CN106096455A - 一种主机内核数据还原保护方法 - Google Patents
一种主机内核数据还原保护方法 Download PDFInfo
- Publication number
- CN106096455A CN106096455A CN201610637293.3A CN201610637293A CN106096455A CN 106096455 A CN106096455 A CN 106096455A CN 201610637293 A CN201610637293 A CN 201610637293A CN 106096455 A CN106096455 A CN 106096455A
- Authority
- CN
- China
- Prior art keywords
- kernel
- data
- kernel data
- assembly
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种主机内核数据还原保护方法,分为两个部分,分别为:建立内核数据还原方法***和设计内核数据主动保护原型***,在实现内核数据还原之前,首先需要获取内核数据,并对其进行相应的处理,包括分析及重组排序,并基于内核数据的保护原理,设计一个采用硬件虚拟化的内核数据主动保护原型***:HV_KDAP,HV_KDAP旨在保护内核数据、代码和相关寄存器,防止恶意代码对其进行窜改,并兼容操作***其他功能的正常运行,采用基于内存预先分配的主动内存管理方法,并提供一组用户接口API函数库,供用户在源程序中调用,以满足高可靠***对软件容错的要求,直接利用硬件虚拟化技术实现内核的完整性保护,以扩大该技术的应用范围。
Description
技术领域
本发明涉及内核数据保护技术领域,具体涉及一种主机内核数据还原保护方法。
背景技术
全球范围内的网络互联给人们的生活和工作带来了方便,人们正在享受网络技术带给我们美好生活。但同时某些不法分子利用网络的漏洞非法入侵他人的主机***,有的利用网络盗取他人个人信息,如网上银行账号密码等,对他人财产安全造成了重大威胁。目前我国正在进行大规模的现代化经济建设,需要使用自己的信息安全***来保护自己的网络和信息***,尤其是对于全国性大型计算机网络而言,必须将网络安全和信息安全放在非常重要的地位上。面对这种形势,研究并开发出一种主机内核数据还原保护方法具有重要的意义。
操作***内核是操作***的核心,实现了应用程序访问***资源的接口及其自身的管理功能。多数操作***利用了Ring0和Ring3的协调机制来运行程序。具体来说,应用程序处于用户层,而内核则处于内存中的内核地址空间,内核层的代码可以访问全部内存空间并执行特权指令,用户层的代码则受到限制。然而内核是可以扩展的,应用程序通过加载驱动可以将新的代码加入内核层,从而为恶意代码攻击内核提供了方便。针对这一情况,目前的内核防护技术都建立在虚拟机上,其开销较大,而一般的终端主机没有安装其对应的虚拟机,从而影响其保护范围。
内核防御主要分成2大类,被动防御及主动防御,实现方式和防御功效各有不同。内核的被动防御主要是利用已有的内核模式库,检测当前内核的内存映像是否被修改过,并给出修改的详细记录。内核的主动防御是指假设内核是安全的前提下,检测可能存在攻击的方法。该方法大都借用虚拟机实现攻击检测,但是如何提高虚拟效率,降低其开发难度,实现轻量级的可信计算,并兼顾***安全性及代码可用性等问题有待解决。
发明内容
针对以上问题,本发明提供了一种主机内核数据还原保护方法,利用已有针对内核的攻击知识,形成内核保护区,该保护区能覆盖常见的内核不变量,而不需要内核恶意代码的语义识别,从而可以避免被动防御中的误区,其实现方式独立于已有的开源虚拟机,如XEN和BitVisor,减小了检测器的开销,直接利用硬件虚拟化技术实现内核的完整性保护,可以扩大该技术的应用范围。最后,该技术不仅提供了检测服务,而且支持响应服务,直接拒绝对内核的非法修改,可以有效解决背景技术中的问题。
为了实现上述目的,本发明采用的技术方案如下:一种主机内核数据还原保护方法,分为两个部分,分别为:建立内核数据还原方法***和设计内核数据主动保护原型***。
A、建立内核数据还原方法***如下:
步骤A1、内核数据包的捕获:内核利用通用块层启动I/O操作来请求所请求的数据,每次I/O操作是由一个“块I/O”(简称bio)结构描述,它收集底层组件需要的所有信息以满足所发出的请求,在数据捕获模块中我们正是对***提交的bio数据进行拷贝从而实现对数据的捕获;
