基于行为监控的虚拟化服务安全增强方案研究

虚拟化服务对基于行为监控的客户虚拟机实施访问控制,以监控客户对受保护服务的访问行为.虚拟化服务使用运行时监控技术,通过观察到的客户虚拟机行为计算当前客户的信任度值,并强制客户执行符合其信任值级别的访问控制权限.本文设计了一种虚拟化服务信任度增强方案,提出了增强的虚拟化服务多层安全体系架构,描述了基于行为监控的信任度管理框架,最后介绍了其应用方向.     

基于LXC的Android系统虚拟化技术

虚拟化技术的研究正逐渐从高性能服务器端转向移动智能设备领域. 现有的虚拟化方案多是采用多内核方案,系统负载高,效率低. 针对车载系统等平台多屏显示以及资源受限等问题,本文提出一种基于容器技术的Android轻量级虚拟化方案. 该方案通过利用Namespace资源隔离机制和Cgroup资源分配机制,使得ARM平台在资源使用较少的同时,能够同时启动多个Android虚拟机,并且各虚拟机上的屏幕显示相互独立. 测试结果表明,该方案的内存占用率较双系统方案降低了7%,而平均CPU使用率较原生Android系统仅增加了1%.     

面向大规模云数据中心的轻量级监控研究

在云数据中心中,随着虚拟化技术的广泛应用,对虚拟机和物理机的同时监控使得监控系统面临着负载大、开销大等问题,传统的监控系统很难满足需要。设计出一种轻量级状态监控方案,该方案结合实时监控与状态监控,对实时性要求不高的监控对象使用状态监控。经实验证明该监控方案能够适用于云数据中心,并能较好地降低监控系统带来的网络负载。     

基于虚拟化平台Xen的内核安全监控方案

虚拟化技术作为云计算的基础架构,其安全性随着云计算的发展越来越受到人们的关注.提出一种针对虚拟机系统内核攻击的入侵检测方案,借助Xen提供的虚拟化平台,来获取虚拟机系统内核运行情况,从而达到监视和防止内核被攻击的目的.该方案可以有效地防御来自动态修改内核代码和内核不变数据结构一类的攻击.     

基于虚拟机内省的Intel PT多进程监控技术研究

以Intel Processor Trace(PT)为代表的片上动态跟踪技术有着低开销、低感知的优良特性,在程序行为记录和监控领域得到了越来越广泛的应用.然而,由于片上动态跟踪技术依赖CPU特性实现,对于操作系统内核监控、恶意代码分析等需要在虚拟化平台上运行程序的场景支持还存在一些困难.本文通过对Intel PT片上动态跟踪技术的研究,提出了一套基于虚拟机内省的Intel-PT多进程监控技术,通过将 Intel-PT嵌入到硬件虚拟化平台上,实现了对硬件辅助虚拟化客户机中的多个进程并行进行监控.实验结果表明,该技术可以有效监控硬件虚拟机中并行多个进程.     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

一种灵活高效的虚拟CPU调度算法

目前,虚拟化已经广泛应用于数据中心,但主流的虚拟CPU调度策略并没有实现对I/O性能的保障,尤其当延时敏感型负载的虚拟机和计算敏感型负载的虚拟机竞争CPU资源时,其性能显著下降.针对上述问题,本文提出了一种灵活、高效的虚拟CPU调度算法（FLMS）.FLMS通过采用虚拟机分类、虚拟CPU绑定、多类时间片等技术降低了虚拟机的响应延时,同时基于多处理器架构重新设计了负载均衡策略,优化了虚拟CPU迁移.FLMS通用于目前主流的虚拟化方案,在软件虚拟化方式下相比于最新的优化方案延时降低了30%,带宽有10%的提升;在使用硬件辅助虚拟化的系统中,通过FLMS能够获得接近原生系统的I/O性能,并且保证了整个系统的公平性.     

一种基于虚拟机的安全监测方法

随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性.     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

协作型虚拟机中设备虚拟化研究

针对当前系统虚拟化中设备模型难以通用、I/O执行效率低等问题,提出一种基于多核平台的设备虚拟化方案。将传统的消息式I/O处理转换成实时I/O处理,通过I/O传递协议消除I/O处理部件与虚拟机监控器(VMM)的紧耦合,在改善I/O处理效率的同时,提高设备虚拟化模型的通用性,结合协作型VMM完成对设备虚拟化的设计与实现。测试结果表明,该方案能提升I/O执行效率,适用于多种虚拟化系统。     

龙芯3号处理器多核虚拟化技术

MIPS 处理器是精简指令集（RISC）处理器中的一个重要代表,通常应用于嵌入式系统中.近年来,随着MIPS处理器性能的大幅度提升,其应用渐渐扩展到了高性能服务器领域.龙芯3号处理器是MIPS架构的典型代表.在目前的服务器研究领域中,多核技术是一项重要的技术指标,而虚拟化技术是另一项重要的技术指标.当前,虽然虚拟化技术得到了快速发展,但是龙芯3号处理器上的虚拟化技术却鲜有成果.基于龙芯3号处理器的多核虚拟化技术面临许多问题,虚拟多核架构结构复杂、核间通信方式难以模拟等都会为龙芯3号处理器上的多核虚拟化带来困难.分析了多核龙芯3号处理器的硬件结构以及物理多核的核间中断通信方式,在此基础上介绍了龙芯3号处理器上多核虚拟化关键技术.主要在多核处理器虚拟化总体架构设计、虚拟多核结构设计以及虚拟多核的核间通信方式等方面进行了讨论.实验的结果表明,在龙芯3号处理器上,该多核虚拟化方法具有良好的效果.     

