[发明专利]一种用于收集和截获计算机内存行为的蜜罐机制及其方法

说明书

技术领域

本发明涉及的是一种计算机行为监视领域的机制，尤其是一种用于收集和截获计算机内存行为的蜜罐机制及其方法。

背景技术

蜜罐技术根据交互的程度分为高交互蜜罐和低交互蜜罐，低交互蜜罐通过模拟操作系统和网络服务部署蜜罐，虽然部署简单，但是由于模拟程度有限，获取的信息不足并且容易被识破。而高交互蜜罐提供了完全真实的操作系统和网络服务，可以获得非常丰富的攻击信息，但是潜在的风险和部署的难度非常高。目前高交互蜜罐可以通过虚拟化技术实现来观察蜜罐中的状态变化。这涉及到计算机的动态分析技术，目前基于虚拟化技术的动态分析只能在事先部署好的虚拟化环境中执行。

计算机分析技术分为动态分析和静态分析。静态分析的目标是源代码，通过分析源代码的语义来判断其行为，当前的代码加壳和虚拟化执行技术大大限制了静态分析的有效性。动态分析可以解决静态分析的问题，它通过分析一个运行中的系统直接获取其行为。目前动态分析的途径可以是分析系统调用行为、内核API调用行为以及监视进程间的交互和模块调用情况等。但是一个具有内核权限的进程可以绕过系统调用，使用DKOM技术实现自己的目的。由于该方法直接修改操作系统的内核数据，普通基于内核的监视方法虽然可以观察到内存的改变，但是无法判断其来源。目前使用指令级别的分析能够解决问题，即使用类似于QEMU的虚拟机，在客户虚拟机指令被翻译成短码的过程中，对计算机运行的每一条指令进行快速分析，得知当前指令将要修改的内存位置和修改的具体内容。但是这类方法具有非常低的灵活性和效率，即无法对一个运行在真实硬件上的操作系统使用指令级别的分析技术获得一个进程的内存操作行为。

使用内存虚拟化技术可以在对用户操作系统的内存地址转换，内存读写执行权限以及TLB缓存进行完全的管理。目前有完全使用软件虚拟化的影子页表技术和基于硬件虚拟化的IntelVT的EPT技术和AMD V的RVI(NPT)技术。基于硬件虚拟化实现的优点是可以完全独立于目标操作系统，由硬件直接提供内存虚拟化功能的支持，相对于软件虚拟化方法更加简单和高效。

发明内容

针对现有技术在计算机监视领域的不足，本发明提供一种用于收集和截获计算机内存行为的蜜罐机制及其方法，采用蜜罐的基本思路在内存关键区域中部署蜜罐，监视所有修改蜜罐中内存的进程，使用非指令级别监视的方法，解决了目前基于指令级别对内存行为分析的局限性。

本发明计算机蜜罐实现机制是无法绕过的可靠的。与传统的部署在网络环境中的外部蜜罐不同，内存蜜罐是一种在硬件级别监视计算机内存活动的蜜罐，利用硬件虚拟化技术可以将其部署在任何真实的操作系统中，也可以作为虚拟机软件的一部分监视虚拟系统的内存活动。内存活动包括对内存中数据结构的改动和对代码的改动。本发明由于其部署的灵活性及关注底层的事件，可以作为高交互蜜罐部署在蜜网中，也可以直接监视恶意程序对操作系统内核的攻击。由于蜜罐在硬件级别监视，任何绕过操作系统内核，直接修改内存的行为也能够被内存蜜罐捕捉到，只要该程序修改了蜜罐监视的内存区域。内存蜜罐精确地记录了在蜜罐中的进程活动，包括每个进程对蜜罐精确到字节的修改情况，进程被蜜罐捕捉到时的运行状态和运行快照，以及进程的详细信息。还可以对获得的进程运行快照进行进一步的静态分析。

本发明的技术方案是：一种用于收集和截获计算机内存行为的蜜罐机制，包括内存虚拟化模块、蜜罐模块、内省模块、控制模块和蜜罐记录模块；

所述内存虚拟化模块用于控制虚拟机内存操作权限，包括二级地址转换功能、和在地址转换过程中的读写及执行权限的控制，在发生违反读、写或执行权限的事件时，将当前CPU的控制流转到蜜罐模块的事件处理函数中，在函数返回后，恢复CPU的正常运行；

所述蜜罐模块由多个可配置的独立蜜罐个体组成，每个蜜罐个体对应操作系统中的一张内存页，即成为蜜罐页；蜜罐模块以蜜罐页为单位，在系统运行时监视多个核中的各个进程对蜜罐区域的精确修改情况，并由位图表示；

所述内省模块在蜜罐模块收集信息的同时，收集相关的进程详细信息和进程当时完整的运行时状态；

所述控制模块提供外部控制接口，并将控制命令信号转发到蜜罐模块对应的控制接口中，用于设置蜜罐模块监视的内存区域，启动、停止和重置蜜罐功能；

所述蜜罐记录模块收集蜜罐模块和內省模块提交的数据，记录每个进入蜜罐进程的完整行为。