系統(tǒng)是一種基于主機(jī)上操作行為分析的系統(tǒng),該系統(tǒng)從 系統(tǒng)內(nèi)核中的獲取操作的行為信息,不斷的監(jiān)測(cè)主機(jī)運(yùn)行的詳細(xì)活動(dòng),它首先獲取每一個(gè) 應(yīng)用程序運(yùn)行的系統(tǒng)調(diào)用,得到該應(yīng)用程序的系統(tǒng)調(diào)用號(hào)、發(fā)生的時(shí)間、該系統(tǒng)調(diào)用所屬的 進(jìn)程以及該系統(tǒng)調(diào)用所調(diào)用的相關(guān)參數(shù)等等關(guān)鍵數(shù)據(jù),然后分析系統(tǒng)。但是它并沒(méi)有給出 具體的如何進(jìn)行系統(tǒng)調(diào)用行為的分析。基于系統(tǒng)調(diào)用參數(shù)的入侵檢測(cè)方法:該方法根據(jù)每 一個(gè)系統(tǒng)調(diào)用來(lái)實(shí)施的,該方法通過(guò)分析一段系統(tǒng)調(diào)用流,為每個(gè)系統(tǒng)調(diào)用和該系統(tǒng)調(diào)用 的參數(shù)進(jìn)行建模,但是不考慮系統(tǒng)調(diào)用序列之間的順序關(guān)系。該方法為每個(gè)應(yīng)用的每個(gè)系 統(tǒng)調(diào)用,創(chuàng)建出模型。但是由于系統(tǒng)調(diào)用產(chǎn)生的速度快而且數(shù)目巨大,對(duì)所有的系統(tǒng)調(diào)用進(jìn) 行跟蹤,而且還要利用模型分析,會(huì)造成效率不高,顯然這種方法的消耗太高?;谙到y(tǒng)調(diào) 用短序列的入侵檢測(cè),該檢測(cè)方法是利用系統(tǒng)調(diào)用的短序列,建立起一個(gè)正常行為的標(biāo)準(zhǔn) 數(shù)據(jù)庫(kù),每當(dāng)檢測(cè)序列來(lái)到時(shí),與標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)中的特征行為進(jìn)行比較,從而發(fā)現(xiàn)行為中沒(méi)有 出現(xiàn)在標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)中的異常行為。但是這種方法只是考慮了系統(tǒng)調(diào)用序列之間的關(guān)系,而 忽略了其他有價(jià)值的信息。如:某些系統(tǒng)調(diào)用的次數(shù)和頻率、系統(tǒng)調(diào)用參數(shù)和返回值等等。 而且還存在一些攻擊通過(guò)修改某些關(guān)鍵系統(tǒng)調(diào)用的調(diào)用參數(shù)把自己偽裝成正常的行為,從 而繞過(guò)該方法的檢測(cè)。
[0003] 當(dāng)前云計(jì)算因其具有投入低,易于維護(hù),部署快速靈活等特點(diǎn)逐漸受到國(guó)內(nèi)外學(xué) 者和企業(yè)的重視,同時(shí)也因?yàn)槠渚哂薪档统杀尽⒏纳七\(yùn)營(yíng)效率等優(yōu)點(diǎn),許多企業(yè)和組織在云 計(jì)算上加大投入,進(jìn)行研宄,建設(shè)和實(shí)施。由于云計(jì)算技術(shù)的不斷發(fā)展,面臨的安全挑戰(zhàn)也 更為嚴(yán)峻,安全問(wèn)題已成為妨礙云計(jì)算發(fā)展的重要因素?,F(xiàn)在人們最關(guān)心的是云服務(wù)提供 商(CSP)能否可以為終端用戶提供出安全可信的云服務(wù),但因?yàn)樵朴?jì)算環(huán)境下的終端用戶 可直接訪問(wèn)云服務(wù)提供商的軟硬件資源,這樣與常規(guī)的網(wǎng)絡(luò)服務(wù)相比,用戶的行為給云服 務(wù)提供商(CSP)帶來(lái)的安全風(fēng)險(xiǎn)就大大增加,單獨(dú)的用戶身份的可信已不能滿足云計(jì)算環(huán) 境下的需求,因此,如何保障用戶行為的安全,并對(duì)其進(jìn)行有效進(jìn)行風(fēng)險(xiǎn)控制就成為云計(jì)算 走向成熟的關(guān)鍵研宄課題。