Non-clairvoyant online scheduling of synchronized jobs on virtual clusters

Although virtualization technology is recently applied to next-generation distributed high-performance computing systems, theoretical aspects of scheduling jobs on these virtualized environments are not sufficiently studied, especially in online and non-clairvoyant cases. Virtualization of computing resources results in interference and virtualization overheads that negatively impact the load balancing objectives on commonly used cluster of multi-core physical machines. We present a technique for non-clairvoyant online scheduling of globally synchronized jobs, each of which spawns tasks to execute compute-intensive works. Our technique considers both load balancing of physical cores and per job synchronization cost minimization. We show that in the presence of arbitrary virtualization overheads, interference effects and synchronization cost, the problem can be reduced to an online unrelated parallel machine scheduling, which is solved using routing of virtual circuits. We present a new opportunity cost model to reduce the problem to the routing of virtual circuits and prove the effectiveness of our scheduling technique using mathematical analysis and simulative experiments.     

多核平台上一种分布式的虚拟运行环境

随着多核体系结构的快速发展,如何充分利用多核系统提供的计算能力,同时对可靠性、可扩展性和协同性提供支撑成为软件面临的难题。本文描述了一种运行在多核平台上的分布式虚拟运行环境DVRE,它为应用程序的有效运行提供支撑。DVRE在虚拟化技术的基础上以Client/Server的结构取代传统操作系统整体式的结构,以核之间通信的开销来取代操作系统中系统调用和上下文切换的开销,这种方法利用了多核平台高度的并行性,显示了良好的性能与可扩展性,同时DVRE底层的虚拟化机制提高了系统的可靠性与安全性。     

VFRS:一种面向虚拟计算环境的入侵容忍方法

虚拟计算环境的开放性、复杂性和动态性向入侵容忍提出了新的挑战,提出VFRS方法以解决虚拟计算环境中数据对入侵的容忍问题.设计SCSFA算法分析虚拟计算环境的系统调用行为序列,以识别虚拟计算环境下的入侵企图,预测敏感数据的高危区域;其次,将要保护的数据划分成若干片数据,并以容忍虚拟计算环境随机错误为目标对每个片数据冗余备份;然后将冗余片数据分散到不同虚拟机上.VFRS方法能有效预测虚拟计算环境下的异常入侵,并能较好地容忍虚拟计算环境下的复杂性错误.对VFRS方法实现的关键问题进行了详细的讨论和分析.     

基于硬件队列扩展的网卡虚拟化方案

多核架构的虚拟平台对偏重于I/O访问的应用普遍存在虚拟化性能开销大的问题。为此,提出一种基于驱动域的网卡虚拟化方案。通过具有独立中断的硬件队列对网卡进行硬件扩展,减少网卡I/O访问中虚拟机监控器的参与,提高访问效率。测试结果表明,在消息长度达到1 024 Byte时,使用虚拟接口的时延仅比非虚拟化环境高10%。     

云桌面虚拟化技术环境下的高职学生多元化网络虚拟技术教育研究

基于云桌面网络虚拟化技术互动网络创新模式,研究了利用云桌面虚拟化创新性来开展高职学生多元化网络虚拟技术教育的工作模式。同时,分析了传统单一化网络虚拟技术教育的局限性,探讨了创建云桌面网络虚拟化技术互动网络创新模式教育的热点话题,提出了基于云桌面虚拟化技术环境下多元化网络虚拟技术教育在云桌面网络虚拟化技术互动下的创新决策。     

嵌入式虚拟化技术

计算机系统虚拟化技术是IT领域近几年的热点技术。虚拟化技术的下一步发展方向是嵌入式系统。嵌入式系统进行虚拟化是在嵌入式硬件平台和操作系统之间加入一层叫做虚拟机管理器的软件,由后者构造出可运行多种操作系统的虚拟机。国外多家公司和大学已对嵌入式虚拟化技术展开研究。嵌入式虚拟化的好处包括减少嵌入式系统开发成本、缩短产品上市周期、利于整合功能、减少功耗、软件资产保值和增强安全性与可靠性。嵌入式虚拟化技术面临的问题包括实时调度问题、嵌入式硬件平台多样性问题、电源管理问题以及跨虚拟机通信问题。嵌入式虚拟化技术将给嵌入式领域带来重大变化,值得关注。     

虚拟化技术下的安全

随着作为云底层的虚拟化技术的蓬勃发展,在很多机构中,虚拟化技术已经成为其基础IT架构中的重要组成部分,许多虚拟化技术的优势也在各个部门中体现,如：服务器整合、更快更强大的硬件、简单的使用方法、灵活的快照技术,强大的故障迁移能力以及灾备能力等.在虚拟化技术应用越来越广泛的今天,虚拟化的安全问题也成为了这种繁荣背后的隐患.虚拟化技术的安全缺陷主要包括：宿主系统的安全、虚拟网络的安全、虚拟系统的安全以及主机系统和虚拟系统之间的控制安全等.