一種面向Xen虛擬化平臺的隱藏方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及Xen虛擬化平臺的隱藏方法。
【背景技術(shù)】
[0002] 目前已有的蜜罐環(huán)境檢測方法可以大致分為二類：
[0003] 1、通過調(diào)用本機(jī)linux命令來查找Xen虛擬信息 [0004] (l)uname命令：獲取當(dāng)前系統(tǒng)信息；
[0005] 在某些Xen環(huán)境下，系統(tǒng)信息包含Xen字段；
[0006] (2)lscpu命令，獲取CPU信息；
[0007] 在Xen環(huán)境下，獲取的CPU信息VendorID為Xen;
[0008] (3)dmesg命令，打印內(nèi)核的環(huán)形隊(duì)列，其中包含了內(nèi)核啟動、系統(tǒng)報告的信息，其 中包含大量Xen、hvm、domU字段；
[0009] (4)dmidecode命令，獲取Linux系統(tǒng)硬件信息，其中某些硬件描述、產(chǎn)品名、產(chǎn)品 序列號等字段指明為Xen;
[0010] (5)lshw命令：另一種硬件信息查看工具，其中某些硬件的VendorID為Xen;
[0011] (6)其他的常規(guī)Linux字符串處理命令如cat、grep(egrep、fgrep)、strings常用 來輔助上述這些命令來定位Xen相關(guān)的關(guān)鍵字；
[0012] 2、通過查看部分關(guān)鍵文件來查找Xen虛擬信息：
[0013] (l)/var/log/* :Linux日志系統(tǒng)，記錄了包括內(nèi)核、系統(tǒng)、系統(tǒng)啟動等日志，里面 也包含大量Xen字段；
[0014] (2)/sys/hypervisor/*:XEN虛擬化相關(guān)的配置如 /sys/hypervisor/type、/sys/ hypervisor/properties/capabilities等，這里包含大量Xen信息；
[0015] (3)/sys/devices/system/clocksource/clocksourceO/available_ clocksource，在Xen環(huán)境下該文件顯示Xen信息；
[0016] (4)/proc/partitions:查看分區(qū)信息，Xen環(huán)境下分區(qū)名為xvda;
[0017] (5)/proc/scsi/scsi:熱拔插設(shè)備信息，不是很了解，里面也會Xen出現(xiàn)；
[0018] (6)/proc/cpuinfo:CPU信息；
[0019] 基于Xen的蜜罐是收集黑客攻擊行為信息的平臺，為了防止黑客攻擊行為信息被 收集分析，黑客在攻擊目標(biāo)時會判斷目標(biāo)是否處于Xen環(huán)境，如果目標(biāo)處于Xen環(huán)境，則黑 客會立即逃離目標(biāo)放棄攻擊，導(dǎo)致基于Xen的蜜罐收集黑客攻擊行為信息的準(zhǔn)確率低。

【發(fā)明內(nèi)容】

[0020] 本發(fā)明為了解決現(xiàn)有技術(shù)中基于Xen的蜜罐收集黑客攻擊行為信息的準(zhǔn)確率低 的問題，而提出了一種面向Xen虛擬化平臺的隱藏方法。
[0021] 上述的發(fā)明目的是通過以下技術(shù)方案實(shí)現(xiàn)的：
[0022] 步驟一、通過重寫運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)的命令，從命令級別隱藏了 Xen虛擬化信息；
[0023] Xen為一個開放源代碼虛擬機(jī)監(jiān)視器；
[0024] 步驟二、通過對運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)日志/var/log/下文件進(jìn)行 加密，從日志級別隱藏了Xen虛擬化信息；
[0025] 步驟三、通過對運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)的內(nèi)核代碼procfs下文件和 sysfs下文件讀取函數(shù)進(jìn)行修改，使得從procfs下文件和sysfs下文件讀取函數(shù)無法獲得 Xen虛擬化特征信息，隱藏了Xen虛擬化信息；
[0026] 至此，完成了對Xen虛擬化平臺的隱藏。
[0027] 發(fā)明效果
