CN105488388A - 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 - Google Patents
一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 Download PDFInfo
- Publication number
- CN105488388A CN105488388A CN201510961044.5A CN201510961044A CN105488388A CN 105488388 A CN105488388 A CN 105488388A CN 201510961044 A CN201510961044 A CN 201510961044A CN 105488388 A CN105488388 A CN 105488388A
- Authority
- CN
- China
- Prior art keywords
- application software
- cpu
- security
- sample storehouse
- normal behaviour
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本发明公开了一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,利用CPU虚拟化技术以时间片的方式运行两个不同状态的CPU虚拟核,通常划分为安全核和普通核;通过内存管理单元MMU对系统内存域进行空间划分,配置内存控制相关的寄存器以确保不同内存区域的访问权限,达到访问控制内存隔离的效果;基于CPU时空隔离机制利用安全运行环境对通用运行环境中的应用软件行为进行了管控。本发明的优点在于:提高了应用软件行为监控系统的时效性和可靠性,增强了计算机应用系统的安全性。
Description
技术领域
本发明涉及一种软件监控方法,具体地说是一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,属于软件监控领域。
背景技术
随着信息技术的不断发展,国民经济及国防军工信息化技术运用的普及,计算机应用系统处于经济、国防的基础支撑地位,而其安全性问题已经成为决定经济、国防安全的关键,一旦计算机应用系统遭到破坏,将会导致灾难性后果。作为计算机应用系统安全防护的重要一环,当前基于恶意代码行为特征匹配的传统计算机防护软件,无法及时检测经过多态、加壳、变形、反跟踪等隐藏技术的恶意代码。从应用软件运行操作的角度出发,任何应用软件对系统资源的操作都是通过进程进行系统调用,而可以表征应用软件行为特征的系统调用序列和系统调用参数信息(参数字符类型、参数长度、返回值类型)在局部范围内是一个规则集合,因此,为了解决传统防护软件在时效性与可靠性方面的不足,通过提取应用软件正常行为特征建立规则样本库的应用软件行为监控系统被提出来,并且受到国内外信息安全研究领域的广泛关注。
当前应用软件行为监控系统所采用的技术方案主要有:1、操作系统用户层监控技术,通过系统调用接口函数获取所要分析的数据信息,然而应用软件行为监控系统自身安全无法保障,且必须依赖系统管理员经验判断是否发生入侵,不能满足系统安全的时效性和可靠性要求。2、操作系统内核层监控技术,通过内核安全钩子函数截获进程对某个特定API的函数调用,使得API的执行流程转向指定的检测、分析、监控代码。如果恶意代码一旦获得系统内核访问权限,那么内核层监控技术的有效性明显受到挑战,应用软件行为监控系统存在被绕过的风险。3、基于硬件虚拟化的监控技术,通过运行于计算机硬件平台与操作系统内核之间的虚拟机管理软件,监管系统内存空间使用、应用软件行为特征及动态内核对象访问权限等信息,其更高特权级的CPU运行态可以保障应用行为监管系统的高可靠性,然而虚拟机管理软件只能获取系统硬件级别的信息,比如CPU中寄存器的参数信息,内存地址等,因此从硬件平台上直接获取到的系统信息与操作系统之间存在语义差别,可读性较差,额外的系统语义转换严重影响系统性能。
发明内容
为了解决上述问题,本发明设计了一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,提高了应用软件行为监控系统的时效性和可靠性,增强了计算机应用系统的安全性。
本发明的技术方案为:
一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,所述监控系统的方法,包括以下步骤:
1、在通用操作系统运行环境下,利用系统调用拦截技术提取应用软件进程系统调用序列、系统调用参数信息及返回值,通过数据分析技术建立进程正常行为样本库;
2、在通用操作系统运行环境下,拦截应用软件行为信息,并保存于通用操作系统共享内存空间;通过预设的安全时钟中断处理将系统运行状态切换至安全内核;
3、安全内核中的应用软件行为监控系统基于安全时钟的中断处理以读取拦截的应用软件进程行为信息,并通过应用正常行为样本库进行异常检测;如果异常度值大于预设安全阀值,则发生异常,系统根据安全策略进行安全处理,反之;
4、检测处理完毕,系统状态返回。
所述监控系统包括以下组成部分:
1、异常检测模块
异常检测模块读取已拦截的应用软件系统调用序列、系统调用参数信息及返回值,利用数据分析技术建立应用软件正常行为模型,通过比较异常度值和预设安全阀值的大小来确定是否发出异常;两种工作模式:
1)训练模式
在通用操作系统运行环境下,通过操作系统内核的异常处理模块来拦截安全应用软件系统调用序列、参数信息及返回值,经过一段时间的拦截试验,形成应用软件正常行为样本库;
2)检测模式
