虚拟化环境中内存隔离性测试与分析

设计一个虚拟化内存性能隔离度评测系统,该系统采用细粒度的干扰方法,针对虚拟化系统的内存带宽和内存空间的隔离性进行干扰测试,测试多个虚拟机同时访问内存时性能之间的相互影响。测试结果表明,当前的硬件和软件平台在虚拟化性能隔离度的支持方面依然存在着较大的缺陷,在存在干扰情况下,被测虚拟机的性能指标下降严重。     

基于Xen的虚拟化访问控制研究综述

虚拟化作为云计算的核心技术,在广泛应用与迅速发展的同时,其安全威胁也日益凸显,严重阻碍了虚拟化的发展,是亟待解决的重要问题。学术界提出各种解决方案,其中访问控制技术作为虚拟化安全的重要屏障,获得广泛关注和研究。首先回顾了访问控制技术的发展及其对比,其次分析了Xen虚拟化环境中的安全问题以及所采用的访问控制技术,最后对目前国内外虚拟化安全访问控制的研究进行了总结。     

基于虚拟化的云计算平台的内存管理研究

虚拟化技术使云计算能够统一管理计算资源、提高资源利用率。主要研究虚拟机的内存虚拟化方式以及虚拟机内存调整技术。虚拟机内存资源在灵活的调制机制下可弹性变化,为提高云计算的扩展性提供重要的技术支持,提高系统整体性能。     

基于内存更新记录的漏洞攻击错误定位方法

软件漏洞攻击威胁日益严重.其中基于内存腐败漏洞的攻击最为普遍,如缓冲区溢出和格式化串漏洞.提出一种针对内存腐败漏洞攻击的自动错误定位方法.基于内存更新操作记录,可以回溯找到程序源代码中腐败关键数据的语句,从而提供有益的信息修复漏洞并生成最终补丁.     

内存数据污染攻击和防御综述

内存数据被污染往往是程序漏洞被利用的本质所在,从功能角度把内存数据划分为控制相关和非控制相关,由此引出控制流劫持攻击和非控制数据攻击。两者危害程度相当,前者因利用成本较低而成为主流,但随着控制流劫持防御方法的不断完善,非控制数据攻击逐渐被重视。研究者先后在顶级会议上提出了数据导向攻击得自动化利用框架Data-oriented Exploits （DOE）以及图灵完备性地证明Data-oriented Programming （DOP）,使得非控制数据攻击成为热点。本文基于这两种攻击形式,首先简化内存安全通用模型,并对经典内存数据污染攻击和防御的原理进行分析,其次分别论述新型控制流劫持和非控制数据攻击与防御的研究现状,最后探讨内存安全领域未来的研究方向,并给出两者协作攻击和防御的可能方案。     

基于VMI技术的内存泄露的检测

文中用VMI（虚拟机自省）技术实现了由外部对VM（虚拟机）内部内存大小的透明实时的监控。VMI技术在纯净的环境下记录虚拟机的内存量,用增量叠加的方法记录加入此域的内存泄露的程序对内存的影响。内存泄漏的堆积会最终消耗尽系统所有内存,因此内存泄漏是造成计算机安全事故的主要原因之一。本文实验通过开放源代码虚拟机监视器Xen,使用了xen内核的半虚拟化模式,由外部检测虚拟机进程的内存消耗量来判断应用程序是否有内存泄露。由于这种方式可以为用户提供独立、隔离的计算环境,不需要修改源程序或者对程序进行重新编译,不必有其它特殊硬件需求,系统性能损失较小并且有一定的通用性,因而在判断内存泄露是其它解决方案无法取代的。实验结果表明：对内存的监控数据证明了实验系统的有效性和可行性。     

基于EPT的内存虚拟化研究与实现

为降低虚拟机监控器在内存虚拟化方面的开销,提高内存虚拟化性能,分析了两种的内存虚拟化机制,着重对基于Intel扩展页表的内存虚拟化机制进行了研究,分析了基于展页表的两种内存虚拟化方案优劣,并进一步分析了影响内存虚拟化性能的因素.针对扩展页表页故障,提出了页池的动态内存分配方案.内存虚拟化实现表明,采用扩展页表实现内存虚拟化能简化了设计流程,有效地提高了内存虚拟化性能.     

