基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

虚拟机环境检测方法研究综述

虚拟化技术带来的资源利用、管理和隔离的优势,使其被广泛应用在虚拟服务器、恶意代码分析、云计算平台搭建等领域.恶意代码的编写者和安全研究人员也在虚拟化发展热潮中展开了新一轮的技术博弈,如何检测虚拟环境的存在成为当前研究的热点.介绍虚拟机环境检测方法的意义,从本地虚拟机环境检测和远程虚拟机环境检测两个方面分别展开举例说明检测的原理和方法,在总结虚拟机环境检测方法的基础上,指出虚拟化透明性增强的方向,探讨和分析未来的发展趋势.     

多核虚拟机监控系统

随着多核处理器时代的到来,虚拟化技术被广泛使用,而多核虚拟机就是其中一种.目前多核虚拟机监控一般都是采用硬件虚拟化的技术,即通过虚拟化技术虚拟出多个串口来达到监控目的.给出一种基于系统级共享内存的多核虚拟化监控系统方案,并提供了完整的设计与实现方案.     

有关虚拟机及虚拟化技术的几点诠注

虚拟机及虚拟化技术给计算机应用注入了新的研究与开发点,同时也存在诸多不利因素.本文综述了虚拟机及虚拟化技术的发展历程,指出了虚拟机与虚拟化目前在应用上存在的若干问题.针对这些问题,结合虚拟机技术的发展,给出了研究与开发的相关建议.     

一种恶意软件行为分析系统的设计与实现

基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足：一方面,现有虚拟机监视器（Virtual Machine Monitor,VMM）的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机（SVM）、二级页表（NPT）和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好。     

虚拟化技术与网格计算

主要介绍了虚拟化技术和网格计算技术的发展,以及虚拟化技术在网格计算中的应用.虚拟化技术是一种非常灵活的技术,利用它用户能够动态地实例化一个操作系统以执行他们需要的应用.为了使创建的虚拟机更加有效的参与网格计算,介绍了一种虚拟网络,它能够有效地将虚拟机连接到网络中,并且能够根据网络流的负荷动态地改变拓扑结构和路由路径,最后用parallels工作台创建了虚拟机,并且进行了相关实验.     

VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM（kernel-based virtual machine）虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明：VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.     

跨虚拟机的可信检测

随着网络计算以及"云计算"的兴起,虚拟化技术得到了更多重视与应用。在计算机技术中,安全问题一直是非常重要研究课题。运用虚拟化技术,可以发现一些新的方法来解决传统非虚拟化计算机环境下的安全问题。设计并实现了虚拟机之间的检测方法,来对目标虚拟机进行可信检测。该方法最大的优势在于其对目标虚拟机进行可信检测的同时,可以避免恶意软件对检测程序本身的攻击。     

基于完全虚拟化的安全监控技术探析

近几年来随着计算机虚拟化技术的迅速发展,基于完全虚拟化技术的安全监控应运而生,它不仅能确保监控工具的有效性、牢固性,而且监控技术易于实现.本文将从安全监控架构中内核、内核可加戢模块两个方面存在的问题对基于完全虚拟化的安全监控技术进行探析.     

VMware虚拟机检测技术研究

近年来,随着虚拟化技术的进一步发展,特别是VMware虚拟机在桌面应用的广泛流行,使得人们越来越认识到虚拟化技术的优势.本文就VMware虚拟机检测技术进行研究和探讨.     

虚拟机技术的复兴

虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I／O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。     

虚拟机UML下的主机入侵检测

通过对虚拟机UML（user—mode Linux）的体系结构的分析,结合它自身的特点,提出了一种适合于UML的主机入侵检测方法：关于虚拟机的主机系统调用的入侵检测系统。这种方法是从虚拟机外部,即它的虚拟机管理器VMM（Virtual Machine Monitor）上采集数据,和传统的在虚拟机内部采集数据的方法比较,这种方法速度快,而且还很安全。     

VMM入侵检测系统体系结构

针对现存入侵检测系统存在的问题,提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例,因为虚拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。     

服务器虚拟化安全机制研究

服务器虚拟化技术立足于操作系统和CPU提供的权限控制,由工作在底层的虚拟机监控器为客户机提供资源的实时监控、授权访问、追踪审计等安全功能;同时虚拟机监控器自身采用可信计算技术,实现动态的可信认证;配合其他安全策略规划,服务器虚拟化为客户机提供更好的私密性和完整性保护.     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

轻量级虚拟机软件技术——LVMM

为提高PC系统的可管理性和安全性,提出一种轻量级虚拟机软件技术——LVMM。定义活跃用户域,可直接访问除磁盘和网络之外的物理设备,以及虚拟磁盘和虚拟网络设备。保证在保持PC使用模式基本不变的前提下,可在同一平台上同时运行多个用户虚拟系统,且支持独立于用户操作系统的资源访问控制。经测试,LVMM原型系统具有较小的整体虚拟化开销。     

一个新的安全内核模型研究

利用保护环和安全内核的功能,提出了一种新的增强操作系统安全性的模型.新模型中,虚拟机监控器中被用来保护运行时安全内核.虚拟机监控器运行在有最高特权级的保护环上,安全内核和用户进程分别运行在次高特权级和最低特权级的保护环上.当次高特权级的安全内核试图写某些关键的系统资源时,写操作必须经过运行于最高特权级的虚拟机监控器的验证和许可.结果,该模型能够阻止恶意代码修改并绕过运行时安全内核.     

基于Xen硬件虚拟机的安全通信机制研究

在深入分析Xen硬件虚拟机通信机制和网络安全控制技术的基础上,实现了Xen硬件虚拟机安全通信机制,它在虚拟机监控器上加入了一个安全服务器,同时在虚拟机进行网络通信的关键路径上添加安全检查模块,实现了虚拟机通信的访问控制,提高了虚拟域间通信的安全性。     

高效能计算机系统虚拟化技术研究

高效能计算机对系统的性能、安全性、可靠性和易用性等方面提出了更高的要求。虚拟机技术由于具有安全性好、配置和管理灵活等特点,已广泛应用于服务整合和安全管理等领域。但是,由于虚拟机技术在性能、管理和体系结构适用性等方面原因,在高性能并行计算机系统上尚未真正实用。我们提出了一种面向高性能并行计算机的虚拟化技术:高性能虚拟计算域(HPVZ)。HPVZ技术在保证系统性能的前提下,提供了具有用户独立可定制运行环境、服务质量管理、安全隔离和动态迁移的虚拟化高性能计算环境。测试表明,HPVZ在保证用户可以获得高性能计算机的原始计算能力的基础上,方便了用户使用,并改变了高性能计算机的传统使用模式。     

面向MicrosoftVirtualPC的虚拟机远程检测方法

虚拟机技术的广泛应用给信息安全带来新的问题和挑战,由于现有的安全扫描系统检测不到虚拟机的存在,所以无法扫描虚拟机的安全漏洞。文中提出了一种面向VPC（Microsoft VirtualPC）的虚拟机远程检测方法,此方法根据虚拟机MAC地址中携带的厂商标识符,能正确地识别网络中存在的VPC虚拟机;并利用虚拟机与宿主机的关联性快速寻找到虚拟机的宿主机,为进一步扫描虚拟机的安全漏洞和管理虚拟机网络提供基础。实验结果表明,该方法能准确地检测网络中存在的VPC虚拟机。