在通用操作系统运行环境下,保存已拦截的应用软件系统调用信息;基于安全时钟的中断处理,通过系统状态切换指令使得系统运行状态切换至安全内核;此时,在安全内核运行环境下的应用软件行为监控系统读取已拦截的系统调用信息,并与应用软件正常行为样本库进行模式匹配,比较异常度值与安全阀值来判断软件行为是否异常;
2、样本库管理
1)初始化模式
存储应用软件正常行为模型的初始样本库;
2)动态加载行为样本
对于应用软件更新、升级过程中所出现的新的行为信息通过询问用户的方式,动态选择加载到应用软件的正常行为样本库;
3、异常处理模块
在安全内核环境下,对经过匹配分析的应用软件根据安全策略进行放行、中止、询问等操作,并对系统状态进行异常返回。
CPU时空隔离机制是指利用CPU虚拟化技术以时间片的方式运行两个不同状态的CPU虚拟核,通常划分为安全核和普通核;通过内存管理单元MMU对系统内存域进行空间划分,配置内存控制相关的寄存器以确保不同内存区域的访问权限,达到访问控制内存隔离的效果。
本发明以CPU、操作系统、应用软件行为监控系统的紧耦合为基本思想,突出系统实现整体性和软硬件协同性,力图基于CPU时空隔离机制来确保应用软件行为监控系统的高时效和高安全。为了实现目标,首先,需要构建一个应用软件行为监控系统的基本运行环境,即安全内核。安全内核提供基本的内存管理、进程调度、异常处理、系统调用功能,通过CPU虚拟化技术,运行于CPU安全核。其次,构建一个普通应用软件的基本运行环境,即通用操作系统,运行于CPU普通核。最后,需要构建一个安全监控器,负责在两个操作系统之间进行上下文切换,运行于CPU安全核。
本发明的优点在于:
1、在获取系统底层调用信息的同时,不存在与操作系统之间的语义差别,对系统性能损伤小;
2、运行于安全内核的应用行为监控系统具有更高的隔离性,可以确保对应用软件行为监控的有效性及系统自身的安全性;
3、在专用计算机应用领域,该应用软件行为监控系统完全可以使得因为软件漏洞而引起的系统安全风险降到最低。
下面结合附图和实施例对本发明作进一步说明。
附图说明
图1为本发明实施例监控系统的方法示意图;
图2为本发明实施例监控系统的结构组成图,图中,ELn代表CPU运行状态特权级,n=0,1,,3。
具体实施方式
以下对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例1
一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,如图1所示,所述监控系统的方法,包括以下步骤:
1、在通用操作系统运行环境下,利用系统调用拦截技术提取应用软件进程系统调用序列、系统调用参数信息及返回值,通过数据分析技术建立进程正常行为样本库;
2、在通用操作系统运行环境下,拦截应用软件行为信息,并保存于通用操作系统共享内存空间;通过预设的安全时钟中断处理将系统运行状态切换至安全内核;
3、安全内核中的应用软件行为监控系统基于安全时钟的中断处理以读取拦截的应用软件进程行为信息,并通过应用正常行为样本库进行异常检测;如果异常度值大于预设安全阀值,则发生异常,系统根据安全策略进行安全处理,反之;
4、检测处理完毕,系统状态返回。
如图2所示,所述监控系统包括以下组成部分:
1、异常检测模块
异常检测模块读取已拦截的应用软件系统调用序列、系统调用参数信息及返回值,利用数据分析技术建立应用软件正常行为模型,通过比较异常度值和预设安全阀值的大小来确定是否发出异常;两种工作模式:
1)训练模式
在通用操作系统运行环境下,通过操作系统内核的异常处理模块来拦截安全应用软件系统调用序列、参数信息及返回值,经过一段时间的拦截试验,形成应用软件正常行为样本库;
2)检测模式
在通用操作系统运行环境下,保存已拦截的应用软件系统调用信息;基于安全时钟的中断处理,通过系统状态切换指令使得系统运行状态切换至安全内核;此时,在安全内核运行环境下的应用软件行为监控系统读取已拦截的系统调用信息,并与应用软件正常行为样本库进行模式匹配,比较异常度值与安全阀值来判断软件行为是否异常;
2、样本库管理
1)初始化模式
存储应用软件正常行为模型的初始样本库;
2)动态加载行为样本
对于应用软件更新、升级过程中所出现的新的行为信息通过询问用户的方式,动态选择加载到应用软件的正常行为样本库;
3、异常处理模块
在安全内核环境下,对经过匹配分析的应用软件根据安全策略进行放行、中止、询问等操作,并对系统状态进行异常返回。
例如,基于国产FT1500ACPU硬件平台,以Linux修改版内核、tee_os安全内核、AArch64-Monitor作为基础软件平台,使用本应用软件行为监控系统的实现方法,对linux操作系统中的最复杂的sendmail进程系统调用信息进行拦截,并通过数据挖掘建立了正常行为样本库,可以检测出由MIT林肯实验室DARPA入侵检测评估数据集所提供的syslog、sscp、deocde等脚本攻击。
在实现中使用的系统函数接口设计如下所示:
_Intercept;//系统调用拦截函数接口
typedefstruct_syscall_information{
unsignedintparams_length[];
unsignedintparam_type[];
unsignedintsyscallno[5];
Curent_Thread_infothread_ID;
}_syscall_information;//应用软件系统调用信息
typedefstruct_SharedMemory{
void*buffer;
size_tsize;
unit32_tflags;
}_SharedMemory;//共享内存区
