基于API Hook的进程行为监控系统

来源 :云南大学学报(自然科学版) | 被引量 : 0次 | 上传用户:cw545400
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%.
其他文献
采用单元内半同胞相关法对内蒙古白绒山羊阿尔巴斯型的产绒量、绒厚、毛长、体重、细度与绒伸直长度等六个性状之间的遗传相关进行了估测和分析.结果表明:产绒量与绒厚、绒厚
针对糯扎渡水电站调压井工程区的特点,建立三维仿真模型,根据实测位移分析、BP神经网络和最小残差原理,反演出工程区各岩层弹性模量,并将反演参数导入模型进行三维弹塑性反馈
退耕还草、科学养畜、改善生态环境是临夏县经济可持续发展的重要保障.目前,临夏县在实施退耕还林还草过程中,存在着宣传力度不够,还草形式单一,结构不合理,缺乏后期管护等问
在Terzaghi固结理论和Esrig电渗固结理论的基础上推导真空预压联合电渗法加固软基的二维固结方程,给出了真空预压联合电渗加固过程中超静孔隙水压力的解析解.通过算例,分析了
DNA指纹(DNA fingerprint,DFP)技术是一种在单一实验中可以检出大量DNA 位点差异性的分子生物学技术.1980年Wyman和White首先在人类基因文库的DNA随机片段中分离出高度多态的
针对三河闸启闭系统更新及土建附属工程实施时63扇闸门半侧开启泄流、半侧关闭更换启闭机的方案,构建三河闸枢纽泄流数学模型,采用结构网格疏密嵌套及2D-3D同步嵌套方法对计
宁波即是历史悠久的文化名城,又是对外交往频繁的重要口岸,这种历史的开放性使各种文化都能在这里得到传播与呈现,这在城乡建筑与市井风情诸方面都得到了淋漓尽致的体现.
本文研究了以CaCl2盐为混凝试剂,回收碱法草本纸浆黑液中木质素的可能性。试验结果表明,在70℃左右温度条件下,加入适量的氯化钙盐时,木质素的沉降反应速度极快,收率可达90%以
1 准格尔旗肉羊发展现状准格尔旗北部沿黄灌溉农业区是鄂尔多斯市确定的沿河经济发展带中的一部分.该区包括蓿亥图乡、十二连城乡、布而陶亥乡、大路乡以及北部黄河南岸冲积
浙江大学灵峰山庄是百年学府浙大投资创办的三星级宾馆,是浙大倾情打造的文化主题饭店。位于浙江大学玉泉校区对面南侧,环境优美,交通便利。山庄拥有各种规格客房共100间,