[0004] 現(xiàn)有技術(shù)的問(wèn)題主要在于:運(yùn)行環(huán)境不安全,可能被攻破、算法開(kāi)銷大、識(shí)別異常 率不高等。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明是要解決現(xiàn)有技術(shù)的問(wèn)題主要在于:運(yùn)行環(huán)境不安全,可能被攻破、算法安 全監(jiān)控程序占用的系統(tǒng)資源大、識(shí)別異常率不高的問(wèn)題,而提供了云平臺(tái)VMM層行為監(jiān)控 方法。
[0006] 云平臺(tái)VMM層行為監(jiān)控方法,它包括:
[0007] 用于VMM層劫持系統(tǒng)調(diào)用并獲得系統(tǒng)調(diào)用序列的SystemCallInterpcepter步 驟;
[0008] 用于分析系統(tǒng)調(diào)用序列并判斷進(jìn)程異常與否的SystemCallAnalyze步驟;
[0009] 用于接收SystemCallAnalyzer模塊的分析結(jié)果并發(fā)出警報(bào)提醒操作系統(tǒng)的 SystemCallHandler步驟。
【附圖說(shuō)明】
[0010] 圖1為本發(fā)明流程圖;
[0011] 圖2為具體【具體實(shí)施方式】二中的劫持說(shuō)明圖;
[0012] 圖3為【具體實(shí)施方式】三中的NMF算法處理數(shù)據(jù)圖;
[0013] 圖4【具體實(shí)施方式】四中的SCH流程圖;
[0014] 圖5為具體【具體實(shí)施方式】二中的得到的系統(tǒng)調(diào)用號(hào)序列圖;
[0015] 圖6為【具體實(shí)施方式】三中的正常進(jìn)程圖;
[0016] 圖7為【具體實(shí)施方式】三中的異常進(jìn)程圖;
[0017] 圖8為【具體實(shí)施方式】三中的更改后的異常進(jìn)程圖;
[0018] 圖9為【具體實(shí)施方式】三中的用樹(shù)來(lái)表示標(biāo)準(zhǔn)庫(kù)圖;
[0019] 圖10為【具體實(shí)施方式】三中的檢測(cè)序列時(shí)滑動(dòng)窗口示意圖
[0020] 圖11為【具體實(shí)施方式】三中的匹配成功時(shí)滑動(dòng)窗口位置圖;
[0021] 圖12為仿真實(shí)驗(yàn)中正常進(jìn)程的誤報(bào)率圖;
[0022] 圖13為仿真實(shí)驗(yàn)中異常進(jìn)程判斷成功率圖;
[0023] 圖14為仿真實(shí)驗(yàn)中異常進(jìn)程判斷成功率圖;
[0024] 圖15為仿真實(shí)驗(yàn)中正常進(jìn)程誤報(bào)率圖。
【具體實(shí)施方式】
【具體實(shí)施方式】 [0025] 一:本實(shí)施方式的云平臺(tái)VMM層行為監(jiān)控方法,它包括:
[0026] 用于VMM層劫持系統(tǒng)調(diào)用并獲得系統(tǒng)調(diào)用序列的SystemCallInterpcepter步 驟;
[0027] 用于分析系統(tǒng)調(diào)用序列并判斷進(jìn)程異常與否的SystemCallAnalyze步驟;
[0028] 用于接收SystemCallAnalyzer模塊的分析結(jié)果并發(fā)出警報(bào)提醒操作系統(tǒng)的 SystemCallHandler步驟。