Vector_EL012_64_sync://安全监控器系统切换的异常向量入口
SMC_64:://安全监控器状态切换指令异常处理接口
Read_syscall_information://读取系统调用参数信息接口
Patern_Matching://样本匹配接口
Exception_Handler://异常处理接口
通过以上关键的函数接口及处理函数,完成了对sendmail进程异常行为的检测,保证了应用软件行为监控系统实现的时效性;其利用CPU的时空隔离机制,实现了系统自身的高可靠性。
Claims (2)
1.一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,其特征在于:所述监控系统的方法,包括以下步骤:
(1)、在通用操作系统运行环境下,利用系统调用拦截技术提取应用软件进程系统调用序列、系统调用参数信息及返回值,通过数据分析技术建立进程正常行为样本库;
(2)、在通用操作系统运行环境下,拦截应用软件行为信息,并保存于通用操作系统共享内存空间;通过预设的安全时钟中断处理将系统运行状态切换至安全内核;
(3)、安全内核中的应用软件行为监控系统基于安全时钟的中断处理以读取拦截的应用软件进程行为信息,并通过应用正常行为样本库进行异常检测;如果异常度值大于预设安全阀值,则发生异常,系统根据安全策略进行安全处理,反之;
(4)、检测处理完毕,系统状态返回。
2.根据权利要求1所述的一种基于CPU时空隔离机制实现应用软件行为监控系统的方法,其特征在于:所述监控系统包括以下组成部分:
(1)、异常检测模块
异常检测模块读取已拦截的应用软件系统调用序列、系统调用参数信息及返回值,利用数据分析技术建立应用软件正常行为模型,通过比较异常度值和预设安全阀值的大小来确定是否发出异常;两种工作模式:
1)训练模式
在通用操作系统运行环境下,通过操作系统内核的异常处理模块来拦截安全应用软件系统调用序列、参数信息及返回值,经过一段时间的拦截试验,形成应用软件正常行为样本库;
2)检测模式
在通用操作系统运行环境下,保存已拦截的应用软件系统调用信息;基于安全时钟的中断处理,通过系统状态切换指令使得系统运行状态切换至安全内核;此时,在安全内核运行环境下的应用软件行为监控系统读取已拦截的系统调用信息,并与应用软件正常行为样本库进行模式匹配,比较异常度值与安全阀值来判断软件行为是否异常;
(2)、样本库管理
1)初始化模式
存储应用软件正常行为模型的初始样本库;
2)动态加载行为样本
对于应用软件更新、升级过程中所出现的新的行为信息通过询问用户的方式,动态选择加载到应用软件的正常行为样本库;
(3)、异常处理模块
在安全内核环境下,对经过匹配分析的应用软件根据安全策略进行放行、中止、询问等操作,并对系统状态进行异常返回。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510961044.5A CN105488388A (zh) | 2015-12-22 | 2015-12-22 | 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510961044.5A CN105488388A (zh) | 2015-12-22 | 2015-12-22 | 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105488388A true CN105488388A (zh) | 2016-04-13 |
Family
ID=55675362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510961044.5A Pending CN105488388A (zh) | 2015-12-22 | 2015-12-22 | 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488388A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106502924A (zh) * | 2016-10-27 | 2017-03-15 | 深圳创维数字技术有限公司 | 一种内存优化方法及系统 |
| CN106603487A (zh) * | 2016-11-04 | 2017-04-26 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法 |
| CN106599717A (zh) * | 2016-12-01 | 2017-04-26 | 杭州中天微系统有限公司 | 数据处理器 |
| CN106815494A (zh) * | 2016-12-28 | 2017-06-09 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现应用程序安全认证的方法 |
| CN106909835A (zh) * | 2016-12-28 | 2017-06-30 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现内核完整性度量的方法 |
| CN107229882A (zh) * | 2017-05-27 | 2017-10-03 | 杭州中天微系统有限公司 | 在可信模式与非可信模式之间互相切换的处理器 |
| CN107273765A (zh) * | 2017-05-12 | 2017-10-20 | 杭州中天微系统有限公司 | 基于双虚拟内核机制的处理器 |
