虚拟化环境中内存隔离性测试与分析

设计一个虚拟化内存性能隔离度评测系统,该系统采用细粒度的干扰方法,针对虚拟化系统的内存带宽和内存空间的隔离性进行干扰测试,测试多个虚拟机同时访问内存时性能之间的相互影响。测试结果表明,当前的硬件和软件平台在虚拟化性能隔离度的支持方面依然存在着较大的缺陷,在存在干扰情况下,被测虚拟机的性能指标下降严重。     

基于Xen的虚拟化访问控制研究综述

虚拟化作为云计算的核心技术,在广泛应用与迅速发展的同时,其安全威胁也日益凸显,严重阻碍了虚拟化的发展,是亟待解决的重要问题。学术界提出各种解决方案,其中访问控制技术作为虚拟化安全的重要屏障,获得广泛关注和研究。首先回顾了访问控制技术的发展及其对比,其次分析了Xen虚拟化环境中的安全问题以及所采用的访问控制技术,最后对目前国内外虚拟化安全访问控制的研究进行了总结。     

基于虚拟化的云计算平台的内存管理研究

虚拟化技术使云计算能够统一管理计算资源、提高资源利用率。主要研究虚拟机的内存虚拟化方式以及虚拟机内存调整技术。虚拟机内存资源在灵活的调制机制下可弹性变化,为提高云计算的扩展性提供重要的技术支持,提高系统整体性能。     

基于内存更新记录的漏洞攻击错误定位方法

软件漏洞攻击威胁日益严重.其中基于内存腐败漏洞的攻击最为普遍,如缓冲区溢出和格式化串漏洞.提出一种针对内存腐败漏洞攻击的自动错误定位方法.基于内存更新操作记录,可以回溯找到程序源代码中腐败关键数据的语句,从而提供有益的信息修复漏洞并生成最终补丁.     

内存数据污染攻击和防御综述

内存数据被污染往往是程序漏洞被利用的本质所在,从功能角度把内存数据划分为控制相关和非控制相关,由此引出控制流劫持攻击和非控制数据攻击。两者危害程度相当,前者因利用成本较低而成为主流,但随着控制流劫持防御方法的不断完善,非控制数据攻击逐渐被重视。研究者先后在顶级会议上提出了数据导向攻击得自动化利用框架Data-oriented Exploits （DOE）以及图灵完备性地证明Data-oriented Programming （DOP）,使得非控制数据攻击成为热点。本文基于这两种攻击形式,首先简化内存安全通用模型,并对经典内存数据污染攻击和防御的原理进行分析,其次分别论述新型控制流劫持和非控制数据攻击与防御的研究现状,最后探讨内存安全领域未来的研究方向,并给出两者协作攻击和防御的可能方案。     

基于VMI技术的内存泄露的检测

文中用VMI（虚拟机自省）技术实现了由外部对VM（虚拟机）内部内存大小的透明实时的监控。VMI技术在纯净的环境下记录虚拟机的内存量,用增量叠加的方法记录加入此域的内存泄露的程序对内存的影响。内存泄漏的堆积会最终消耗尽系统所有内存,因此内存泄漏是造成计算机安全事故的主要原因之一。本文实验通过开放源代码虚拟机监视器Xen,使用了xen内核的半虚拟化模式,由外部检测虚拟机进程的内存消耗量来判断应用程序是否有内存泄露。由于这种方式可以为用户提供独立、隔离的计算环境,不需要修改源程序或者对程序进行重新编译,不必有其它特殊硬件需求,系统性能损失较小并且有一定的通用性,因而在判断内存泄露是其它解决方案无法取代的。实验结果表明：对内存的监控数据证明了实验系统的有效性和可行性。     

基于EPT的内存虚拟化研究与实现

为降低虚拟机监控器在内存虚拟化方面的开销,提高内存虚拟化性能,分析了两种的内存虚拟化机制,着重对基于Intel扩展页表的内存虚拟化机制进行了研究,分析了基于展页表的两种内存虚拟化方案优劣,并进一步分析了影响内存虚拟化性能的因素.针对扩展页表页故障,提出了页池的动态内存分配方案.内存虚拟化实现表明,采用扩展页表实现内存虚拟化能简化了设计流程,有效地提高了内存虚拟化性能.     

虚拟化系统的安全防护

随着肇庆供电局虚拟化系统的逐步扩容,虚拟机的不断增加,虚拟化系统上所承载的业务系统从非主营业务系统逐步向各大主营业务系统发展,虚拟化系统为肇庆供电局带来的显著优势使其应用不断深化。与此同时,对虚拟化系统的安全防护要求也发生相应的变化。在虚拟化平台环境下,现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性,避免病毒对企业的数据、应用和网络带来威胁,必须对企业的虚拟化平台安全进行结构化的完善,确保虚拟化应用的持续稳定性。该文通过虚拟化安全防护软件在肇庆供电局的测试案例,说明该技术对降低运营成本,防止数据泄漏和业务中断,提高资源的利用率具有实际意义和作用。     

一种面向虚拟化云计算平台的内存优化技术

虚拟化技术和云计算平台的结合带来了全新的资源整合和使用模式,基于虚拟化技术的资源按需分配与调度可以提高云平台资源的利用率,提升云服务的服务质量,并降低云用户的总体拥有成本.但是,物理服务器的资源边界限制了资源的全局优化能力.文中引入了一种面向虚拟化云平台的全局内存优化框架-通过引入由逻辑地址空间和全局扩展地址空间构成的...     