[0029] 為實(shí)現(xiàn)云平臺(tái)VMM層系統(tǒng)調(diào)用的劫持與分析系統(tǒng),首先要實(shí)現(xiàn)云平臺(tái)的搭建,在 此計(jì)劃利用計(jì)算機(jī)上搭建虛擬機(jī),在虛擬機(jī)上運(yùn)行操作系統(tǒng),在其上面運(yùn)行程序等從而達(dá) 到模擬云平臺(tái)的目的。搭建出平臺(tái)后,在虛擬機(jī)VMM層進(jìn)行系統(tǒng)調(diào)用的劫持,實(shí)現(xiàn)系統(tǒng)調(diào)用 劫持和分析系統(tǒng),完成對(duì)程序和進(jìn)程的分析判斷。用戶程序或者進(jìn)程在用戶操作系統(tǒng)層面 執(zhí)行運(yùn)作,然后在VMM層,利用SystemCallInterpc印ter(SCI)劫持獲得系統(tǒng)調(diào)用,然后 傳遞給SystemCallAnalyZer(SCA),SCA利用正常的參考數(shù)據(jù)得到的類型標(biāo)準(zhǔn)(基矩陣和 系數(shù)矩陣),得出運(yùn)行程序系統(tǒng)調(diào)用序列的異常與否,然后將分析結(jié)果的日志(Log)輸出結(jié) 果到主機(jī)上,同時(shí)通知客戶操作系統(tǒng)對(duì)用戶程序進(jìn)行相應(yīng)的處理SystemHandler(SCH)。該 系統(tǒng)的概要設(shè)計(jì)圖1所示:
[0030] 通過(guò)上圖所示的結(jié)構(gòu),模擬實(shí)現(xiàn)云平臺(tái)上基于VMM系統(tǒng)調(diào)用的劫持與分析系統(tǒng), 該系統(tǒng)主要包含三個(gè)部分:主機(jī)操作系統(tǒng)、VMM層和客戶操作系統(tǒng),工作原理如下:
[0031] 首先,客戶在用戶模式運(yùn)行程序,執(zhí)行相應(yīng)操作,調(diào)用系統(tǒng)調(diào)用,通過(guò)客戶操作系 統(tǒng)的內(nèi)核模式,在VMM層,我們利用SCI對(duì)系統(tǒng)調(diào)用進(jìn)行捕獲,獲得該程序的對(duì)應(yīng)進(jìn)程的 系統(tǒng)調(diào)用號(hào)序列。其次,SCI把該系統(tǒng)調(diào)用序列數(shù)據(jù)傳遞給SCA,SCA利用NMF算法,對(duì)原始 數(shù)據(jù)進(jìn)行處理,利用以前獲得的參考數(shù)據(jù)對(duì)新得到的數(shù)據(jù)進(jìn)行分析,得出程序異常與否的 結(jié)果。
[0032] 最后,根據(jù)SCA分析的結(jié)果用戶操作系統(tǒng)的內(nèi)核模式采取相應(yīng)的措施對(duì)程序進(jìn)行 限制,在主機(jī)上生成日志。
【具體實(shí)施方式】 [0033] 二:本實(shí)施方式與一不同的是:利用Linux系統(tǒng)中自 帶的strace功能,模仿其應(yīng)用,在Linux內(nèi)核中增添代碼,當(dāng)追蹤到相應(yīng)的進(jìn)程后,跟蹤其 所有的系統(tǒng)調(diào)用,輸出其系統(tǒng)調(diào)用號(hào)。當(dāng)在kvm的虛擬機(jī)上進(jìn)行相應(yīng)程序的執(zhí)行時(shí),在VMM 層中的linux內(nèi)核層就可以獲得相應(yīng)的進(jìn)程號(hào),從而獲得該進(jìn)程所有調(diào)用的系統(tǒng)調(diào)用。
[0034] 所述SystemCallInterpcepter步驟具體為:
[0035] 在Linux內(nèi)核中,修改并利用內(nèi)核的strace功能來(lái)劫持系統(tǒng)調(diào)用;
[0036] 其中,所述Strace的核心是ptrace函數(shù),Ptrace函數(shù)本身并不具備輸出產(chǎn)生系統(tǒng) 調(diào)用程序的pid和系統(tǒng)調(diào)用號(hào)的功能,因此,要在內(nèi)核syscall_trace_enter(structpt_ regs*regs)函數(shù)的尾部,添加輸出對(duì)應(yīng)信息的代碼,從而實(shí)現(xiàn)系統(tǒng)調(diào)用的劫持。
[0037] 系統(tǒng)調(diào)用的劫持說(shuō)明圖如圖2 :
[0038] 在Linux系統(tǒng)中,進(jìn)程不能直接
當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1