亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于完整性驗證的凈室實時監(jiān)控方法_2

文檔序號:9453367閱讀:來源:國知局
虛擬機管理信息。tool暫時沒有數(shù)據(jù)。而/local/domain存放了活動虛擬機配置和驅(qū)動信息。
[0040]步驟3:在可信虛擬機中運行完整性測量代理,對步驟2獲取的虛擬機完整性進行測量,如果虛擬機完整,則進入步驟4,否則,返回步驟2 ;
[0041]本實例實施中,服務(wù)器運行三個虛擬機分別為testO, testl, test2 ;其中testO和testl是完整的,test2缺少config.xml (虛擬機的硬件配置),依次運行三個虛擬機,testO和testl正常運行,test2無法運行;
[0042]步驟4:計算步驟2所獲取的虛擬機的進程、內(nèi)核模塊和動態(tài)庫的哈希值,并與步驟I所述可信列表中的數(shù)據(jù)進行比對;
[0043]若該虛擬機對應(yīng)的哈希值存在于可信列表中,則continue函數(shù)修改guest_rip為原來的地址使虛擬機正常運行,進入步驟5,否則,調(diào)用kill函數(shù)終止虛擬機的運行,返回步驟2 ;
[0044]kill函數(shù)說明:
[0045]int kill (pid_t pid, int sig);
[0046]kill O可以用來發(fā)送參數(shù)sig指定的信號給參數(shù)pid指定的進程。參數(shù)pid有幾種情況:
[0047]pid>0將信號傳給進程識別碼為pid的進程。
[0048]pid = O將信號傳給和目前進程相同進程組的所有進程
[0049]pid = -1將信號廣播傳送給系統(tǒng)內(nèi)所有的進程
[0050]pid<0將信號傳給進程組識別碼為pid絕對值的所有進程
[0051]返回值執(zhí)行成功則返回0,如果有錯誤則返回-1。
[0052]continue 函數(shù)說明:
[0053]Bool Continue(pid_t pid, Adress adress);
[0054]將進程識別碼為pid的進程返回地址修改為adress。
[0055]在實例實施中,只有testO在可信列表中,testO能夠正常運行,testl運行被中止。
[0056]步驟6:在終端運行完整性測量代理,對步驟5所獲取程序的事件類型、事件參數(shù)、運行程序的指令計算哈希值;終端監(jiān)控模型如圖3所示;
[0057]所述應(yīng)用程序監(jiān)視器在Windows系統(tǒng)上是采用API Η00Κ機制,設(shè)置全局鉤子來截獲用戶程序產(chǎn)生的系統(tǒng)調(diào)用。
[0058]所述系統(tǒng)調(diào)用參數(shù)包含程序的完整路徑。
[0059]在Windows下當用戶程序運行后會產(chǎn)生系統(tǒng)調(diào)用CreateProcess函數(shù)。該函數(shù)的結(jié)構(gòu)如下:
[0060]B00L CreateProcess(
[0061]LPCTSTR IpApplicat1nName,
[0062]LPTSTR IpCommandLine,
[0063]LPSECURITY_ATTRIBUTES lpProcessAttributes0
[0064]LPSECURITY_ATTRIBUTES IpThreadAttributes,
[0065]BOOL bInheritHandles,
[0066]DWORD dwCreat1nFlags,
[0067]LPVOID IpEnvironment,
[0068]LPCTSTR IpCurrentDirectory,
[0069]LPSTARTUPINFO IpStartupInfo,
[0070]LPPR0CESS_INF0RMAT10NlpProcessInformat1n
[0071]);
[0072]由于要監(jiān)視所有應(yīng)用程序的TerminateProcess ()和 WriteProcessMemory O 調(diào)用,因此需要設(shè)置全局鉤子。
[0073]全局鉤子的安裝方法:首先通過調(diào)用SetWindowHookExO來安裝一個全局鉤子,鉤子安裝成功后,操作系統(tǒng)會把DLL映射到被攔截的進程的地址空間中。在攔截到call指令以后,使用JMP指令概念函數(shù)體的前幾個字節(jié)來重定向到自定義的API函數(shù)中去執(zhí)行,從而截獲系統(tǒng)調(diào)用。
[0074]SetffindowHookEx 函數(shù)結(jié)構(gòu)如下:
[0075]HHOOK SetffindowsHookEx (
[0076]IntidHook,
[0077]H00KPR0C Ipfn,
[0078]HINSTANCE hMod,
[0079]DWORD dwThreadld
[0080]);