基于硬件虚拟化的内核同层多域隔离模型

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即,在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其他所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,...     

Xen安全机制探析

虚拟化技术正在成为一种主流的网络应用,Xen作为一种虚拟化产品,已经在开源社区中得到广泛推广,其安全风险也受到业界关注。文章系统分析了Xen的安全框架XSM的实现机制和关键技术,介绍了ACM和Flask两种不同的安全构架,深入剖析了其中安全模型的具体实现原理和方法,并结合实际应用中的场景进行了安全保护分析。     

基于QEMU的Xen文件系统加解密设计

针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。     

DMM:A dynamic memory mapping model for virtual machines

Memory virtualization is an important part in the design of virtual machine monitors(VMM).In this paper,we proposed dynamic memory mapping(DMM) model,a mechanism that allows the VMM to change the mapping between a virtual machine's physical memory and the underlying hardware resource while the virtual machine is running.By utilizing DMM,the VMM can implement many novel memory management policies,such as Demand Paging,Swapping,Ballooning,Memory Sharing and Copy-On-Write,while preserving compatibility with va...     

一种面向Xen虚拟计算环境的运行时内存泄漏检测方法

虚拟计算环境中系统性能的稳定性问题研究对于云计算相关技术的研究和应用具有重要的理论和实际意义.长时间不停机系统的内存泄漏可能给实际应用带来严重后果,在虚拟计算环境中检测运行时内存泄漏是一个极具挑战性的问题.针对该问题,对内存泄漏的现象进行了分类.基于Xen虚拟机构建并实现了一种面向Xen虚拟计算环境的虚拟化内存泄漏检测(virtualization memory leak detection, VMLD)的方法,提出了相应的检测规则.通过修改虚拟机管理器,设计超级调用,实现了内部缓冲区维护、控制、拦截、监视等模块.实验结果表明,VMLD方法能有效地检测出运行时内存泄漏,并且具有较好的性能.     

一种基于Xen的信任虚拟机安全访问设计与实现

结合信任计算技术与虚拟化技术,提出了一种基于Xen的信任虚拟机安全访问机制,为用户提供了一种有效的安全访问敏感数据的模式。其核心思想是利用虚拟机的隔离性,为数据信息应用提供一个专用的隔离环境,同时利用信任计算技术保证该虚拟平台配置状态的可信性。     

虚拟机协同调度问题研究

由于虚拟化技术能对多个服务有效隔离避免其相互间干扰而得到广泛应用。对于需要多个服务协同工作的大型应用,传统虚拟机监控器调度时忽视了虚拟机间的协同性,降低了虚拟机间并行工作的可能性,从而影响了服务质量。对虚拟机的协同调度进行研究,分析了调度对虚拟机协同性及服务质量的影响,提出了一种虚拟机协同调度算法。实验表明,协同调度使虚拟化平台服务器响应时间降低了1/3,且没有对调度的公平性造成明显影响。     

代码重用攻击与防御机制综述

由于C与C++等计算机程序中广泛存在的漏洞,攻击者可以通过这些漏洞读取或篡改内存中的数据,改变计算机程序原有的执行状态达到破坏的目的。为此研究者进行了不懈地努力并采取了一些卓有成效的保护机制,例如数据不可执行与内存布局随机化,这些防御机制对于早期的代码注入攻击起到了极好的防御效果,然而计算机系统的安全性依然不容乐观。攻击者在无法通过向内存中注入自己的代码并执行的方式完成攻击后,开始利用内存中原有的代码,通过控制它们执行的顺序来达到自己的目的,这种攻击方式称为代码重用攻击,它具有极大的威胁性,能够绕过多种现行的安全措施,并成为攻击者的主流攻击方式。为此,研究界针对代码重用攻击的研究也逐渐增多。本文简述了代码重用攻击的起源,攻击实现的方式,系统化地总结了现有的防御机制并对这些防御机制进行了评价。对代码重用攻击的根本原因进行了简要的分析,并提出了一种新的防御机制设计思路。     

提升缓存效率的Xen虚拟机调度优化

Xen4.1发布的两个调度算法,都无法在服务器多任务虚拟化时得到好的性能。首先分析虚拟机上运行的3种任务的特点及要求,然后提出优化方法:将I/O任务按已消耗时间排序,优先调度消耗时间少的I/O任务,并记录缓存关联计算型任务,以保持运行时缓存的一致性,最终在保证I/O响应和带宽性能的基础上显著提高了缓存性能。     

x86服务器虚拟化平台性能测试

提出一种x86服务器虚拟化平台的性能测试系统。该系统支持Xen、VMware ESXi和Microsoft Hyper-V这3种虚拟化平台,可对平台上的虚拟服务器进行性能测试,同时获取虚拟化平台的性能数据。运用该系统对3种虚拟化平台完成性能测试,结果表明,Xen半虚拟化技术具有性能优势,而ESXi的总体表现最好。