| 论文创新点 | 第5-13页 |
| 摘要 | 第13-15页 |
| Abstract | 第15-17页 |
| 第一章 绪论 | 第18-51页 |
| 1.1 研究背景及意义 | 第18-21页 |
| 1.2 系统虚拟化技术及发展历程 | 第21-25页 |
| 1.2.1 系统虚拟化技术简介 | 第21-23页 |
| 1.2.2 发展历程 | 第23-25页 |
| 1.3 虚拟机自省VMI | 第25-36页 |
| 1.3.1 语义鸿沟问题 | 第26-28页 |
| 1.3.2 利用操作系统抽象层知识消除语义鸿沟 | 第28-33页 |
| 1.3.3 利用系统硬件接口知识隐式推导客户机状态 | 第33-34页 |
| 1.3.4 规避“语义鸿沟”问题 | 第34-35页 |
| 1.3.5 消除语义鸿沟的自动化工具 | 第35-36页 |
| 1.4 系统虚拟化与安全 | 第36-48页 |
| 1.4.1 基于系统虚拟化的安全研究 | 第36-43页 |
| 1.4.2 系统虚拟化面临的新的威胁 | 第43-48页 |
| 1.5 论文的主要研究内容 | 第48-49页 |
| 1.6 论文的组织结构安排 | 第49-51页 |
| 第二章 基于领域特定语言的虚拟机自省语言设计及实现 | 第51-84页 |
| 2.1 研究背景 | 第51-53页 |
| 2.2 虚拟机自省策略描述语言VmiDs1设计 | 第53-65页 |
| 2.2.1 VMI底层技术分类 | 第53-58页 |
| 2.2.2 虚拟机自省领域特定语言VmiDs1设计 | 第58-65页 |
| 2.3 VmiDs1原型系统实现 | 第65-78页 |
| 2.3.1 体系结构设计 | 第66-68页 |
| 2.3.2 VmiDs1执行环境 | 第68-73页 |
| 2.3.3 KVM中的实现 | 第73-78页 |
| 2.4 VmiDs1用例 | 第78-80页 |
| 2.5 实验及分析 | 第80-83页 |
| 2.6 本章小结 | 第83-84页 |
| 第三章 基于系统虚拟化的软件用户态行为控制技术研究 | 第84-107页 |
| 3.1 研究动机 | 第84-85页 |
| 3.2 关键技术 | 第85-89页 |
| 3.2.1 虚拟机自省技术 | 第85-87页 |
| 3.2.2 动态二进制插桩技术 | 第87-89页 |
| 3.3 系统设计 | 第89-94页 |
| 3.3.1 系统概览 | 第89-90页 |
| 3.3.2 安全策略 | 第90-94页 |
| 3.4 系统实现 | 第94-97页 |
| 3.4.1 进程信息获取 | 第95页 |
| 3.4.2 管理目标进程 | 第95页 |
| 3.4.3 控制目标进程系统调用 | 第95-96页 |
| 3.4.4 响应机制 | 第96-97页 |
| 3.5 实验与评估 | 第97-102页 |
| 3.5.1 应用基线测量 | 第97-98页 |
| 3.5.2 有效性测试 | 第98-99页 |
| 3.5.3 性能评估 | 第99-102页 |
| 3.6 相关工作 | 第102-105页 |
| 3.6.1 基于VMM的内部安全监控 | 第102-103页 |
| 3.6.2 基于VMM的外部(out-of-box)安全监控 | 第103-104页 |
| 3.6.3 基于VMM的沙盒 | 第104-105页 |
| 3.7 本章小节 | 第105-107页 |
| 第四章 基于影子内存的软件数据保护技术研究 | 第107-125页 |
| 4.1 研究动机 | 第107-108页 |
| 4.2 威胁模型 | 第108-109页 |
| 4.3 系统设计 | 第109-113页 |
| 4.3.1 系统概览 | 第109-110页 |
| 4.3.2 基于VMM的软件数据保护机制 | 第110-113页 |
| 4.4 系统实现 | 第113-118页 |
| 4.4.1 影子内存机制实现 | 第114-116页 |
| 4.4.2 目标文件保护机制实现 | 第116页 |
| 4.4.3 系统调用控制 | 第116-118页 |
| 4.5 实验及分析 | 第118-123页 |
| 4.5.1 应对攻击的有效性 | 第118-119页 |
| 4.5.2 效率分析 | 第119-123页 |
| 4.6 本章小结 | 第123-125页 |
| 第五章 基于系统虚拟化的软件内核态行为监控 | 第125-145页 |
| 5.1 研究动机 | 第125-127页 |
| 5.2 威胁模型 | 第127-128页 |
| 5.3 系统设计 | 第128-133页 |
| 5.3.1 系统体系结构 | 第128-129页 |
| 5.3.2 目标进程上下文中的内核行为控制 | 第129-130页 |
| 5.3.3 应用程序可感知的内核行为控制 | 第130-131页 |
| 5.3.4 安全策略 | 第131-133页 |
| 5.4 系统实现 | 第133-135页 |
| 5.4.1 获取目标虚拟机中操作系统相关信息 | 第133页 |
| 5.4.2 内核只读内存区域的保护 | 第133-134页 |
| 5.4.3 指令截获 | 第134-135页 |
| 5.4.4 影子内存生成及相关页表操作 | 第135页 |
| 5.5 实验及分析 | 第135-141页 |
| 5.5.1 有效性分析:抵御内核态rootkit攻击 | 第136-138页 |
| 5.5.2 效率分析 | 第138-141页 |
| 5.6 相关工作 | 第141-143页 |
| 5.6.1 内核行为控制 | 第141-142页 |
| 5.6.2 基于VMM的内核完整性保护 | 第142-143页 |
| 5.7 本章小节 | 第143-145页 |
| 第六章 结束语 | 第145-147页 |
| 6.1 论文的主要贡献 | 第145-146页 |
| 6.2 进一步研究的方向 | 第146-147页 |
| 参考文献 | 第147-161页 |
| 攻博期间发表的论文和从事的科研工作 | 第161-163页 |
| 致谢 | 第163页 |
