基于KVM的Windows客户机进程查杀技术
目前,虚拟化技术(virtualization)在企业中得到了广泛的应用,并具有巨大的市场前景。然而,任何一种平台大规模上线使用后都会成为广大网络黑客攻击的对象,虚拟机也不例外。在虚拟化面临的安全问题中,其中之一是以主机为基础的安全策略难以部署。目前基于虚拟机的安全软件都是基于物理机开发的,其防护方式无一例外都是借助传统方式,而且如果在每一台虚拟机上都安装安全软件,对物理服务器的存储空间、内存资源占用较大。并且在虚拟机关闭期间,病毒代码是无法更新的,一旦开机,多个防病毒软件同时更新一个病毒码对网络带宽也有较大影响。网络安全设备目前也没有监测虚机之间通信流的能力,先进的虚拟平台搭配传统的防范策略,无疑影响了虚拟平台的使用,网络黑客和内部攻击可以利用这个时期大规模攻击虚拟机,并借助单台虚拟机攻击虚机群,业务系统随时崩溃。 传统反病毒架构不能有效利用虚拟化优势解决虚拟化平台上的Windows系统所面临的恶意软件威胁,并且传统反病毒软件自身面临安全威胁,针对此问题,本文提出一种基于KVM的无代理Windows客户机进程在线杀毒技术.通过在KVM内核模块中,添加读写内存的函数和为进程处理模块提供在其中注册钩子的接口,解析客户机当前进程信息.将进程在内存中的PE(Portable Executable)镜像还原成运行前的磁盘文件后,调用开源杀毒引擎ClamAV(Clam AntiVirus)进行扫描查毒.决策模块根据查毒结果做出响应,由进程处理内核模块对可疑进程进行相应处理,实现对客户机当前进程的无代理查杀.分析及测试结果表明,该技术利用了虚拟化优势较好的解决传统反病毒框架的资源耗费和自身安全性问题.
客户机 进程杀毒技术 恶意软件 安全威胁 虚拟化技术
国内会议
湖北恩施
中文
1-7
2014-09-13(万方平台首次上网日期,不代表论文的发表时间)