虚拟机环境检测方法研究综述

虚拟化技术带来的资源利用、管理和隔离的优势,使其被广泛应用在虚拟服务器、恶意代码分析、云计算平台搭建等领域.恶意代码的编写者和安全研究人员也在虚拟化发展热潮中展开了新一轮的技术博弈,如何检测虚拟环境的存在成为当前研究的热点.介绍虚拟机环境检测方法的意义,从本地虚拟机环境检测和远程虚拟机环境检测两个方面分别展开举例说明检测的原理和方法,在总结虚拟机环境检测方法的基础上,指出虚拟化透明性增强的方向,探讨和分析未来的发展趋势.     

虚拟机检测技术研究

虚拟机在反恶意软件研究领域的应用越来越普遍。虚拟机检测技术对恶意软件的作者或反恶意软件的研究人员都具有重要的意义。首先简述了虚拟机检测技术的意义,然后介绍了虚拟机检测技术的理论基础,接着描述了现有的虚拟机检测技术的基本思想,分析了其优缺点,最后在总结现有成果的基础上,指出了未来的研究重点和方向。     

虚拟机检测与反检测技术研究

目前恶意代码研究领域普遍使用虚拟机来动态分析恶意代码,然而众多恶意代码都使用了虚拟机检测的技术来对抗。本文首先简单介绍了虚拟机技术,然后对虚拟机检测技术及其相应检测算法进行了研究,最后介绍了一些反虚拟机检测技术。     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

面向MicrosoftVirtualPC的虚拟机远程检测方法

虚拟机技术的广泛应用给信息安全带来新的问题和挑战,由于现有的安全扫描系统检测不到虚拟机的存在,所以无法扫描虚拟机的安全漏洞。文中提出了一种面向VPC（Microsoft VirtualPC）的虚拟机远程检测方法,此方法根据虚拟机MAC地址中携带的厂商标识符,能正确地识别网络中存在的VPC虚拟机;并利用虚拟机与宿主机的关联性快速寻找到虚拟机的宿主机,为进一步扫描虚拟机的安全漏洞和管理虚拟机网络提供基础。实验结果表明,该方法能准确地检测网络中存在的VPC虚拟机。     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

面向Microsoft Virtual PC的虚拟机远程检测方法

虚拟机技术的广泛应用给信息安全带来新的问题和挑战,由于现有的安全扫描系统检测不到虚拟机的存在,所以无法扫描虚拟机的安全漏洞。文中提出了一种面向VPC (Microsoft Virtual PC)的虚拟机远程检测方法,此方法根据虚拟机MAC地址中携带的厂商标识符,能正确地识别网络中存在的VPC虚拟机;并利用虚拟机与宿主机的关联性快速寻找到虚拟机的宿主机,为进一步扫描虚拟机的安全漏洞和管理虚拟机网络提供基础。实验结果表明,该方法能准确地检测网络中存在的VPC虚拟机。     

一种基于虚拟机的动态内存泄露检测方法

内存泄露是一种常见的系统安全问题。虚拟技术是云计算的关键技术,虚拟机环境下的内存泄露不容忽视。而基于虚拟机的内存泄露检测技术尚未成熟。分析虚拟机Xen内核源码中与内存分配有关的代码,提出一种动态检测虚拟机中内存泄露的方法。该方法记录应用程序对资源的申请、释放以及使用情况,插入监测代码,最终检测出内存泄露的代码。实验结果表明,该方法能够有效地检测Xen虚拟机中的内存泄露。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

虚拟机和容器超融合试验研究

根据虚拟机和容器两种虚拟化技术的特点,在云平台将两种虚拟技术融合,可以实现弹性伸缩的资源供给,从而以更低的成本、更高的效率支撑业务的发展.从现有虚拟机与容器应用场景出发,分析当前现有的虚拟机与容器融合架构,提出一种新的虚拟机和容器超融合架构,使其具备更佳的资源池复用效果,能够实现资源更加细粒度的监控.该融合技术解决了虚拟机和容器融合的资源管理无法相互感知的问题,实现了融合后的容器编排.通过该架构原型系统的构建与实验,验证了技术可行性.     

仿真环境下入侵检测系统测试

分析传统的入侵检测系统评测方法,提出了一种基于虚拟机技术的入侵检测系统性能评测方法.该方法利用Vmwre软件构建攻击仿真环境,并在模拟实验环境下实现攻击,对IDS的指标进行测试与比较,验证了该方案的可行性.     

基于OpenFlow的虚拟机流量检测系统的设计与实现

云平台下的虚拟机在物理机内部交互流量,而不通过防火墙等安全组件。针对这类流量无法在网络边界被获取并检测的问题,分析了OpenFlow技术的原理,提出了一种基于OpenFlow技术将虚拟机流量重定向到入侵检测系统进行检测的方案。方案使用OpenFlow虚拟交换机和控制器替代传统交换机,然后基于OpenFlow技术控制流量转发过程,将其导向外部的安全组件进行处理,并构建了由虚拟交换机、控制单元、入侵检测和系统配置管理4个模块组成的流量检测系统。实验结果表明,系统能够在满足虚拟机网络正常使用的前提下,将待监管流量导向入侵检测系统进行处理,而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题,同时能够基于OpenFlow轻松实现流量处理的扩展操作。     

基于虚拟机的计算机系统安全研究

该文分析了当前计算机系统面临的严峻的安全现状、现有的安全保护措施及其不足,并介绍了虚拟机技术,提出了用虚拟机技术保护计算机系统安全的新的措施.     

