虚拟机监视器(Virtual Machine Monitor,VMM)具有强隔离性、高透明性的特点,而程序行为具有稳定和易于检测的属性。提出了一种基于VMM的程序行为异常检测模型,该模型首先从VMM中捕获程序行为产生的底层数据,通过分析对进程行为视图重构,然后结合防护检查点,采用基于C4.5决策树算法对所重构的程序行为视图数据进行动态综合分析和判定,以此检测异常并警告。最后基于QEMU对检测模型进行实现并分析,结果表明该模型能有效检测出程序的异常行为。

• 单位
  上海交通大学; 计算机软件新技术国家重点实验室; 南京大学