GOSBMB:基于客户操作系统行为的虚拟机内存均衡方法

在虚拟机环境中为客户操作系统分配内存资源时,需在性能和资源利用效率之间进行权衡.本文提出一种基于客户操作系统行为的虚拟机内存均衡方法GOSBMB(Guest Operating System Behaviors based Memory Balancer).该方法在尽量降低性能损失的前提下,根据客户操作系统中进程工作集...     

基于硬件虚拟化技术的进程保护和监控

随着网络技术的发展,网络恶意代码的越来越有攻击性,系统的安全漏洞往往导致数据丢失。虽然每天更新保护方法和软件,一些最近的rootkit,无形中仍然可以访问内核,是系统安全的新挑战。对系统安全的重点是如何保护受感染的操作系统上选定的进程。进程的保护和监控正越来越重要。在文章中,我们提出了一种基于硬件的虚拟化技术。它引入了一种新的机制虚拟机监视器(VMM)。和原始方法相比,它提供了一个超越传统的操作系统和处理器架构实施分级的保护域。     

基于QEMU的程序行为监视系统设计与实现

虚拟机监视器(Virtual Machine Monitor,VMM)具有强隔离性、高透明性的特点,成为研究系统行为和程序行为的热点。文中针对利用VMM带来的语义鸿沟问题,选择开源虚拟机软件QEMU做为VMM,提出了一种基于QEMU的程序行为监控方法,通过对QEMU结构及实现原理的分析,利用QEMU内建函数和嵌入钩子函数的方式获取程序行为的低层(Low-level)数据,完成对进程行为的视图重构,并提取出程序的关键行为数据,以作为对程序检测的重要依据。实验结果表明该方法能有效提取程序的行为数据并重构出关键的行为信息。     

基于快速语义修复的操作系统隐藏对象检测技术

与传统的入侵检测系统相比,基于虚拟机自省的入侵检测系统的抗干扰性更强.但由于存在语义鸿沟问题,即低层的硬件字节信息与操作系统级语义之间的差异,导致入侵检测系统的通用性和实时性下降.针对此问题,本文提出了Vlhd,一种基于语义鸿沟修复方法的rootkit隐藏对象检测技术.Vlhd将系统分离成离线和在线模块两部分.在线模块用于即时地在虚拟机外部重构虚拟机语义视图;离线模块用于离线地提取操作系统语义知识,并向在线模块提供语义服务.通过对各类Linux操作系统和多种rootkit进行入侵检测试验,发现Vlhd对rootkit的隐藏对象检测效果良好,通用性强.Vlhd的单次扫描时间为34ms,对系统引入了1.1%（扫描周期设置为8s时）的性能开销.     

虚拟机的可信计算技术研究

虚拟化技术作为云计算的关键技术,提高了企业计算资源的利用率。为了保证虚拟机运行环境的完整性和安全性,基于KVM虚拟机平台提出了一种可信虚拟计算架构。解决了可信虚拟平台下虚拟身份证明密钥的私密性问题,使得信任链能够从硬件TPM延伸到客户操作系统,为虚拟机的安全提供了保障。     

操作系统通信安全机制的研究与设计

操作系统安全机制作为计算机安全的基础,为应用层的应用软件提供了初步的安全机制,用以解决当前计算机面临的问题.本设计将在裸机上部署的操作系统移至虚拟化平台上,借助主机(Host)操作系统的安全措施保护虚拟机的操作系统.将关键硬件的控制权交给主机操作系统,在虚拟机外部实现操作系统通信安全策略.在虚拟机技术的支持下,研究设计了基于IP地址的数据包过滤、基于接口的数据包过滤和基于端口号的数据包过滤;并且,在驱动程序中加入加密算法,使得加密过程不受应用程序的干预,使数据的安全性得到更高保障.     

基于虚拟机的操作系统开发

首先对Minix系统进行了简要介绍,然后阐述了虚拟机系统的结构、虚拟技术的分类及Bochs虚拟机软件,接下来描述了基于Bochs的操作系统开发平台的具体安装及配置过程,最后给出了一个具体的操作系统开发实例.     

云计算中虚拟机计算环境安全防护方案

提出了一种虚拟机计算环境的安全防护方案,该方案采用虚拟机内外监控相结合的方式对虚拟机的计算环境进行持续、动态的监控和度量,可对虚拟机进行反馈控制,保障虚拟机计算环境的安全,提升虚拟机的动态适应能力。对比现有安全防护案,该方案充分考虑了云计算中虚拟机效率损耗问题,安全性和执行效率较高,适用于虚拟计算环境。     

云计算环境中虚拟机用户身份认证技术研究及实现

安全问题是云计算应用最受关注也是最受争议的一个问题,云计算中虚拟机使用者具有强身份认证一直以来都是云计算需要解决的主要安全问题之一.文中从建立虚拟机使用者强身份认证入手,从必要性、使用需求、虚拟机终端认证、虚拟机登录认证、虚拟机操作系统登录认证出发,阐述了虚拟机使用者身份认证相关技术及实现流程.     