虚拟化系统的安全防护

随着肇庆供电局虚拟化系统的逐步扩容,虚拟机的不断增加,虚拟化系统上所承载的业务系统从非主营业务系统逐步向各大主营业务系统发展,虚拟化系统为肇庆供电局带来的显著优势使其应用不断深化。与此同时,对虚拟化系统的安全防护要求也发生相应的变化。在虚拟化平台环境下,现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性,避免病毒对企业的数据、应用和网络带来威胁,必须对企业的虚拟化平台安全进行结构化的完善,确保虚拟化应用的持续稳定性。该文通过虚拟化安全防护软件在肇庆供电局的测试案例,说明该技术对降低运营成本,防止数据泄漏和业务中断,提高资源的利用率具有实际意义和作用。     

一种面向虚拟化云计算平台的内存优化技术

虚拟化技术和云计算平台的结合带来了全新的资源整合和使用模式,基于虚拟化技术的资源按需分配与调度可以提高云平台资源的利用率,提升云服务的服务质量,并降低云用户的总体拥有成本.但是,物理服务器的资源边界限制了资源的全局优化能力.文中引入了一种面向虚拟化云平台的全局内存优化框架-通过引入由逻辑地址空间和全局扩展地址空间构成的...     

基于AMD硬件内存加密机制的关键数据保护方案

长期以来,保护应用程序关键数据（如加密密钥、用户隐私信息等）的安全一直是个重要问题,操作系统本身巨大的可信计算基使其不可避免的具有许多漏洞,而这些漏洞则会被攻击者利用进而威胁到应用程序的关键数据安全。虚拟化技术的出现为解决此类问题提供了一定程度的帮助,虚拟化场景下虚拟机监控器实际管理物理内存,可以通过拦截虚拟机的关键操作为应用程序提供保护,而硬件内存加密机制则能够解决应用程序在运行时内存中明文数据被泄露的问题。本文基于虚拟化技术和AMD的硬件内存加密机制,提出了一套高效的关键数据保护方案,并通过应用解耦和技术将关键数据与代码与其余的正常数据与代码分离并置于隔离的安全环境中运行从而达到保护关键数据的目的。测试显示,软件带来的系统性能开销小于1%,关键部分的性能开销小于6%,常见应用的延迟在接受范围内。系统能够成功保护应用程序如私钥等关键数据免受恶意操作系统的读取与Bus Snooping、Cold Boot等物理攻击。     

应用内存超售在虚拟化环境中优化SGX的性能

随着安全性在云计算中越来越受到关注,英特尔自2015年起提出了SGX.它提供enclave,并保护enclave中的应用程序免受不信任的软件(包括客户操作系统和虚拟机监视器)和硬件(英特尔CPU包除外)的攻击.然而,SGX只能支持256MB的enclave内存EPC.因此,在不同的虚拟机之间高效分配宝贵的EPC资源对整...     

代码重用攻击与防御机制综述

由于C与C++等计算机程序中广泛存在的漏洞,攻击者可以通过这些漏洞读取或篡改内存中的数据,改变计算机程序原有的执行状态达到破坏的目的。为此研究者进行了不懈地努力并采取了一些卓有成效的保护机制,例如数据不可执行与内存布局随机化,这些防御机制对于早期的代码注入攻击起到了极好的防御效果,然而计算机系统的安全性依然不容乐观。攻击者在无法通过向内存中注入自己的代码并执行的方式完成攻击后,开始利用内存中原有的代码,通过控制它们执行的顺序来达到自己的目的,这种攻击方式称为代码重用攻击,它具有极大的威胁性,能够绕过多种现行的安全措施,并成为攻击者的主流攻击方式。为此,研究界针对代码重用攻击的研究也逐渐增多。本文简述了代码重用攻击的起源,攻击实现的方式,系统化地总结了现有的防御机制并对这些防御机制进行了评价。对代码重用攻击的根本原因进行了简要的分析,并提出了一种新的防御机制设计思路。     