步骤A2、数据包分析:通过RTP传输多种不同编码标准的数据,数据包分析的任务就是提取出RTP协议的载荷类型字段并进行分析,从而获得数据包中所含数据的编码标准;
步骤A3、数据重排序:RTP首部含有两个可用于数据包重排序的字段,序列号字段和时间戳字段,这里用二元组(S,T)表示,通过比较二元组(S,T),即可对所捕获到的一组数据包实现RTP重排序;
步骤A4、内核数据保存及还原:采用基于内存预先分配的主动内存管理方法,并提供一组用户接口API函数库,供用户在源程序中调用,以满足高可靠***对软件容错的要求,称之为用户层任务恢复中间件,在内核映像bss段开辟一块较大的内存,将任务恢复过程中内存地址可能变化的对象统一进行分配和释放,在设置检查点时,将主动内存管理中使用的数据空间复制到持久存储器,在任务恢复时再原样装载到***内存,实现内核数据的还原;
B、设计内核数据主动保护原型***:
步骤B1、基于内核数据的保护原理,设计一个采用硬件虚拟化的内核数据主动保护原型***:HV_KDAP;HV_KDAP旨在保护内核数据、代码和相关寄存器,防止恶意代码对其进行窜改,并兼容操作***其他功能的正常运行,HV_KDAP包括4个模块:AddrFounder组件用于初始化地址表AddrTable;Configurer组件用于初始化内存对象的PTE属性及VMCS设置;VMCheck组件用于决定如何处理,包括转发正常操作及调用;VMProtect组件执行保护;
步骤B2、在***初始化阶段,由AddrFounder组件获得内存对象的地址段,并保存入地址表AddrTable;而后Configurer组件设置VMCS以配置IntelVT监控框架,同时设置内存对象的PTE属性;
步骤B3、统运行过程中,VMCheck组件和VMProtect组件对保护对象协同提供保护,VMCheck组件处理VM Exit事件,转发正常操作,对恶意操作调用VMProtect组件,VMProtect组件检查操作所属模块以及所改写的内核对象,向用户报告窜改操作并将恶意模块卸载恢复***运行。
根据上述方案,数据捕获与数据传输分离在内核空间和用户空间来完成,缓存存在于内核模块中的缓存,它的设置只决定于用户进程与内核模块传递数据的速度。
根据上述方案,所述二元组(S,T)的序列号字段S表示数据分组的顺序,每发送一个RTP数据分组,序列号自动加1,时间戳字段T标识RTP数据包中的第一个字节数据的抽样时刻。
根据上述方案,所述步骤B1中VMCS 的设置方法如下:Configurer 组件中 VMCS的设置是关键,决定各种监控对象的陷入,利用Intel VT框架监控内核对象的修改主要是设置VMCS的控制域VM-execution control,其中内存对象的监控还包括PTE属性设置、处理器单步执行及单步调试异常捕获。
根据上述方案,所述控制域VM-execution control提供了2个相关控制位对CRO寄存器的访问:CRO Guest/Host Mask与CRO Read Shadow,为监控对CRO.WP的修改,将CROGuest/Host Mask和Read Shadow都置为0X00010000。
根据上述方案,所述VM-execution control的控制位Use MSR Bitmaps 决定是否使用位图MSR Bitmaps监控模式指定寄存器的访问,若置为0,则所有的模式指定寄存器访问都引发VM Exit,若置为1,则Guest OS中的相关处理例程将引发VM Exit。
根据上述方案,设置监控内存对象包括内存对象PTE属性的设置和VMCS设置,改写PTE的R/W位即可将对应页面设为只读属性,而VM-execution的子域“Exception”Bitmaps设置对Guest OS中异常事件的监控,对应位置1的异常将引发 VM Exit;VMCS还提供了PFEC_MASK和PFEC_MATCH用于限定页面异常监控的范围,是否引发VM Exit将由PFEC、PFEC_MASK和 PFEC_MATCH 共同决定。
根据上述方案,所述步骤B3中,监测到内核对象修改后,控制流程转入VMM提供的VM Exit处理例程,Exit处理例程负责阻止修改操作,以及对正常操作情况进行转发,保护对象中定义了保护类型MainType和子类型 SubType;MianType有2种类型:PROTECTED_OBJ和PTECONFLICT_OBJ;PTECONFLICT_OBJ是指与保护对象处于同一页面, 但并非禁止修改的区域;子类型标识用于说明该保护对象的具体类型。
本发明的有益效果:
