云环境中基于cache负载实时定噪的同驻分析方法

云计算具有使用便捷、可按需定制服务、优化资源利用等特点,成为提供外包服务的主要计算模式。云环境中的虚拟机侧通道攻击是云计算的主要潜在威胁之一,同驻是云环境中侧通道攻击的前提。针对如何在多租户云环境下进行同驻检测,提出基于链式结构的Prime-Probe测量cache负载方法MCLPPLS和针对云环境噪声复杂多变问题的实时噪声分析机制RTNAM。结合MCLPPLS与RTNAM提出一种新型的同驻检测分析方法。实验表明,该方法能减少突发噪声对同驻检测的干扰,有较高的同驻检测正确率及较低的同驻检测时耗,表现出良好的性能。     

可信执行环境软件侧信道攻击研究综述

为保护计算设备中安全敏感程序运行环境的安全,研究人员提出了可信执行环境(TEE)技术,通过对硬件和软件进行隔离为安全敏感程序提供一个与通用计算环境隔离的安全运行环境.侧信道攻击从传统的需要昂贵设备发展到现在仅基于微体系结构状态就能通过软件方式获取机密信息的访问模式,从而进一步推测出机密信息.TEE架构仅提供隔离机制,无法抵抗这类新出现的软件侧信道攻击.深入调研了ARM TrustZone、Intel SGX和AMD SEV这3种TEE架构的软件侧信道攻击及相应防御措施,并探讨其攻击和防御机制的发展趋势.首先,介绍了ARM TrustZone、Intel SGX和AMD SEV的基本原理,并详细阐述了软件侧信道攻击的定义以及缓存侧信道攻击的分类、方法和步骤;之后从处理器指令执行的角度,提出一种TEE攻击面分类方法,利用该方法对TEE软件侧信道攻击进行分类,并阐述了软件侧信道攻击与其他攻击相结合的组合攻击;然后详细讨论TEE软件侧信道攻击的威胁模型;最后全面总结业界对TEE软件侧信道攻击的防御措施,并从攻击和防御两方面探讨TEE软件侧信道攻击未来的研究趋势.     

基于移动目标防御信号博弈的容器迁移策略

容器作为虚拟机的轻量级替代产品,以其灵活、高效的特点促进了云计算的发展,但同时也面临着同驻攻击、逃逸攻击等安全威胁。针对云环境中的容器安全威胁,构建了基于移动目标防御的信号博弈模型,并提出了多阶段最优防御策略求解算法,通过博弈模型和求解算法选取最优策略,同时通过容器调度方法对容器进行调度,可以增强容器安全性。仿真实验结果表明,提出的迁移策略获取的防御收益相较于Kubernetes自带迁移策略提升了3.6倍,同时容器同驻率降低了79.62%,对现实容器云环境下的防御策略选取和安全性增强具有一定的借鉴意义。     

云计算环境中的虚拟机同驻安全问题综述

在云计算环境中,为了实现资源共享,不同租户的虚拟机可能运行在同一台物理机器上,即虚拟机同驻,这将带来新的安全问题。为此,文章重点讨论同驻虚拟机所面临的一些新的安全威胁,包括资源干扰、隐蔽通道/侧信道、拒绝服务与虚拟机负载监听等,介绍现有虚拟机同驻探测方法,总结针对虚拟机同驻威胁的四种防御思路,并分析未来的研究趋势。     

缓存侧信道攻击与防御

近年来，随着信息技术的发展，信息系统中的缓存侧信道攻击层出不穷.从最早利用缓存计时分析推测密钥的想法提出至今，缓存侧信道攻击已经历了10余年的发展和演进.研究中梳理了信息系统中缓存侧信道攻击风险，并对缓存侧信道攻击的攻击场景、实现层次、攻击目标和攻击原理进行了总结．系统分析了针对缓存侧信道攻击的防御技术，从缓存侧信道攻击防御的不同阶段出发，分析了攻击检测和防御实施2部分研究工作，并基于不同防御原理对防御方法进行分类和分析.最后，总结并讨论了互联网生态体系下缓存侧信道攻击与防御的研究热点，指出缓存侧信道攻击与防御未来的研究方向，为想要在这一领域开始研究工作的研究者提供参考.     

云计算中的数据安全存储和加密模型的设计

随着时代的快速发展,网络技术也正在进行着新的变革,现阶段最受到人们关注的热点无疑就是云计算,它已经成为计算机领域中最新兴的研究重点。然而,云计算中的安全问题已经成为制约云计算快速发展和推广的关键问题,如何快速、安全的存储和传输生成于云环境中的大量数据,也已成为新的研究重点。本文在分析云计算中数据不安全因素的基础上,通过对云端数据进行合理加密的技术手段,实现了一种有效的安全数据存储和加密的服务模型,达到了对云环境中的数据进行安全的数据存储和备份,有助于推动云计算应用的部署。     