一种基于VMM的内核级Rootkit检测技术

针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。     

模拟器和虚拟机在网络协议虚拟实验的应用

通过分析模拟器、虚拟机和虚拟实验技术,探讨了模拟器和虚拟机技术在网络协议虚拟实验中的应用,最后结合Boson NetSim模拟器和VMware虚拟机技术建立了DiffServ/MPLS测试Qos的虚拟实验.     

基于交易序列分层变异的EVM模糊测试

以太坊虚拟机是以太坊区块链中关键组成部分, 其缺陷会导致交易的执行结果出现偏差, 给以太坊生态带来严重问题. 现有的以太坊虚拟机缺陷检测工作仅将虚拟机视为独立的智能合约执行工具, 没有完整测试其工作流程, 从而导致缺陷检测存在盲点. 针对上述问题, 提出了一种以太坊虚拟机运行全过程的缺陷检测方法(ETHCOV). ETHCOV首先结合权重策略指导智能合约、合约接口参数输入和交易序列按不同粒度变异, 然后将其与区块状态以及世界状态打包作为测试用例, 最后将测试用例输入到以太坊虚拟机中触发运行并对比检验运行结果, 以此来检测以太坊虚拟机的漏洞缺陷. 基于上述方法实现了一个原型系统, 并以2万多个真实智能合约作为为输入对以太坊虚拟机进行缺陷检测测试. 实验结果表明, 相较于现有工具EVMFuzzer, ETHCOV的测试效率提升了339%, 代码覆盖率提升了125%, 并检测出3组用例的不一致输出. 这些结果表明ETHCOV能有效检测以太坊虚拟机的缺陷.     

云环境下面向拟态防御的反馈控制方法

云环境下的虚拟化技术,给用户带来了一些数据和隐私安全问题。针对云环境中虚拟机单一性、同质性和静态性等问题,文章提出一种云环境下面向拟态防御的反馈控制方法。该方法以云中虚拟机为基础,利用拟态防御技术对虚拟机进行拟态化封装,通过反馈控制架构对其实现闭环负反馈控制,并基于异构虚拟机动态轮换改变执行环境,保证虚拟机系统环境的随机性。实验表明该设计实现了对用户服务的错误容忍、可疑虚拟机检测和动态轮换,增加攻击者利用漏洞攻击的难度。     

虚拟机UML下的主机入侵检测

通过对虚拟机UML（user—mode Linux）的体系结构的分析,结合它自身的特点,提出了一种适合于UML的主机入侵检测方法：关于虚拟机的主机系统调用的入侵检测系统。这种方法是从虚拟机外部,即它的虚拟机管理器VMM（Virtual Machine Monitor）上采集数据,和传统的在虚拟机内部采集数据的方法比较,这种方法速度快,而且还很安全。     

虚拟机技术在网络安全技术教学中的应用分析

随着素质教育的深入发展,使用计算机辅助教学目前已经非常普遍,而如何保证网络安全,成为了计算机课程教学的必修内容.传统的教学模式和教学工具无法满足计算机教学活动,另一方面,对于网络安全技术教学而言,属于理论和实践同重的内容,黑板或是板书等都无法凝聚学生的注意力,在此情形下虚拟机技术应运而生,有效解决了计算机教学多变性的缺陷,能够很好的掌握课堂秩序,达到网络安全教学的目的.本文从虚拟机技术和网络安全技术教学的相关内涵入手,分析虚拟机技术在网络安全技术教学中的具体应用,并且在日新月异的网络环境下提出未来虚拟机技术的应用趋势.     

虚拟机自省技术研究与应用进展

虚拟机自省技术是备受学术界和工业界关注的安全方法,在入侵检测、内核完整性保护等多方面发挥了重要作用.该技术在实现过程中面临的一个核心难题是底层状态数据与所需高层语义之间的“语义鸿沟”,该难题限制了虚拟机自省技术的发展与广泛应用.为此,本文基于语义重构方式的不同将现有的虚拟机自省技术分为四类,并针对每一类自省技术中的关键问题及其相关工作进行了梳理;然后,在安全性、性能及可获取的高层语义信息量等方面对这四类方法进行了比较分析,结果显示不同方法在指定比较维度上均有较大波动范围,安全研究人员需综合考虑四类方法的特点设计满足自身需求的虚拟机自省方案.最后,本文详细介绍了虚拟机自省技术在安全领域的应用情况,并指出了该技术在安全性、实用性及透明性等方面需深入研究的若干问题.