(1)本发明数据捕获采用了堆积驱动程序技术;为了提高可靠性并降低性能开销,采用了将数据捕获和数据传输分离在内核空间和用户空间的软件结构方案,能高效地进行了内核态到用户态的信息交互;***采用了2级缓存的结构,并在用户空间设置了动态缓存,在保证数据可靠性的前提下减少了内存资源占用;并基于内存预先分配的主动内存管理,解决任务恢复时数据内存地址变化的问题;建立***内核对象池,实现支持多任务之间同步和通信的内核对象的恢复,基于检查点的任务恢复实现方案能正确保存任务关键信息及保证任务恢复的正确性和一致性;
(2)本发明利用已有针对内核的攻击知识,形成内核保护区,该保护区能覆盖常见的内核不变量,而不需要内核恶意代码的语义识别,从而可以避免被动防御中的误区,其实现方式独立于已有的开源虚拟机,如XEN和BitVisor,减小了检测器的开销,直接利用硬件虚拟化技术实现内核的完整性保护,可以扩大该技术的应用范围。最后,该技术不仅提供了检测服务,而且支持响应服务,直接拒绝对内核的非法修改。
附图说明
图1为本发明的流程图。
图2为本发明数据恢复还原的原理图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1和图2所示,本发明提供了一种主机内核数据还原保护方法,分为两个部分,分别为:建立内核数据还原方法***和设计内核数据主动保护原型***。
A、建立内核数据还原方法***如下:
在实现内核数据还原之前,首先需要获取内核数据,并对其进行相应的处理,包括分析及重组排序,该还原方法首先进行内核数据包的捕获,内核利用通用块层启动I/O操作来请求所请求的数据,每次I/O操作是由一个“块I/O”(简称bio)结构描述,它收集底层组件需要的所有信息以满足所发出的请求,在数据捕获模块中我们正是对***提交的bio数据进行拷贝从而实现对数据的捕获;数据捕获具体方法实现方法为:首先由通用块层向我们的I/O捕获与标块传递,所谓堆积驱动程序就是一个类似于软件RAID的驱动程序,它可以修改bi_bdev成员而将请求重定向给其他能处理该请求的设备;然后定义make_request函数对上层传下来的bio修改了bi_bdev成员,并将请求重定向到真实的物理设备,重新提交给通用块设备层处理;bio被通用块设备层重定向给bi_bdev指向的物理设备对应的驱动程序处理;实际的磁盘驱动程序完成写磁盘操作;实际磁盘驱动程序向上层报告I/O成功与否的状态;当报告成功之后则将bio数据捕获,并加上元数据传输到远程服务器保存,用于恢复,若失败则跳过;数据捕获与数据传输分离在内核空间和用户空间来完成,缓存存在于内核模块中的缓存,它的设置只决定于用户进程与内核模块传递数据的速度。
然后对数据包进行分析:通过RTP传输多种不同编码标准的数据,数据包分析的任务就是提取出RTP协议的载荷类型字段并进行分析,从而获得数据包中所含数据的编码标准;并进行数据重排序:RTP首部含有两个可用于数据包重排序的字段,序列号字段和时间戳字段,这里用二元组(S,T)表示,通过比较二元组(S,T),即可对所捕获到的一组数据包实现RTP重排序;二元组(S,T)的序列号字段S表示数据分组的顺序,每发送一个RTP数据分组,序列号自动加1,时间戳字段T标识RTP数据包中的第一个字节数据的抽样时刻。
参照图2,内核数据进行保存及还原:采用基于内存预先分配的主动内存管理方法,并提供一组用户接口API函数库,供用户在源程序中调用,以满足高可靠***对软件容错的要求,称之为用户层任务恢复中间件,在内核映像bss段开辟一块较大的内存,将任务恢复过程中内存地址可能变化的对象统一进行分配和释放,在设置检查点时,将主动内存管理中使用的数据空间复制到持久存储器,在任务恢复时再原样装载到***内存,实现内核数据的还原。
B、设计内核数据主动保护原型***:
步骤B1、基于内核数据的保护原理,设计一个采用硬件虚拟化的内核数据主动保护原型***:HV_KDAP;HV_KDAP旨在保护内核数据、代码和相关寄存器,防止恶意代码对其进行窜改,并兼容操作***其他功能的正常运行,HV_KDAP包括4个模块:AddrFounder组件用于初始化地址表AddrTable;Configurer组件用于初始化内存对象的PTE属性及VMCS设置;VMCheck组件用于决定如何处理,包括转发正常操作及调用;VMProtect组件执行保护;VMCS的设置方法如下:Configurer组件中VMCS的设置是关键,决定各种监控对象的陷入,利用Intel VT框架监控内核对象的修改主要是设置VMCS的控制域VM-execution control,其中内存对象的监控还包括PTE属性设置、处理器单步执行及单步调试异常捕获;控制域VM-execution control提供 2 个相关控制位对CRO寄存器的访问:CRO Guest/Host Mask与CRO Read Shadow,为监控对CRO.WP的修改,将CRO Guest /Host Mask和Read Shadow都置为0X00010000;VM-execution control的控制位Use MSR Bitmaps决定是否使用位图MSRBitmaps监控模式指定寄存器的访问,若置为 0,则所有的模式指定寄存器访问都引发VMExit,若置为1,则Guest OS中的相关处理例程将引发VM Exit;
