基于VMFUNC的虚拟机自省触发机制

虚拟化技术作为云计算的基础得到了广泛应用,但随之而来的虚拟机安全问题日趋严重.虚拟机自省作为一种从外部监控虚拟机内部运行状态的方法,为解决虚拟机安全问题提供了新视角,但同时也引入了巨大开销,阻碍了实际应用.提出了一种基于VMFUNC的虚拟机自省(virtual machine introspection, VMI)触发机制.该机制借助CPU硬件特性VM-Function以及RDTSC指令模拟,将调用时产生VM Exit开销降至最低;利用VMFUNC的功能为目标虚拟机切换备用扩展页表,避免VMI程序运行时对虚拟机执行的中断;通过重载VMFUNC指令和Xentrace的功能实现高效的触发与信息传递机制,主动触发VMI程序运行,克服了VMI程序常驻带来的大量资源消耗.实现了虚拟机自省即服务系统,并进行了实验验证.结果表明：本系统带来额外性能开销不超过2%,使VMI在实际云环境中的广泛应用成为了可能.     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所...     

基于动态信任根的虚拟机监控器动态完整性度量架构

现有虚拟机监控器(VMM)动态完整性度量架构在度量信任根的安全性方面存在问题,同时没有综合考虑VMM中需要进行完整性度量的数据,为此提出了一种基于动态信任根的VMM动态完整性度量架构。采用基于AMD的安全虚拟机技术构建动态信任根,可以实现对度量程序加载执行前的完整性度量;同时构建封闭独立的执行环境,从而可以有效地解决度量信任根的问题。通过分析VMM运行时的内存状态,对所有需要进行完整性保护的静态持久化数据进行完整性度量,从而可以保证度量内容的完备性。同时给出该架构在Xen上的实现。实验结果表明,该架构可以有效地解决度量信任根的问题,并且对度量内容具有良好的扩展性,从而保证度量内容的完备性;此外,该度量架构与现有架构Hyper Check-SMM相比有23.3%的性能提升。     

基于可信计算的动态完整性度量模型

静态完整性度量不能保护系统在运行过程中的完整性。为此,提出一种基于可信计算的动态完整性度量模型。在现有的完整性度量架构中引入虚拟化技术,有助于系统管理员掌握系统在运行过程中的完整性。在软件加载后,对运行中的进程行为进行监控,动态度量其完整性。分析结果表明,该模型能防止运行过程中恶意攻击破坏系统的完整性,从而提高系统安全性。     

系统虚拟机关键技术研究

分析了系统虚拟机的基本原理;对系统虚拟机设计中的关键问题,包括处理器、内存和I/O设备的虚拟化、以及虚拟机的迁移进行了深入研究,分析了需要解决的问题,比较并总结了针对这些问题已提出的解决方法。探讨了基于虚拟机的各种应用,展望了虚拟机发展趋势。     

一种基于虚拟机自省的安全检测框架

虚拟机自省技术(Virtual Machine Introspection,VMI)允许一台虚拟机(Virtual Machine)中的进程查看另一台虚拟机的运行状态,系统原型称为Livewire,是基于虚拟机自省的主机入侵检测系统。虚拟机自省技术所能查看的运行状态涵盖对内存的整体读写访问、对处理器寄存器的读访问、虚拟机的一些元数据等,同时还可以查看在特定状态下的流出及流入虚拟机的参数,其中包括网络流量(Network Traffic)及硬盘存储等。     

基于虚拟机监控技术的可信虚拟域

针对云计算中带内完整性度量方案存在的依赖操作系统安全机制、部署复杂和资源浪费等问题,提出了基于虚拟机监控技术的带外完整性度量方案,可用于为云计算基础设施即服务（IaaS）的租户提供可信的虚拟域。该方案包括域外监控方案和域内外协同监控方案两部分。前者可对开源Linux虚拟域实现完全透明的完整性度量,同时弥补了其他基于系统调用捕获的域外方案所存在的不足。后者将实时度量与预先度量方法、域内度量与域外度量方法、细粒度的注册表度量方法和基于系统调用的域间信息传输方法相结合,可对不完全开源的Windows虚拟域实现完整性度量。实验证明了方案的度量能力是完备的、性能影响是可接受的。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

虚拟机技术的复兴

虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I／O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。     

基于VMI的虚拟机攻击防护机制研究

首先介绍了云计算基础设施即服务所存在的安全隐患,在此基础上对垫脚石攻击的防护机制作了分析。针对此攻击,提出了一种新的保护机制,即VMI攻击拦截机制,并对VMI攻击拦截机制进行了实现。     

轻量级虚拟机软件技术——LVMM

为提高PC系统的可管理性和安全性,提出一种轻量级虚拟机软件技术——LVMM。定义活跃用户域,可直接访问除磁盘和网络之外的物理设备,以及虚拟磁盘和虚拟网络设备。保证在保持PC使用模式基本不变的前提下,可在同一平台上同时运行多个用户虚拟系统,且支持独立于用户操作系统的资源访问控制。经测试,LVMM原型系统具有较小的整体虚拟化开销。     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

虚拟机自省技术研究与应用进展

虚拟机自省技术是备受学术界和工业界关注的安全方法,在入侵检测、内核完整性保护等多方面发挥了重要作用.该技术在实现过程中面临的一个核心难题是底层状态数据与所需高层语义之间的“语义鸿沟”,该难题限制了虚拟机自省技术的发展与广泛应用.为此,本文基于语义重构方式的不同将现有的虚拟机自省技术分为四类,并针对每一类自省技术中的关键问题及其相关工作进行了梳理;然后,在安全性、性能及可获取的高层语义信息量等方面对这四类方法进行了比较分析,结果显示不同方法在指定比较维度上均有较大波动范围,安全研究人员需综合考虑四类方法的特点设计满足自身需求的虚拟机自省方案.最后,本文详细介绍了虚拟机自省技术在安全领域的应用情况,并指出了该技术在安全性、实用性及透明性等方面需深入研究的若干问题.