云计算中的数据安全存储和加密模型的设计

随着时代的快速发展,网络技术也正在进行着新的变革,现阶段最受到人们关注的热点无疑就是云计算,它已经成为计算机领域中最新兴的研究重点。然而,云计算中的安全问题已经成为制约云计算快速发展和推广的关键问题,如何快速、安全地存储和传输生成于云环境中的大量数据,也已成为新的研究重点。文中在分析云计算中数据不安全因素的基础上,通过对云端数据进行合理加密的技术手段,实现了一种有效的安全数据存储和加密的服务模型,达到了对云环境中的数据进行安全的数据存储和备份。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

云计算下基于信任的防御系统模型

由于云计算的动态性和开放性,云环境中频频出现恶意攻击行为,为了保障云计算的安全,结合可信云的思想,提出一个云计算下基于信任的防御系统模型。该模型通过实时监控获取用户的行为证据并加以规范;提出一种新的基于模糊层次分析法（FAHP）的用户行为信任评估方法,逐步确定各行为证据的权重,实现行为信任的科学量化评估;利用多种检测引擎对可疑文件进行全面检测和综合决策,为云中用户提供最大限度的安全防御。实验结果表明,该系统模型能有效消除不良用户的恶意攻击行为、降低病毒等给用户带来的损失,达到云端和客户端双向防御的目的。     

云计算环境下的可信接入安全协议研究进展

随着云计算的蓬勃发展,越来越多的用户在云端使用计算和存储资源,然而各种安全问题接踵而来.云计算和可信计算技术的融合研究将成为云安全领域的重要趋势,通过设计安全协议来保障整个云计算环境的安全性和可生存性.主要针对在云计算环境下的可信接入安全协议及其形式化证明,进行了归类综述和对比分析,最后指出可信云平台所面临的研究问题.     

后量子密码算法的侧信道攻击与防御综述

为解决量子计算对公钥密码安全的威胁,后量子密码成为密码领域的前沿焦点研究问题.后量子密码通过数学理论保证了算法安全性,但在具体实现和应用中易受侧信道攻击,这严重威胁到后量子密码的安全性.本文基于美国NIST第二轮候选算法和中国CACR公钥密码竞赛第二轮的候选算法,针对基于格、基于编码、基于哈希、基于多变量等多种后量子密码算法进行分类调研,分析其抗侧信道攻击的安全性现状和现有防护策略.为了深入分析后量子密码的侧信道攻击方法,按照算法核心算子和攻击类型进行分类,总结了针对各类后量子密码常用的攻击手段、攻击点及攻击评价指标.进一步,根据攻击类型和攻击点,梳理了现有防护策略及相应的开销代价.最后我们在总结部分,根据攻击方法、防护手段和防护代价提出了一些安全建议,并且还分析了未来潜在的侧信道攻击手段与防御方案.     

A game theoretic-based distributed detection method for VM-to-hypervisor attacks in cloud environment

Cloud computing is a pool of scalable virtual resources serving a large number of users who pay fees depending on the extent of utilized service. From payment perspective, cloud is like electricity and water as people who use more of this shared pool should pay larger fees. Cloud computing involves a diverse set of technologies including networking, virtualization and transaction scheduling. Thus, it is vulnerable to a wide range of security threats. Some of the most important security issues threatening the cloud computing systems originate from virtualization technology, as it constitutes the main body and basis of these systems. The most important virtualization-based security threats include VM side channel, VM escape and rootkit attacks. The previous works on the subject of virtualization security rely on hardware approaches such as the use of firewalls, which are expensive, the use of schedulers to control the side channels along with noise injection, which impose high overhead, or the use of agents to collect information and send them back to a central intrusion detection system, which itself can become the target of attacker. In the method presented in this paper, a group of mobile agents act as the sensors of invalid actions in the cloud environment. They start a noncooperative game with the suspected attacker and then calculate the Nash equilibrium value and utility so as to differentiate an attack from legitimate requests and determine the severity of attack and its point of origin. The simulation results show that this method can detect the attacks with 86% accuracy. The use of mobile agents and their trainability feature has led to reduced system overhead and accelerated detection process.     

基于 Reed-Solomon 编码的抗边信道攻击云数据安全去重方法

跨用户数据去重技术, 通过在用户端减少重复数据上传来提高云端数据存储效率和用户的带宽使用效率。然而, 在数据上传过程中, 云服务商反馈给用户的确定性去重响应为攻击者建立了一个极具安全风险的边信道, 攻击者利用该边信道可推断出目标数据在云端的存在性隐私。现有的抗边信道攻击跨用户去重方法, 采用各种混淆策略试图扰乱攻击者的判断, 然而, 这些方法难以实现完全混淆, 攻击者仍然可通过字典攻击、附加块攻击等方式达到数据窃取的目的。目前, 如何防止攻击者利用边信道窃取数据的存在性隐私, 成为了跨用户数据去重技术亟待解决的重要问题。为应对这一挑战, 本文采用了一种基于广义去重的新型跨用户安全去重框架, 将原始数据从字节层面分解为基和偏移量, 对基进行跨用户去重, 并对偏移量进行云端去重。特别地, 本文采用 Reed-Solomon 纠删码编码思想实现基的提取, 使得从相似的数据中可以较高概率提取出相同的基。不仅可以实现对攻击者的混淆, 还可以有效节省通信开销和云端存储开销。此外, 为了进一步提高效率, 本文在偏移量上传前, 引入数据压缩算法, 减少偏移量间的冗余数据量。实验结果表明, 在实现有效抵抗边信道攻击的前提下, 本方法相比该领域最新工作在通信和存储效率等方面具有显著优势。     