步骤B2、在***初始化阶段,由AddrFounder组件获得内存对象的地址段,并保存入地址表AddrTable;而后Configurer组件设置VMCS以配置IntelVT监控框架,同时设置内存对象的PTE属性;设置监控内存对象包括内存对象PTE属性的设置和VMCS设置,改写 PTE 的R/W 位即可将对应页面设为只读属性,而VM-execution的子域“Exception”Bitmaps设置对Guest OS中异常事件的监控,对应位置1的异常将引发 VM Exit;VMCS还提供了PFEC_MASK和PFEC_MATCH用于限定页面异常监控的范围,是否引发VM Exit将由PFEC、PFEC_MASK和PFEC_MATCH 共同决定;
步骤B3、统运行过程中,VMCheck组件和VMProtect组件对保护对象协同提供保护,VMCheck组件处理VM Exit事件,转发正常操作,对恶意操作调用VMProtect组件,VMProtect组件检查操作所属模块以及所改写的内核对象,向用户报告窜改操作,并将恶意模块卸载恢复***运行;当监测到内核对象被修改后,控制流程转入VMM提供的VM Exit处理例程,Exit处理例程负责阻止修改操作,以及对正常操作情况进行转发,保护对象中定义了保护类型MainType和子类型SubType;MianType有2种类型: PROTECTED_OBJ和PTECONFLICT_OBJ;PTECONFLICT_OBJ是指与保护对象处于同一页面,但并非禁止修改的区域;子类型标识用于说明该保护对象的具体类型。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种主机内核数据还原保护方法,其特征在于,分为两个部分,分别为:建立内核数据还原方法***和设计内核数据主动保护原型***,
A、建立内核数据还原方法***如下:
步骤A1、内核数据包的捕获:内核利用通用块层启动I/O操作来请求所请求的数据,每次I/O操作是由一个“块I/O”(简称bio)结构描述,它收集底层组件需要的所有信息以满足所发出的请求,在数据捕获模块中我们正是对***提交的bio数据进行拷贝从而实现对数据的捕获;
步骤A2、数据包分析:通过RTP传输多种不同编码标准的数据,数据包分析的任务就是提取出RTP协议的载荷类型字段并进行分析,从而获得数据包中所含数据的编码标准;
步骤A3、数据重排序:RTP首部含有两个可用于数据包重排序的字段,序列号字段和时间戳字段,这里用二元组(S,T)表示,通过比较二元组(S,T),即可对所捕获到的一组数据包实现RTP重排序;
步骤A4、内核数据保存及还原:采用基于内存预先分配的主动内存管理方法,并提供一组用户接口API函数库,供用户在源程序中调用,以满足高可靠***对软件容错的要求,称之为用户层任务恢复中间件,在内核映像bss段开辟一块较大的内存,将任务恢复过程中内存地址可能变化的对象统一进行分配和释放,在设置检查点时,将主动内存管理中使用的数据空间复制到持久存储器,在任务恢复时再原样装载到***内存,实现内核数据的还原;
B、设计内核数据主动保护原型***:
步骤B1、基于内核数据的保护原理,设计一个采用硬件虚拟化的内核数据主动保护原型***:HV_KDAP;HV_KDAP旨在保护内核数据、代码和相关寄存器,防止恶意代码对其进行窜改,并兼容操作***其他功能的正常运行,HV_KDAP包括4个模块: AddrFounder组件用于初始化地址表AddrTable;Configurer组件用于初始化内存对象的PTE属性及VMCS设置;VMCheck组件用于决定如何处理,包括转发正常操作及调用;VMProtect组件执行保护;
步骤B2、在***初始化阶段,由AddrFounder组件获得内存对象的地址段,并保存入地址表AddrTable;而后Configurer组件设置VMCS以配置IntelVT监控框架,同时设置内存对象的PTE属性;
步骤B3、***运行过程中,VMCheck组件和VMProtect组件对保护对象协同提供保护,VMCheck组件处理VM Exit事件,转发正常操作,对恶意操作调用VMProtect组件,VMProtect组件检查操作所属模块以及所改写的内核对象,向用户报告窜改操作并将恶意模块卸载恢复***运行。
