计算机安全
計算機安全
계산궤안전
NETWORK AND COMPUTER SECURITY
2012年
9期
2-7
,共6页
硬件辅助虚拟化%恶意软件行为分析%虚拟机自省%二级页表%外部设备访问保护
硬件輔助虛擬化%噁意軟件行為分析%虛擬機自省%二級頁錶%外部設備訪問保護
경건보조허의화%악의연건행위분석%허의궤자성%이급혈표%외부설비방문보호
基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法.该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(Virtual Machine Monitor,VMM)的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现.为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统—THVA.THVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM.实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好.
基于虛擬化技術的噁意軟件行為分析是近年來齣現的分析噁意軟件的方法.該方法利用虛擬化平檯良好的隔離性和控製力對噁意軟件運行時的行為進行分析,但存在兩方麵的不足:一方麵,現有虛擬機鑑視器(Virtual Machine Monitor,VMM)的設計初衷是提高虛擬化繫統的通用性和高效性,併沒有充分攷慮虛擬化繫統的透明性,導緻現有的VMM很容易被噁意軟件的環境感知測試所髮現.為此,提齣一種基于硬件輔助虛擬化技術的噁意軟件行為分析繫統—THVA.THVA是一箇利用瞭安全虛擬機(SVM)、二級頁錶(NPT)和虛擬機自省等多種虛擬化技術完成的、專門針對噁意軟件行為分析的微型VMM.實驗結果錶明,THVA在行為鑑控和反噁意軟件檢測方麵錶現良好.
기우허의화기술적악의연건행위분석시근년래출현적분석악의연건적방법.해방법이용허의화평태량호적격리성화공제력대악의연건운행시적행위진행분석,단존재량방면적불족:일방면,현유허의궤감시기(Virtual Machine Monitor,VMM)적설계초충시제고허의화계통적통용성화고효성,병몰유충분고필허의화계통적투명성,도치현유적VMM흔용역피악의연건적배경감지측시소발현.위차,제출일충기우경건보조허의화기술적악의연건행위분석계통—THVA.THVA시일개이용료안전허의궤(SVM)、이급혈표(NPT)화허의궤자성등다충허의화기술완성적、전문침대악의연건행위분석적미형VMM.실험결과표명,THVA재행위감공화반악의연건검측방면표현량호.