SGX技术的分析和研究

安全性是云计算中一项极为重要的需求,然而如何保护云计算中关键应用程序和数据的安全、防止云平台管理员泄露用户隐私,仍然是目前没有解决的难题.2013年,Intel公司提出了新的处理器安全技术SGX,能够在计算平台上提供一个可信的隔离空间,保障用户关键代码和数据的机密性和完整性.作为系统安全领域的重大研究进展,SGX对系统安全,尤其是云计算安全保护方面具有非常重要的意义.该文介绍了SGX的原理和特性,分析了SGX的关键技术以及针对SGX的侧信道攻击及防御方法.同时,总结和归纳了该技术的研究成果,分析了SGX技术与其他可信计算技术的异同,并指出了SGX技术的未来研究挑战和应用需求.     

Extensive Study of Cloud Computing Technologies,Threats and Solutions Prospective

Infrastructure as a Service (IaaS) provides logical separation between data, network, applications and machines from the physical constrains of real machines. IaaS is one of the basis of cloud virtualization. Recently, security issues are also gradually emerging with virtualization of cloud computing. Different security aspects of cloud virtualization will be explored in this research paper, security recognizing potential threats or attacks that exploit these vulnerabilities, and what security measures are used to alleviate such threats. In addition, a discussion of general security requirements and the existing security schemes is also provided. As shown in this paper, different components of virtualization environment are targets to various attacks that in turn leads to security issues compromising the whole cloud infrastructure. In this paper an overview of various cloud security aspects is also provided. Different attack scenarios of virtualization environments and security solutions to cater these attacks have been discussed in the paper. We then proceed to discuss API security concerns, data security, hijacking of user account and other security concerns. The aforementioned discussions can be used in the future to propose assessment criteria, which could be useful in analyzing the efficiency of security solutions of virtualization environment in the face of various virtual environment attacks.     

云计算环境下的网络安全技术

云计算机具有强大的数据处理功能,能够满足安全高效信息服务及高吞吐率信息服务等多种应用需求,且可以根据需要对存储能力与计算能力进行扩展。但在网络环境下云计算机同样面临许多网络安全问题,因此本文对云计算机环境下常见的网络安全问题进行了探讨,包括拒绝服务安全攻击、中间人安全攻击、SQL注入安全攻击、跨站脚本安全攻击及网络嗅探;同时分析了云计算机环境下的网络安全技术,包括用户端安全技术,服务器端安全技术,用户端与云端互动时的安全技术。     

基于Laplace机制的普适运动传感器侧信道防御方案

针对移动设备中运动传感器侧信道的防御研究面临很多困难，已有的解决方案无法有效实现用户体验与防御能力之间的平衡，也难以覆盖各种类型的运动传感器侧信道.为了解决上述问题，系统地分析了运动传感器侧信道攻击的通用模型，针对侧信道构建过程，提出了一种基于差分隐私Laplace机制的传感器信号混淆方案.该方案实施于系统框架层，通过无差别地向传感器信号中实时注入少量受控噪声，干扰侧信道学习"用户行为-设备状态-传感器读数"之间的映射关系.构建了侧信道的通用模型，结合典型的侧信道，从理论层面详细地分析了信号混淆抵抗传感器侧信道攻击的原理，证明防御方案具有优异的普适性、可用性和灵活性，能够有效地对抗实验以外的已知或未知运动传感器侧信道攻击.最后，筛选出11种典型的运动传感器侧信道进行对抗实验，验证了该防御方案对抗实际攻击的有效性.     

面向云桌面平台的攻防反馈防御图研究设计

随着云平台的飞速发展,移动办公、BYOD办公已经席卷全球,各个企业更是将云桌面办公作为首选,建立基于云服务的云桌面环境。然而,新的办公环境也将引入新的安全问题。目前云桌面安全的研究尚未成体系,云桌面的防御知识相对匮乏,国内也缺少全面、系统、有效的防御方案。云桌面的虚拟化结构决定了其不再是糖葫芦串式的防御结构,在一定程度上云桌面服务器防御比传统服务器更敏感。文章通过对云桌面的防御体系架构分析,提出了一套适用于云桌面的攻防反馈防御图的主动防御方案,将其防御结构过程和攻击结构过程展现出来,通过防御分析进行定向攻击设计,并基于生成的攻击图进行安全防御的反馈,再进行防御图的优化。文章采用了逆向广度搜索算法寻找攻击脆弱点,不漏掉不重复任何一个可靠的攻击路径。文章引入了攻防博弈模型,实现符合适度安全原则的防御优化方案。最后,文章通过某著名的云桌面提供商实验展现云桌面攻防反馈图的仿真过程。