2.根据权利要求1所述的一种主机内核数据还原保护方法,其特征在于,数据捕获与数据传输分离在内核空间和用户空间来完成,缓存存在于内核模块中的缓存,它的设置只决定于用户进程与内核模块传递数据的速度。
3.根据权利要求1所述的一种主机内核数据还原保护方法,其特征在于,所述二元组(S,T)的序列号字段S表示数据分组的顺序,每发送一个RTP数据分组,序列号自动加1,时间戳字段T标识RTP数据包中的第一个字节数据的抽样时刻。
4.根据权利要求1所述的一种主机内核数据还原保护方法,其特征在于,所述步骤B1中VMCS的设置方法如下:Configurer组件中VMCS的设置是关键,决定各种监控对象的陷入,利用Intel VT框架监控内核对象的修改主要是设置VMCS的控制域VM-execution control,其中内存对象的监控还包括PTE属性设置、处理器单步执行及单步调试异常捕获;所述控制域VM-execution control提供 2 个相关控制位对CRO寄存器的访问:CRO Guest/Host Mask与CRO Read Shadow,为监控对CRO.WP 的修改,将CRO Guest/Host Mask和Read Shadow都置为0X00010000;所述VM-execution control的控制位Use MSR Bitmaps决定是否使用位图MSR Bitmaps监控模式指定寄存器的访问,若置为0,则所有的模式指定寄存器访问都引发 VM Exit,若置为1,则Guest OS中的相关处理例程将引发VM Exit;所述设置监控内存对象包括内存对象PTE属性的设置和VMCS设置,改写PTE的R/W位即可将对应页面设为只读属性,而VM-execution的子域“Exception”Bitmaps设置对Guest OS中异常事件的监控,对应位置1的异常将引发 VM Exit;VMCS还提供了PFEC_MASK和PFEC_MATCH用于限定页面异常监控的范围,是否引发VM Exit将由PFEC、PFEC_MASK和 PFEC_MATCH 共同决定。
5.根据权利要求1所述的一种主机内核数据还原保护方法,其特征在于,所述步骤B3中,监测到内核对象修改后,控制流程转入VMM提供的VM Exit处理例程,Exit处理例程负责阻止修改操作,以及对正常操作情况进行转发,保护对象中定义了保护类型MainType和子类型SubType;MianType 有2种类型: PROTECTED_OBJ和PTECONFLICT_OBJ;PTECONFLICT_OBJ是指与保护对象处于同一页面,但并非禁止修改的区域;子类型标识用于说明该保护对象的具体类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610637293.3A CN106096455A (zh) | 2016-08-08 | 2016-08-08 | 一种主机内核数据还原保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610637293.3A CN106096455A (zh) | 2016-08-08 | 2016-08-08 | 一种主机内核数据还原保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106096455A true CN106096455A (zh) | 2016-11-09 |
Family
ID=57453923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610637293.3A Pending CN106096455A (zh) | 2016-08-08 | 2016-08-08 | 一种主机内核数据还原保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106096455A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106934281A (zh) * | 2017-03-30 | 2017-07-07 | 兴华永恒(北京)科技有限责任公司 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
| CN107483287A (zh) * | 2017-08-17 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种自动监测网口数据包收发故障***及方法 |
