-
公开(公告)号:CN107515778B
公开(公告)日:2020-12-18
申请号:CN201710744222.8
申请日:2017-08-25
Applicant: 武汉大学
Abstract: 本发明涉及一种基于上下文感知的起源追踪方法及系统。针对APT攻击多阶段持续时间长、渗透能力强、隐蔽性好的问题,该方案利用虚拟化技术透明的收集目标机器中的系统事件和网络事件,通过上下文感知连接这些事件,向攻击调查展现全局视角,从而实现有效的攻击起源追踪。该方案包括三个模块,事件收集模块透明的收集目标内存中的系统操作状态和网络操作状态,日志处理模块根据系统操作状态和网络操作状态,基于事件对象生成日志条目,起源追踪模块读取日志文件,基于共享特征关联日志条目生成全局视角提供给攻击调查,支持对可疑实体如进程、文件或套接字的查询。
-
公开(公告)号:CN107515778A
公开(公告)日:2017-12-26
申请号:CN201710744222.8
申请日:2017-08-25
Applicant: 武汉大学
Abstract: 本发明涉及一种基于上下文感知的起源追踪方法及系统。针对APT攻击多阶段持续时间长、渗透能力强、隐蔽性好的问题,该方案利用虚拟化技术透明的收集目标机器中的系统事件和网络事件,通过上下文感知连接这些事件,向攻击调查展现全局视角,从而实现有效的攻击起源追踪。该方案包括三个模块,事件收集模块透明的收集目标内存中的系统操作状态和网络操作状态,日志处理模块根据系统操作状态和网络操作状态,基于事件对象生成日志条目,起源追踪模块读取日志文件,基于共享特征关联日志条目生成全局视角提供给攻击调查,支持对可疑实体如进程、文件或套接字的查询。
-
公开(公告)号:CN107608756A
公开(公告)日:2018-01-19
申请号:CN201710738034.4
申请日:2017-08-24
Applicant: 武汉大学
Abstract: 本发明公开一种基于CPU硬件特性的虚拟机自省触发方法及系统,包括三个模块:分别是VMFUNC感知模块、参数传递模块、虚拟机自省启动模块。首先在对用户空间执行VMFUNC的情况进行监控,在虚拟机管理器中通过重载后的RDTSC模拟程序感知扩展页表指针值的变化;然后,将上一步获得的扩展页表指针值与用户Domain ID写入内存缓冲区中,触发一个虚拟中断,将控制权交与虚拟机自省启动模块;最后,Domain0解析内存中的信息,将参数传入虚拟机自省程序即可启动监控程序。本发明克服了以往虚拟机自省程序常驻带来的大量资源消耗,同时通过页表切换避免虚拟机自省程序执行中断虚拟机运行的现象,提高了VM执行的效率。
-
公开(公告)号:CN107608756B
公开(公告)日:2020-10-13
申请号:CN201710738034.4
申请日:2017-08-24
Applicant: 武汉大学
Abstract: 本发明公开一种基于CPU硬件特性的虚拟机自省触发方法及系统,包括三个模块:分别是VMFUNC感知模块、参数传递模块、虚拟机自省启动模块。首先在对用户空间执行VMFUNC的情况进行监控,在虚拟机管理器中通过重载后的RDTSC模拟程序感知扩展页表指针值的变化;然后,将上一步获得的扩展页表指针值与用户Domain ID写入内存缓冲区中,触发一个虚拟中断,将控制权交与虚拟机自省启动模块;最后,Domain0解析内存中的信息,将参数传入虚拟机自省程序即可启动监控程序。本发明克服了以往虚拟机自省程序常驻带来的大量资源消耗,同时通过页表切换避免虚拟机自省程序执行中断虚拟机运行的现象,提高了VM执行的效率。
-
-
-
Search Results
4
records
(took 0.012 seconds)
