基于虚拟化技术的内核模块安全加固研究
基本信息
结项摘要
OS Kernel security is the foundation for application security. It has become a hot and cutting edge research topic in the world for many years. In traditional monolithic kernel architectures, kernel modules and OS kernel execute in the same address space. If attackers control the kernel module's execution by exploiting the vulnerability, they can access and modify any kernel resources. To address this problem, various methods for kernel module security reinforcement have been proposed by worldwide researchers. However, these approaches suffer from three limitations. 1) Some methods cannot protect OS kernel comprehensively. 2) Some methods cannot be compatible with the existing OS and hardware. 3) Some methods impose considerable performance overhead. To handle these problems, first, we utilize program analysis techniques to extract the interacting policies between kernel modules and OS kernel from the source code and binary code. Second, we make use of hardware-assisted virtualization technologies to transparently isolate the target kernel module from kernel space, and then enforce the kernel module's execution to obey the corresponding policy. Last, we combine CPU multi-core technology and concurrent algorithm to monitor the kernel module's execution efficiently. This research will make some contributions to domestic kernel module security reinforcement.
操作系统内核安全是上层应用软件安全的基础,一直以来都是国内外研究的热点和前沿问题。在传统的宏内核架构中,内核模块与操作系统内核运行在同一地址空间中。如果攻击者通过利用漏洞控制了内核模块,将可以访问和篡改任意内核资源。为此,国内外学者提出了一些内核模块安全加固的方法,然而现有方法主要存在三个问题:1)保护不够全面,2)兼容性不强,3)性能开销较大。针对这些问题,本项目试图首先利用程序分析技术从正常内核模块的源代码和二进制代码中提取内核模块与操作系统内核安全交互的策略。其次,利用硬件辅助的虚拟化技术将目标内核模块透明地从内核空间中隔离出来,并保证其行为满足相应的安全策略。最后,结合CPU多核技术和并行算法实现对内核模块行为的高效监控。本项目的研究将为国产操作系统内核模块安全加固提供参考和借鉴。
项目摘要
为了提高操作系统内核的安全,本项目开展了基于虚拟化技术的内核模块安全加固研究。基于硬件虚拟化技术提出了一种针对内核模块的安全隔离方法,该方法无需修改操作系统内核,对内核模块具有较好的兼容性。采用跨函数和流敏感的程序分析方法提取内核模块访问内核资源的模式,具体包括内核数据访问模式和内核代码访问模式。探索了结合安全访问策略自动化提取机制和虚拟化内核隔离机制,确保内核模块的行为符合相应的安全策略。提出利用机器学习和虚拟化内核隔离机制检测恶意内核的方法,提高了虚拟化环境下检测恶意内核模块的效率。结合虚拟化技术和程序分析技术对内核模块中的堆缓冲区安全防护进行研究,增强了内核模块中重要动态数据的安全性。提出结合虚拟化技术和处理器追踪技术对内核模块控制流安全监控方法,能高效监控内核模块的控制流转移操作,提升了内核模块控制流完整性的安全。. 在项目的支持下发表EI论文3篇和SCI期刊论文8篇,其中CCF B类期刊论文2篇,中科院JCR一区论文1篇,中科院JCR二区论文2篇,申请专利2项,授权专利1项,出版学术专著1本。本项目的研究成果可以为国产操作系统内核模块安全加固提供参考和借鉴。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
玉米叶向值的全基因组关联分析
玉米叶向值的全基因组关联分析
涡度相关技术及其在陆地生态系统通量研究中的应用
涡度相关技术及其在陆地生态系统通量研究中的应用
正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究
正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究
硬件木马:关键问题研究进展及新动向
硬件木马:关键问题研究进展及新动向
基于SSVEP 直接脑控机器人方向和速度研究
基于SSVEP 直接脑控机器人方向和速度研究
田东海的其他基金
相似国自然基金
基于智能化方法的代码安全加固技术研究
基于虚拟仿真技术的城市公共空间安全疏散模型研究
虚拟化环境安全缺陷分析及安全性增强方法研究
云环境GPU虚拟化的安全问题研究