KVM环境下内核级Rootkit检测及防护技术研究

信息安全研究 ›› 2019, Vol. 5 ›› Issue (7): 616-622.

KVM环境下内核级Rootkit检测及防护技术研究

刘刚¹,徐峥²,崔士伟²

1. 浪潮电子信息产业股份有限公司安全技术部北京100085
2. 浪潮电子信息产业股份有限公司

收稿日期:2019-07-08 出版日期:2019-07-15 发布日期:2019-07-08
通讯作者: 刘刚
作者简介:刘刚硕士，主要研究方向为操作系统安全、可信计算技术与云安全。liugang@inspur.com 徐峥本科，主要研究方向为操作系统与应用软件安全、软件架构设计及开发。xuzheng@inspur.com 崔士伟本科，主要研究方向为操作系统安全、云安全等。 cuishw@inspur.com

Research on Technologies of Kernel Rootkit Detecting and Protecting in KVM Environment

Received:2019-07-08 Online:2019-07-15 Published:2019-07-08

摘要/Abstract

摘要： 虚拟化技术在云计算环境中已得到广泛应用，其安全性也越来越重要.当前，恶意代码攻击正向复杂性、隐蔽性和持久性等方向发展，已成为我国云基础设施面临的重要威胁之一.特别是在云数据中心大量采用Linux和基于内核的虚拟机(kernelbased virtual machine, KVM)虚拟化背景下，研究KVM虚拟化环境下Linux内核级Rootkit的检测及防护技术具有十分重要的意义.而当前基于虚拟化环境实现Rootkit检测和防护技术研究偏重于检测，在响应和保护阶段还比较缺乏.针对这一问题，提出一种KVM虚拟化环境下集内核级Rootkit安全检测、响应及主动防护的安全架构，并在KVM虚拟化平台中进行了验证.实验结果表明，该安全架构可以有效检测并防止客户虚拟机中内核级Rootkit的攻击.

关键词: 云计算, KVM虚拟化, 内核级Rootkit, 虚拟机自省, 安全加固

Abstract: Virtualization technology has been widely used in cloud computing environment, and its security is becoming more and more important. At present, malicious code attacks are developing in the direction of complexity, concealment, and persistence, which has become one of the important threats to cloud infrastructure in China.Especially in the context of the massive use of Linux and kernelbased virtual machine (KVM) virtualization in cloud data centers, its very important to research on detection and protection technologies of Linux kernel rootkit in KVM virtualization environment. However, the current research in this field mainly focuses on detecting, and lacks in response and protecting stage. To solve this problem, this paper proposes a security architecture that integrates kernellevel Rootkit security detection, response and active protection in KVM virtualization environment, and validates it in KVM virtualization platform. The results show that the security architecture can effectively detect and prevent attacks of kernellevel Rootkit in Guest virtual machine.

Key words: cloud computing, KVM virtualization, kernel Rootkit, virtual machine introspection, security reinforcement

刘刚徐峥崔士伟. KVM环境下内核级Rootkit检测及防护技术研究[J]. 信息安全研究, 2019, 5(7): 616-622.

[1]	霍成义. 云计算中属性基加密机制研究?[J]. 信息安全研究, 2020, 6(8): 733-737.
[2]	戴纯兴刘刚韩春超王传国. KVM环境下基于异常行为的恶意软件检测技术研究[J]. 信息安全研究, 2020, 6(6): 0-0.
[3]	谭剑王晓莉饶伟. 铁路云数据中心的安全架构研究[J]. 信息安全研究, 2020, 6(6): 0-0.
[4]	刘海峰荣晓燕李晨旸廖军. 一种基于安全域的云计算网络安全保障方法研究[J]. 信息安全研究, 2020, 6(4): 362-366.
[5]	李铭石磊张辉牛文强. 基于系统调用截获的虚拟机自省技术[J]. 信息安全研究, 2020, 6(4): 367-372.
[6]	林嘉涛李玉. 基于云计算的物联网安全问题探讨[J]. 信息安全研究, 2020, 6(4): 373-376.
[7]	荣晓燕刘海峰刘国伟刘凯俊. 基于风控和合规的云计算网络安全矩阵控制研究[J]. 信息安全研究, 2020, 6(3): 266-271.
[8]	雷丹丽黄相升向大为. 数字化背景下网络贩毒的特点及侦查策略研究[J]. 信息安全研究, 2020, 6(2): 159-164.
[9]	雷惊鹏. 基于云计算和深度学习的协议监测系统设计[J]. 信息安全研究, 2020, 6(12): 1127-1132.
[10]	贺海刘海峰成金爱. 云计算平台安全能力评估体系和评估指标研究[J]. 信息安全研究, 2020, 6(11): 0-0.
[11]	刘志勇朱希收王玉峰. 基于流量分析的工控系统安全防护策略研究[J]. 信息安全研究, 2019, 5(8): 668-672.
[12]	王勇徐衍龙刘强. 云计算安全模型与架构研究[J]. 信息安全研究, 2019, 5(4): 287-292.
[13]	蔡友保冯暄陈翼王斯梁. 一种安全增强型云计算身份认证方案[J]. 信息安全研究, 2019, 5(3): 253-256.
[14]	张德政王娜娜. “永恒之蓝”变种挖矿蠕虫WannaMine的安全技术防护研究[J]. 信息安全研究, 2019, 5(2): 135-144.
[15]	霍成义. 云计算数据隐私保护关键技术研究[J]. 信息安全研究, 2019, 5(12): 1106-1109.