[0081]步驟7:使用netlink創(chuàng)建套接字將步驟6得到的哈希值數(shù)據(jù)發(fā)送到服務(wù)器,與服務(wù)器的可信列表中的項進行比對;
[0082]若步驟5截獲的程序?qū)?yīng)的哈希值存在于服務(wù)器的可信列表中,則調(diào)用continue函數(shù)繼續(xù)用戶進程執(zhí)行,并允許用戶進程進入步驟2所述虛擬機中運行,否則調(diào)用TerminateProcess函數(shù)終止程序的運行。
[0083]TerminateProcess 函數(shù)說明:
[0084]BOOL TerminateProcess(HANDLE hProcess, UINT uExitCode);
[0085]其中參數(shù)hProcess表示要終止(殺死)進程的句柄。參數(shù)uExitCode是設(shè)置進程的退出值。
[0086]返回值:如果失敗將返回FALSE (O),而成功將返回一個非零值。
[0087]在實例實施中,終端運行記事本程序出現(xiàn)錯誤,將該程序的哈希值更新到服務(wù)器中,記事本程序能正常運行。
【主權(quán)項】
1.一種基于完整性驗證的凈室實時監(jiān)控方法,其特征在于,包括以下幾個步驟: 步驟1:在服務(wù)器上安裝可信虛擬監(jiān)視器,利用所述可信虛擬監(jiān)視器提取服務(wù)器初始數(shù)據(jù),并計算服務(wù)器初始數(shù)據(jù)的哈希函數(shù)值,將服務(wù)器初始數(shù)據(jù)以其對應(yīng)的哈希函數(shù)值備份到服務(wù)器中的可信列表中; 所述服務(wù)器初始數(shù)據(jù)包括服務(wù)器的系統(tǒng)文件和進程數(shù)據(jù);所述系統(tǒng)文件包括文件類型、文件名和文件大?。贿M程數(shù)據(jù)包括該進程的進程名、線程數(shù)量和線程峰值數(shù)量; 所述可信列表用于保存可信任的系統(tǒng)數(shù)據(jù)、可信任的虛擬機信息以及可信任的用戶程序信息; 步驟2:在可信虛擬監(jiān)視器中安裝虛擬機陷入程序,利用虛擬機陷入程序的sh_page_fault函數(shù)獲得陷入可信虛擬監(jiān)視器的虛擬機的進程、內(nèi)核模塊及動態(tài)庫; 所述虛擬機陷入程序的安裝是通過將Vmx.c文件中的vmx_vmexit_handler函數(shù)的返回地址修改為非法地址完成; 步驟3:在可信虛擬機中運行完整性測量代理,對步驟2獲取的虛擬機完整性進行測量,如果虛擬機完整,則進入步驟4,否則,返回步驟2,等待虛擬機陷入程序獲取陷入可信虛擬監(jiān)視器的虛擬機; 步驟4:計算步驟2所獲取的虛擬機的進程、內(nèi)核模塊和動態(tài)庫的哈希值,并與步驟I所述可信列表中的數(shù)據(jù)進行比對; 若該虛擬機對應(yīng)的哈希值存在于可信列表中,則continue函數(shù)修改guest_rip為原來的地址使虛擬機正常運行,進入步驟5,否則,調(diào)用kill函數(shù)終止虛擬機的運行,返回步驟.2,等待虛擬機陷入程序獲取陷入可信虛擬監(jiān)視器的虛擬機; 步驟5:在終端安裝應(yīng)用程序監(jiān)視器,截獲用戶程序產(chǎn)生的系統(tǒng)調(diào)用,得到傳遞給系統(tǒng)調(diào)用的全部參數(shù); 步驟6:在終端運行完整性測量代理,對步驟5所獲取程序的事件類型、事件參數(shù)、運行程序的指令計算哈希值; 步驟7:使用netlink創(chuàng)建套接字將步驟6得到的哈希值數(shù)據(jù)發(fā)送到服務(wù)器,與服務(wù)器的可信列表中的項進行比對; 若步驟5截獲的程序?qū)?yīng)的哈希值存在于服務(wù)器的可信列表中,則調(diào)用continue函數(shù)繼續(xù)用戶進程執(zhí)行,并允許用戶進程進入步驟2所述虛擬機中運行,否則調(diào)用TerminateProcess函數(shù)終止程序的運行。
【專利摘要】本發(fā)明公開了一種基于完整性驗證的凈室實時監(jiān)控方法,通過對用戶虛擬機的完整性檢測和對用戶程序的完整性驗證,來保證虛擬機的安全。對用虛擬機的監(jiān)控主要是監(jiān)控虛擬機的進程、內(nèi)核模塊以及動態(tài)庫的完整性,通過實時監(jiān)測虛擬機的運行狀態(tài)來保證虛擬機不被篡改,徹底的阻止了用戶未經(jīng)授權(quán)的行為,保證云計算環(huán)境下的用戶虛擬機的安全運行,并且保護虛擬機中應(yīng)用程序的安全。
【IPC分類】G06F21/53
【公開號】CN105205391
【申請?zhí)枴緾N201510670209
【發(fā)明人】王國軍, 羅恩韜, 孟大程, 張少波, 朱小玉, 周雷
【申請人】中南大學(xué)
【公開日】2015年12月30日
【申請日】2015年10月15日
當前第2頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1