| CN109086602A (zh) * | 2017-06-13 | 2018-12-25 | ***通信集团四川有限公司 | 针对内核数据修改的拦截方法、装置及计算机存储介质 |
| CN112307469A (zh) * | 2019-07-29 | 2021-02-02 | 北京奇虎科技有限公司 | 入侵内核的防御方法及装置、计算设备、计算机存储介质 |
| CN116166508A (zh) * | 2023-04-18 | 2023-05-26 | 天津市天河计算机技术有限公司 | Io数据分析方法、装置、设备、存储介质及*** |
| CN116342371A (zh) * | 2023-03-24 | 2023-06-27 | 摩尔线程智能科技(北京)有限责任公司 | 用于gpu、二级缓存的方法和gpu、二级缓存 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090067569A (ko) * | 2007-12-21 | 2009-06-25 | (주) 세인트 시큐리티 | 가상화 기법을 이용한 윈도우 커널 보호 시스템 |
| CN101673332A (zh) * | 2009-10-12 | 2010-03-17 | 湖南大学 | 一种基于哈佛体系结构的内核代码保护方法 |
| CN102521531A (zh) * | 2011-11-24 | 2012-06-27 | 华中科技大学 | 基于硬件虚拟化的密码保护*** |
| CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作***内核完整性保护方法 |
-
2016
- 2016-08-08 CN CN201610637293.3A patent/CN106096455A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090067569A (ko) * | 2007-12-21 | 2009-06-25 | (주) 세인트 시큐리티 | 가상화 기법을 이용한 윈도우 커널 보호 시스템 |
| CN101673332A (zh) * | 2009-10-12 | 2010-03-17 | 湖南大学 | 一种基于哈佛体系结构的内核代码保护方法 |
| CN102521531A (zh) * | 2011-11-24 | 2012-06-27 | 华中科技大学 | 基于硬件虚拟化的密码保护*** |
| CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作***内核完整性保护方法 |
Non-Patent Citations (4)
| Title |
|---|
| 傅建明等: "一种采用硬件虚拟化的内核数据主动保护方法", 《四川大学学报(工程科学版)》 * |
| 吴永英等: "基于数据包分析的多媒体信息还原方法研究", 《华中科技大学学报(自然科学版)》 * |
| 李巍等: "一种基于块级的连续数据捕获方法研究", 《计算机研究与发展》 * |
| 胡延苏等: "VxWorks中任务恢复机制的设计与实现", 《空军工程大学学报(自然科学版)》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106934281A (zh) * | 2017-03-30 | 2017-07-07 | 兴华永恒(北京)科技有限责任公司 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
| CN109086602A (zh) * | 2017-06-13 | 2018-12-25 | ***通信集团四川有限公司 | 针对内核数据修改的拦截方法、装置及计算机存储介质 |
| CN107483287A (zh) * | 2017-08-17 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种自动监测网口数据包收发故障***及方法 |
| CN107483287B (zh) * | 2017-08-17 | 2021-07-20 | 郑州云海信息技术有限公司 | 一种自动监测网口数据包收发故障***及方法 |
| CN112307469A (zh) * | 2019-07-29 | 2021-02-02 | 北京奇虎科技有限公司 | 入侵内核的防御方法及装置、计算设备、计算机存储介质 |