| CN107395452A (zh) * | 2017-06-22 | 2017-11-24 | 重庆大学 | 一种利用软硬件协同技术提高WebServer的HTTPS应用性能的方法 |
| CN108416215A (zh) * | 2018-03-28 | 2018-08-17 | 北京润信恒达科技有限公司 | 一种检测系统异常的方法及装置 |
| CN108734007A (zh) * | 2017-04-13 | 2018-11-02 | 中国移动通信集团上海有限公司 | 一种监控应用程序的处理方法及装置 |
| CN109766165A (zh) * | 2018-11-22 | 2019-05-17 | 海光信息技术有限公司 | 一种内存访问控制方法、装置、内存控制器及计算机系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012173906A2 (en) * | 2011-06-13 | 2012-12-20 | Microsoft Corporation | Threat level assessment of applications |
| CN103150509A (zh) * | 2013-03-15 | 2013-06-12 | 长沙文盾信息技术有限公司 | 一种基于虚拟执行的病毒检测系统 |
| CN104318182A (zh) * | 2014-10-29 | 2015-01-28 | 中国科学院信息工程研究所 | 一种基于处理器安全扩展的智能终端隔离系统及方法 |
| CN104866407A (zh) * | 2015-06-23 | 2015-08-26 | 山东中孚信息产业股份有限公司 | 一种虚拟机环境下的监控系统及监控方法 |
-
2015
- 2015-12-22 CN CN201510961044.5A patent/CN105488388A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012173906A2 (en) * | 2011-06-13 | 2012-12-20 | Microsoft Corporation | Threat level assessment of applications |
| CN103150509A (zh) * | 2013-03-15 | 2013-06-12 | 长沙文盾信息技术有限公司 | 一种基于虚拟执行的病毒检测系统 |
| CN104318182A (zh) * | 2014-10-29 | 2015-01-28 | 中国科学院信息工程研究所 | 一种基于处理器安全扩展的智能终端隔离系统及方法 |
| CN104866407A (zh) * | 2015-06-23 | 2015-08-26 | 山东中孚信息产业股份有限公司 | 一种虚拟机环境下的监控系统及监控方法 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106502924B (zh) * | 2016-10-27 | 2020-02-07 | 深圳创维数字技术有限公司 | 一种内存优化方法及系统 |
| CN106502924A (zh) * | 2016-10-27 | 2017-03-15 | 深圳创维数字技术有限公司 | 一种内存优化方法及系统 |
| CN106603487A (zh) * | 2016-11-04 | 2017-04-26 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法 |
| CN106603487B (zh) * | 2016-11-04 | 2020-05-19 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法 |
| CN106599717B (zh) * | 2016-12-01 | 2019-09-06 | 杭州中天微系统有限公司 | 数据处理器 |
| CN106599717A (zh) * | 2016-12-01 | 2017-04-26 | 杭州中天微系统有限公司 | 数据处理器 |
| CN106815494B (zh) * | 2016-12-28 | 2020-02-07 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现应用程序安全认证的方法 |
| CN106909835B (zh) * | 2016-12-28 | 2020-02-07 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现内核完整性度量的方法 |
| CN106909835A (zh) * | 2016-12-28 | 2017-06-30 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现内核完整性度量的方法 |
| CN106815494A (zh) * | 2016-12-28 | 2017-06-09 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现应用程序安全认证的方法 |
| CN108734007A (zh) * | 2017-04-13 | 2018-11-02 | 中国移动通信集团上海有限公司 | 一种监控应用程序的处理方法及装置 |
| CN107273765A (zh) * | 2017-05-12 | 2017-10-20 | 杭州中天微系统有限公司 | 基于双虚拟内核机制的处理器 |
