[发明专利]基于内存活动的边信道攻击取证系统及方法有效
| 申请号: | 201510915411.8 | 申请日: | 2015-12-11 |
| 公开(公告)号: | CN105550574B | 公开(公告)日: | 2018-05-25 |
| 发明(设计)人: | 伏晓;杨瑞;骆斌 | 申请(专利权)人: | 南京大学 |
| 主分类号: | G06F21/52 | 分类号: | G06F21/52;G06F21/56 |
| 代理公司: | 南京众联专利代理有限公司 32206 | 代理人: | 顾进 |
| 地址: | 210093*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于内存活动的边信道攻击取证系统及基于该系统实现的取证方法,系统包括监控模块、识别模块、验证模块和证据数据中心。本发明利用硬件虚拟化技术,实现客户虚拟机的内存页面实时监控,并通过基于时间的side‑channel攻击的内存活动特征,利用基于内存活动特征的识别算法将基于时间的side‑channel攻击识别出来,并在静态分析的辅助下二次确认攻击的存在并提取攻击的存在证据,实现重要实时证据和存在证据的获取和分析,保证了获取证据的有效性和可信度。本发明能够在支持硬件虚拟化的虚拟化平台上部署,具有很高的透明性,不会对虚拟机平台造成额外的负荷和运行干扰。 | ||
| 搜索关键词: | 内存 证据 边信道攻击 硬件虚拟化 活动特征 取证系统 攻击 客户虚拟机 虚拟化平台 虚拟机平台 二次确认 攻击识别 监控模块 静态分析 内存页面 实时监控 数据中心 系统实现 验证模块 可信度 算法 取证 部署 分析 保证 | ||
【主权项】:
1.基于内存活动的边信道攻击取证系统,其特征在于:包括监控模块、识别模块、验证模块和证据数据中心;所述监控模块用于对系统底层内存活动进行实时监控,提取该内存活动的相关信息生成内存活动日志;所述识别模块按照进程区分内存活动日志,查找重复访问同一内存页面的进程,获得该进程访问的内存活动记录,当该进程满足发送可疑进程和/或接收可疑进程条件,并且每次密集活动访问页面集合都一致时则判断该进程为可疑进程,最终得到可疑进程序列;所述发送可疑进程条件包括每次密集活动时间间隔为正常时间间隔的整数倍,所述接收可疑进程条件包括每次密集活动时间间隔一致;所述验证模块在识别模块识别出可疑进程之后,保存当前客户虚拟机的内存快照,通过内存快照对可疑进程进行静态的二进制代码分析确认其是否为恶意进程,将恶意进程的内存快照和内存活动记录提取出来交由证据数据中心保存;所述证据数据中心用于记录监控模块获得的原始内存活动记录、经过识别模块过滤的可疑进程以及经过验证模块验证的恶意进程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京大学,未经南京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510915411.8/,转载请声明来源钻瓜专利网。