| CN116342371A (zh) * | 2023-03-24 | 2023-06-27 | 摩尔线程智能科技(北京)有限责任公司 | 用于gpu、二级缓存的方法和gpu、二级缓存 |
| CN116342371B (zh) * | 2023-03-24 | 2024-05-24 | 摩尔线程智能科技(北京)有限责任公司 | 用于gpu、二级缓存的方法和gpu、二级缓存 |
| CN116166508A (zh) * | 2023-04-18 | 2023-05-26 | 天津市天河计算机技术有限公司 | Io数据分析方法、装置、设备、存储介质及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106096455A (zh) | 一种主机内核数据还原保护方法 | |
| US9825908B2 (en) | System and method to monitor and manage imperfect or compromised software | |
| US8117600B1 (en) | System and method for detecting in-line synchronization primitives in binary applications | |
| US9436603B1 (en) | Detection and mitigation of timing side-channel attacks | |
| Fu et al. | Exterior: Using a dual-vm based external shell for guest-os introspection, configuration, and recovery | |
| Hizver et al. | Real-time deep virtual machine introspection and its applications | |
| KR101931779B1 (ko) | 가상 머신 내부의 파일 접근 모니터링 장치 및 그 방법 | |
| US9870248B2 (en) | Page table based dirty page tracking | |
| US8656222B2 (en) | Method and system for recording a selected computer process for subsequent replay | |
| CN104321748B (zh) | 用于捕捉轻量虚拟机管理器中的错误条件的方法、***和装置 | |
| CN104364768B (zh) | 用于确定运行时间检测控制的状态的方法和*** | |
| Ho et al. | PREC: practical root exploit containment for android devices | |
| CN106201872A (zh) | 一种Android***的运行环境检测方法 | |
| CN103064784A (zh) | 面向Xen环境的运行时内存泄漏检测方法及其实现*** | |
| CN103370715A (zh) | 用于保护虚拟计算环境的***和方法 | |
| CN104715201A (zh) | 一种虚拟机恶意行为检测方法和*** | |
| CN102147843A (zh) | 一种基于内核不变量保护的rootkit入侵检测和***恢复方法 | |
| CN103310152B (zh) | 基于***虚拟化技术的内核态Rootkit检测方法 | |
| CN105938460B (zh) | 存储器管理 | |
| CN105683985B (zh) | 用于虚拟机内省的***、方法及非暂时性计算机可读介质 | |
| CN103886259A (zh) | 基于Xen虚拟化环境的内核级rootkit检测和处理方法 | |
| EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
| CN109597675A (zh) | 虚拟机恶意软件行为检测方法及*** | |
| CN108920253A (zh) | 一种无代理的虚拟机监控***和监控方法 | |
| US10514945B2 (en) | Host-based virtual machine introspection with dynamic guest assistance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161109 |