存储虚拟化设计与实现

虚拟化技术研究广泛应用于服务器到PC机,目前在嵌入式机载领域也有很多相关研究。存储虚拟化是虚拟化技术的关键部分,能够提供虚拟机之间的空间隔离能力,保证虚拟机之间不会出现空间访问越界,并且保证客户操作系统的MMU功能。本文在机载领域使用的硬件平台Power PC E500mc处理器上设计实现了存储虚拟化。     

基于VMM的外部存储接口模块的验证平台搭建

本文首先介绍了VMM层次化验证方法学的基本思想和方法,将其与传统的芯片验证技术进行了对比,并进一步对基于VMM(Verification Methodology Manual For System Verilog)方法学的验证平台结构和各个组成模块进行了详细的介绍。最后以外部存储接口(EMI)模块为例对VMM验证平台的搭建进行了具体说明,并给出了验证结果。     

基于VMM统一验证平台的处理器芯片功能验证

本文结合处理器芯片实际项目,重点介绍了功能验证环节的工作。文章基于VMM验证平台,利用System Verilog语言自动生成测试激励,采用断言和功能覆盖率相结合的验证方法,实时监测RTL模型运行时的各种信号,自动进行覆盖率统计,通过增加约束实现覆盖率的快速收敛。文章最终给出了基于VMM验证平台进行功能验证的结果,绘制了功能覆盖率上升曲线。     

基于VMM构建可重用验证平台

传统的验证平台编写复杂,且难以在不同设计之间重用。采用SystemVerilog支持的VMM验证方法学,并结合带约束的随机验证和覆盖率驱动的验证技术,构建可重用验证平台,完成对UART模块的验证。与直接测试方法相比,该验证平台不仅能够有效提高验证效率,而且在模块级和系统级验证过程中,能够重用该验证平台或验证组件。     

基于VMM统一验证平台的Serdes芯片验证

本文基于VMM验证平台,介绍了高速串行收发器芯片的验证方法。文章首先简要介绍了Serdes芯片和VMM验证方法,然后搭建了Serdes芯片的VMM统一验证平台,并从测试激励产生、寄存器读写控制、覆盖率自动统计、断言验证及覆盖率收敛等几个方面详细阐述了Serdes芯片的验证过程。最后给出了验证结果和测试报告。     

VMM中功能覆盖率收敛技术

介绍SystemVerilogVMM验证方法学在LCDController验证中的应用,指出它相对于传统Verilog验证方法的1优点,重点研究功能覆盖率的收敛技术,实验比较了多种具体的实现方法。实验结果表明,由于CCT能够收集覆盖信息,形’成闭环负反馈,以控制随机变量的生成,从而在实现快速收敛的目标方面取得了显著的效果。     

基于VMM实现的网络接口验证

网络接口是网络芯片的重要组成模块。基于VMM实现了一个网络接口的验证环境,并就其参考模型（RM）的设计与验证环境的重用性进行了较为详细的阐述。该验证环境实现了所验证网络接口模块的零缺陷交付,达到了理想的覆盖率结果。就芯片已经成功流片且样片测试通过。     

利用 VMM 平台和 AMBA VIP 对安全算法加速器模块的验证

随着安全算法的发展,其复杂性和算法操作数据位数也随之迅速增加。安全算法的硬件实现和加速器化已成为必然趋势。本文针对北京华虹集成电路设计有限公司的安全算法加速器IP核的验证项目,介绍了Synopsys公司VMM验证平台和AMBAVIP在其中的应用。主要阐述了选择VMM验证平台与AMBAVIP的依据;VMM环境中定向测试发生器(Generator)模块的编写、测试案例编写、安全算法的设计、仿真信息筛选方面的应用技巧。通过本验证平台,查出了加速器很多处设计错误。仿真平台验证结束后,在FPGA上对本加速器进行了大量椭圆曲线的测试。所有测试全部通过,证明了本验证平台的有效性。     

“In-VM”模型的隐藏代码检测模型

Security tools are rapidly developed as network security threat is becoming more and more serious. To overcome the fundamental limitation of traditional host based anti malware system which is likely to be deceived and attacked by malicious codes, VMM based anti malware systems have recently become a hot research field. In this article, the existing malware hiding technique is analyzed, and a detecting model for hidden process based on “In VM” idea is also proposed. Based on this detecting model, a hidden process detection technology which is based on HOOK SwapContext on the VMM platform is also implemented successfully. This technology can guarantee the detecting method not to be attacked by malwares and also resist all the current process hiding technologies. In order to detect the malwares which use remote injection method to hide themselves, a method by hijacking sysenter instruction is also proposed. Experiments show that the proposed methods guarantee the isolation of virtual machines, can detect all malware samples, and just bring little performance loss.     

基于SystemVerilog的网络处理器验证平台设计

描述了一种基于SystemVerilog的网络处理器验证平台设计.该验证平台基于VMM架构,采用SystemVerilog语言编写所需的验证组件和功能覆盖率代码,并在设计代码中插入断言(SVA),将两者结合起来,能够快速、准确的定位出网络处理器在执行过程中发生的错误,有效对其进行功能验证.     

基于邻接点的VMM动态完整性度量方法

对于虚拟机监控器的动态完整性度量,由于其位于特权层,且复杂多变,一直是领域内的研究难点。提出了一种基于邻接点的动态完整性度量方法,利用邻接点作为度量模块的宿主,通过面向内存页的完整性模型和评估算法,实现了动态完整性度量。实验表明,能够准确地检测到完整性受到破坏,且仅对计算密集型任务造成适中的性能损耗。