[0028] 本發(fā)明采用在運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)中查找并獲取dmesg、lscpu和 dmidecode的Linux命令的源代碼；修改dmesg、lscpu和dmidecode的Linux命令，重新編 譯修改后的dmesg、lscpu和dmidecode的Linux命令的源代碼，從命令級別隱藏了Xen虛 擬化信息；對運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)日志/var/log/下文件進(jìn)行加密程序的 編寫，Xen虛擬化平臺的Linux系統(tǒng)日志/var/log/下文件進(jìn)行信息加密后，Xen虛擬化平 臺的Linux系統(tǒng)日志/var/log/下文件的Xen虛擬化特征信息無法被正常讀取，在日志級 別隱藏了Xen虛擬化信息；下載對應(yīng)本機(jī)的Linux內(nèi)核代碼，修改Linux內(nèi)核代碼，重新編 譯修改后的Linux內(nèi)核代碼，使Linux內(nèi)核代碼中的procfs下文件和sysfs下文件的Xen 虛擬化特征信息無法被正常讀取，即無法獲得Xen虛擬化特征信息，隱藏了Xen虛擬化信 息；至此，完成了對Xen虛擬化平臺的隱藏，黑客無法判斷攻擊目標(biāo)是否處于Xen環(huán)境，進(jìn)而 會繼續(xù)攻擊，解決了基于Xen的蜜罐收集黑客攻擊行為信息的準(zhǔn)確率低的問題，使基于Xen 的蜜罐收集黑客攻擊行為信息的準(zhǔn)確率提高了 45%以上。
【附圖說明】
[0029] 圖1為【具體實(shí)施方式】一流程圖；
[0030] 圖2為實(shí)施例中Sunday算法示例第一步；
[0031] 圖3為實(shí)施例中Sunday算法示例第二步；
[0032] 圖4為實(shí)施例中Sunday算法示例第三步；
[0033] 圖5為實(shí)施例中Sunday算法示例第四步。
【具體實(shí)施方式】
【具體實(shí)施方式】 [0034] 一：結(jié)合圖1說明本實(shí)施方式，一種面向Xen虛擬化平臺的隱藏方法 通過以下三個步驟進(jìn)行：
[0035] 步驟一、通過重寫運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)的命令，從命令級別隱藏了 Xen虛擬化信息；
[0036] Xen為一個開放源代碼虛擬機(jī)監(jiān)視器；
[0037] 步驟二、通過對運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)日志/var/log/下文件進(jìn)行 加密，從日志級別隱藏了Xen虛擬化信息；
[0038] 步驟三、通過對運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)的內(nèi)核代碼procfs下文件和 sysfs下文件讀取函數(shù)進(jìn)行修改，使得從procfs下文件和sysfs下文件讀取函數(shù)無法獲得 Xen虛擬化特征信息，隱藏了Xen虛擬化信息；
[0039] 至此，完成了對Xen虛擬化平臺的隱藏。
【具體實(shí)施方式】 [0040] 二：本實(shí)施方式與一不同的是：所述步驟一中通過重 寫運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)的命令，從命令級別隱藏了Xen虛擬化信息，具體過 程如下：
[0041] 步驟--、在運(yùn)行有Xen虛擬化平臺的Linux系統(tǒng)中查找并獲取dmesg、lscpu和 dmidecode的Linux命令的源代碼；具體方法為：
[0042] 1)、對于dmesg命令，打開Linux終端，執(zhí)行which命令來獲取Linux系統(tǒng)中路徑 的dmesg命令文件；
[0043] which命令輸出得到dmesg命令對應(yīng)的可執(zhí)行二進(jìn)制文件在系統(tǒng)中的路徑，二進(jìn) 制文件為/bin/dmesg;Which命令的輸出為dpkg命令的輸入；
[0044] 再執(zhí)行dpkg命令來獲得dmesg命令的源代碼包名稱：
[0045] dpkg命令輸出得到dmesg命令的源代碼包名稱為util-linux，獲取dmesg的 Linux命令的源代碼；
[0046] 2)、對于lscpu命令，打開Linux終端，執(zhí)行which命令來獲取Linux系統(tǒng)中路徑 的lscpu命令文件；
[0047] Which命令輸出得到lscpu命令對應(yīng)的可執(zhí)行二進(jìn)制文件在系統(tǒng)中的路徑，二進(jìn) 制文件為/bin/lscpu;Which命令的輸出是dpkg命令的輸入；
[0048] 再執(zhí)行dpkg命令獲得lscpu命令的源代碼包名稱；
[0049] dpkg命令輸出得到lscpu命令的源代碼包名稱為util-linux，獲取lscpu的 Linux命令的源代碼；
[0050] 3)、對于dmidecode命令，打開Linux終端，執(zhí)行which命令來獲取系統(tǒng)中路徑的 dmidecode命令文件；
[0051] which命令輸出得到dm