Huge Page Friendly Virtualized Memory Management

With the rapid increase of memory consumption by applications running on cloud data centers,we need more efficient memory management in a virtualized environment.Exploiting huge pages becomes more critical for a virtual machine's performance when it runs large working set size programs.Programs with large working set sizes are more sensitive to memory allocation,which requires us to quickly adjust the virtual machine's memory to accommodate memory phase changes.It would be much more efficient if we could adjust virtual machines'memory at the granularity of huge pages.However,existing virtual machine memory reallocation techniques,such as ballooning,do not support huge pages.In addition,in order to drive effective memory reallocation,we need to predict the actual memory demand of a virtual machine.We find that traditional memory demand estimation methods designed for regular pages cannot be simply ported to a system adopting huge pages.How to adjust the memory of virtual machines timely and effectively according to the periodic change of memory demand is another challenge we face.This paper proposes a dynamic huge page based memory balancing system(HPMBS)for efficient memory management in a virtualized environment.We first rebuild the ballooning mechanism in order to dispatch memory in the granularity of huge pages.We then design and implement a huge page working set size estimation mechanism which can accurately estimate a virtual machine's memory demand in huge pages environments.Combining these two mechanisms,we finally use an algorithm based on dynamic programming to achieve dynamic memory balancing.Experiments show that our system saves memory and improves overall system performance with low overhead.     

Mogent防DoS攻击的策略与实现

随着对移动Agent技术的研究和应用不断深入，移动Agent系统的安全问题越来越受到关注．在诸多类型的安全问题中，DoS攻击作为一种常见的攻击手段，其危害性尤为突出．本文介绍了移动Agent系统中两种基本的Dos攻击的形式，通过分析它们各自的机理，分别提出防御策略，最后介绍了南京大学计算机软件新技术国家重点实验室自行研制的Mogent系统中对此策略的实现。     

数据中心网络安全攻防

该文章指出随着信息技术的普及,生产、生活、工作、学习,到处可以看到计算机和网络,互联网已经成为人类生存中不可缺少的一个重要组成部分.如今,国内外黑客技术不断发展壮大,已经远远超过现有的防卫力量,网络安全威胁已经成为一个不可忽视的问题.大国之间的军备竞赛也涉及到网络,纷纷成立网络军队,使得互联网技术也成为了一把锋利的双刃剑.     

深度神经网络后门防御综述

深度学习在各领域全面应用的同时, 在其训练阶段和推理阶段也面临着诸多安全威胁。神经网络后门攻击是一类典型的面向深度学习的攻击方式, 攻击者通过在训练阶段采用数据投毒、模型编辑或迁移学习等手段, 向深度神经网络模型中植入非法后门, 使得后门触发器在推理阶段出现时, 模型输出会按照攻击者的意图偏斜。这类攻击赋予攻击者在一定条件下操控模型输出的能力, 具有极强的隐蔽性和破坏性。 因此, 有效防御神经网络后门攻击是保证智能化服务安全的重要任务之一, 也是智能化算法对抗研究的重要问题之一。本文从计算机视觉领域出发, 综述了面向深度神经网络后门攻击的防御技术。首先, 对神经网络后门攻击和防御的基础概念进行阐述, 分析了神经网络后门攻击的三种策略以及建立后门防御机制的阶段和位置。然后,根据防御机制建立的不同阶段或位置, 将目前典型的后门防御方法分为数据集级、模型级、输入级和可认证鲁棒性防御四类。每一类方法进行了详细的分析和总结, 分析了各类方法的适用场景、建立阶段和研究现状。同时, 从防御的原理、手段和场景等角度对每一类涉及到的具体防御方法进行了综合比较。最后, 在上述分析的基础上, 从针对新型后门攻击的防御方法、其他领域后门防御方法、更通用的后门防御方法、和防御评价基准等角度对后门防御的未来研究方向进行了展望。     

网络攻击与防御研究

随着网络的发展和广泛使用,网络安全问题El趋严重,其中网络攻击成为网络安全威胁中不可忽视的重要隐惠。在分析了网络攻击方式及特点的基础上,提出了加强网络安全的防御策略。     

分布式拒绝服务攻击防御技术研究

分布式拒绝服务攻击已成为影响Internet的重要攻击手段,总结了近年来检测防御技术的研完成果,对分布式拒绝服务检测防御技术进行了分类,并详细分析了防御技术。对防御分布式拒绝服务攻击提供了很大的参考价值。