| CN107273765B (zh) * | 2017-05-12 | 2020-06-16 | 杭州中天微系统有限公司 | 基于双虚拟内核机制的处理器 |
| CN107229882A (zh) * | 2017-05-27 | 2017-10-03 | 杭州中天微系统有限公司 | 在可信模式与非可信模式之间互相切换的处理器 |
| CN107229882B (zh) * | 2017-05-27 | 2020-09-15 | 杭州中天微系统有限公司 | 在可信模式与非可信模式之间互相切换的处理器 |
| CN107395452A (zh) * | 2017-06-22 | 2017-11-24 | 重庆大学 | 一种利用软硬件协同技术提高WebServer的HTTPS应用性能的方法 |
| CN108416215A (zh) * | 2018-03-28 | 2018-08-17 | 北京润信恒达科技有限公司 | 一种检测系统异常的方法及装置 |
| CN109766165A (zh) * | 2018-11-22 | 2019-05-17 | 海光信息技术有限公司 | 一种内存访问控制方法、装置、内存控制器及计算机系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105488388A (zh) | 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 | |
| Cheng et al. | A lightweight live memory forensic approach based on hardware virtualization | |
| Wang et al. | Numchecker: Detecting kernel control-flow modifying rootkits by using hardware performance counters | |
| CA2990343C (en) | Computer security systems and methods using asynchronous introspection exceptions | |
| US8627478B2 (en) | Method and apparatus for inspecting non-portable executable files | |
| Ge et al. | Sprobes: Enforcing kernel code integrity on the trustzone architecture | |
| Hizver et al. | Real-time deep virtual machine introspection and its applications | |
| RU2723668C1 (ru) | Фильтрация событий для приложений безопасности виртуальных машин | |
| CN105740046B (zh) | 一种基于动态库的虚拟机进程行为监控方法与系统 | |
| US10984096B2 (en) | Systems, methods, and apparatus for detecting control flow attacks | |
| CN104766011A (zh) | 基于主机特征的沙箱检测告警方法和系统 | |
| CN103500308A (zh) | 用于对抗由恶意软件对仿真的检测的系统和方法 | |
| CN111859394B (zh) | 基于tee的软件行为主动度量方法及系统 | |
| CN102663312A (zh) | 一种基于虚拟机的rop攻击检测方法及系统 | |
| CN103310152B (zh) | 基于系统虚拟化技术的内核态Rootkit检测方法 | |
| CN103218561B (zh) | 一种保护浏览器的防篡改方法和装置 | |
| CN106909835B (zh) | 一种基于cpu时空隔离机制实现内核完整性度量的方法 | |
| CN105184169A (zh) | Windows操作环境下基于插桩工具的漏洞检测方法 | |
| CN110737888B (zh) | 虚拟化平台操作系统内核数据攻击行为检测方法 | |
| Lusky et al. | Sandbox detection using hardware side channels | |
| Bravo et al. | Proactive detection of kernel-mode rootkits | |
| Lamps et al. | WinWizard: Expanding Xen with a LibVMI intrusion detection tool | |
| US20180226136A1 (en) | System management mode test operations | |
| Jia et al. | Defending return‐oriented programming based on virtualization techniques | |
| Kumara et al. | Virtual machine introspection based spurious process detection in virtualized cloud computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160413 |