论文部分内容阅读
在信息安全领域,文件一直是攻防对抗的焦点。近几年,针对文件的攻击在数量上和复杂性上都有所发展。传统文件保护方法虽然解决了大部分威胁,但对于通过剪贴板的窃密攻击防护力度明显不足。更重要的是,现有文件操作监控方法容易被新的攻击技术破坏或绕过。在新的威胁面前,突破传统文件保护的局限性,提出功能更强、更可信的文件保护系统具有重大意义。 围绕如何加强文件保护的问题,论文设计了一种基于VMM的文件保护系统,并根据新形势下的保护需求制定了一种多级保护策略。针对现有文件操作监控方法易被绕过的问题和重要文件内容易通过剪贴板泄露的问题,本文分别提出了基于VMM监控文件系统和剪贴板的方法。为了测试所提监控方法的效果与性能,设计开发了一个文件操作监控原型系统。利用该原型系统对本文改进和提出的监控方法进行了测试,测试结果表明课题研究达到了预期设计目标。论文的主要工作包括: (一)设计一种基于VMM的文件保护系统框架。该框架能够同时对文件进行加解密保护和操作监控保护,并且核心功能都位于VMM内,客户系统无法对其进行感知和破坏。突破传统基于读、写和执行三个维度的文件保护需求分析模式,基于读、写和拷贝三个维度对新形势下的文件保护需求进行分析,并基于设计的文件保护系统框架制定了一种多级保护策略。 (二)优化改进基于硬件虚拟化技术的系统调用监控方法。基于硬件虚拟化技术监控系统调用是本文监控文件操作的基础功能,现有监控方法在达到监控目的时未对监控的透明性、安全性进行充分考虑。本文对现有监控方法进行增强,保证在VMM内实施的监控对客户系统安全、透明。 (三)提出一种基于VMM的文件系统监控方法。对文件系统进行深入研究,归纳总结出影响文件安全性的全部常用操作,通过对这些操作的监控使本文对文件系统实施的监控更加全面。通过对虚拟机内省技术进行研究,提出使文件系统操作陷入 VMM的方法,并根据监控点上下文实现在VMM中对操作对象的路径进行解析。 (四)提出一种剪贴板关联监控技术。该技术能够同时监控目录下的剪贴板操作和针对文件内容的剪贴板操作,并能够在监控到这两类操作的同时获得操作对象来源文件、目录的路径。关联监控技术完善了传统剪贴板监控的功能,使保护系统可以根据文件路径对剪贴板操作进行过滤。进一步提出利用虚拟机内省技术在VMM内实现该关联监控技术的方法,保证客户系统内的恶意软件无法对监控实施破坏。 (五)实现了一个文件操作监控原型系统。该原型系统基于设计的文件保护系统框架,突出本文改进的文件操作监控方法,提供对文件多级保护策略的支持。基于该原型系统,对本文改进与提出的系统调用监控方法、文件系统监控方法和剪贴板监控方法的有效性、透明性、安全性和性能开销进行了测试与分析。