基于Xen虚拟化环境的内核级rootkit检测和处理方法

电子信息

基于Xen虚拟化环境的内核级rootkit检测和处理方法，所述Xen虚拟化环境包括管理域、虚拟机监控器和半虚拟化的客户机；管理域包括控制模块，虚拟机监控器包括安全链表维护模块、检测模块和敏感信息备份模块，客户机包括运行时维护模块和rootkit处理模块。还包括客户机启动过程中敏感信息备份、内核模块加载时安全链表更新、内核模块加载成功后交叉对比检测rootkit、内核敏感信息攻击性检测和在管理域对客户机中的rootkit进行处理的步骤。

本发明同步构建用户视图并与内核视图和虚拟机监控器层视图进行交叉对比，避免误检与漏检；准确地提供内核态rootkit的数量与其在内存中的位置并对检测到的rootkit的攻击行为及时恢复避免扩散；还提供了在管理域统一处理检测到的内核态rootkit的方法。