VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM（kernel-based virtual machine）虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明：VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

一种采用嵌套虚拟机的软件保护方案

随着逆向工程的发展,传统的众多保护方法已经不再适合现代软件保护的要求.给出了一种新的基于虚拟机的保护方案,将本地机器码译成虚拟指令并由虚拟机解释和执行,抽象了软件语义,使得逆向工程师极难理解高层原程序逻辑.此外,方案中采用了嵌套多重虚拟机技术,逆向工程师不把前一重突破就无法展开对下一重的分析,从而使得该软件保护方案极大提高了安全性.     

KVM虚拟化动态迁移技术的安全防护模型

虚拟机动态迁移技术是在用户不知情的情况下使得虚拟机在不同宿主机之间动态地转移,保证计算任务的完成,具有负载均衡、解除硬件依赖、高效利用资源等优点,但此技术应用过程中会将虚拟机信息和用户信息暴露到网络通信中,其在虚拟化环境下的安全性成为广大用户担心的问题,逐渐成为学术界讨论和研究的热点问题.本文从研究虚拟化机制、虚拟化操作系统源代码出发,以虚拟机动态迁移的安全问题作为突破点,首先分析了虚拟机动态迁移时的内存泄漏安全隐患;其次结合KVM(Kernel-based Virtual Machine)虚拟化技术原理、通信机制、迁移机制,设计并提出一种新的基于混合随机变换编码方式的安全防护模型,该模型在虚拟机动态迁移时的迁出端和迁入端增加数据监控模块和安全模块,保证虚拟机动态迁移时的数据安全;最后通过大量实验,仿真测试了该模型的安全防护能力和对虚拟机运行性能的影响,仿真结果表明,该安全防护模型可以在KVM虚拟化环境下保证虚拟机动态迁移的安全,并实现了虚拟机安全性和动态迁移性能的平衡.     

利用虚拟机监视器检测及管理隐藏进程

恶意进程是威胁计算机系统安全的重大隐患,与内核级rootkit合作时具有较强的隐蔽性和不可觉察性.传统的隐藏进程检测工具驻留在被监控系统中,容易受到恶意篡改.为提高检测信息的精确性和检测系统的抗攻击能力,设计并实现一种基于虚拟机监视器的隐藏进程检测系统.该系统驻留在被监控虚拟机外,利用虚拟机自省机制获取被监控主机的底层状态信息,借助语义视图重构技术重构其进程队列,并通过交叉视图的方式比较各进程队列间的差异,从而确定隐藏进程.同时,该系统也提供相应的响应机制,用以汇报隐藏进程的详细信息(包括实际占用内存信息、网络端口等),以及提供终止和挂起隐藏进程的功能.通过对具有隐藏进程能力的rootkit进行实验,证明了系统的有效性和可行性.     

基于Xen平台的虚拟机安全监控系统的研究

针对虚拟机安全监控系统的灵活性和安全性不足的问题,在Xen平台上研发虚拟机安全监控系统来解决该问题.对Xen虚拟机技术和虚拟机监控技术进行了详细描述,对虚拟机安全监控系统的框架进行了详细分析,给出了系统安全决策模块和安全呼叫模块之间的协商机制,并给出了系统模块的部分实现.对系统安全工程人员和项目架构人员都具有积极的作用.     

一种基于虚拟机自省的安全检测框架

虚拟机自省技术(Virtual Machine Introspection,VMI)允许一台虚拟机(Virtual Machine)中的进程查看另一台虚拟机的运行状态,系统原型称为Livewire,是基于虚拟机自省的主机入侵检测系统。虚拟机自省技术所能查看的运行状态涵盖对内存的整体读写访问、对处理器寄存器的读访问、虚拟机的一些元数据等,同时还可以查看在特定状态下的流出及流入虚拟机的参数,其中包括网络流量(Network Traffic)及硬盘存储等。     

一种基于硬件辅助虚拟化的软件行为分析器的设计与实现

基于虚拟化技术的软件行为分析是近年来出现的分析软件的方法。文本提出一种基于硬件辅助虚拟化技术的软件行为分析器——HVA。HVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)和虚拟机自省等多种虚拟化技术完成的、专门针对软件行为分析的微型VMM。结果表明,HVA在软件行为分析方面表现良好。     

一种基于冗余跳变的虚拟机动态迁移方法

在5G核心网虚拟化环境中,虚拟机共用同一物理服务器会带来一系列的安全问题,如发生侧信道攻击、虚拟节点溢出攻击等,造成用户隐私信息泄露。现有基于虚拟机动态迁移的防御方法是一种有效的主动防御技术,但虚拟机频繁迁移导致了迁移资源开销大和迁移安全性低的问题。为此,提出一种基于冗余跳变的虚拟机迁移方法,对不同虚拟机的迁移频率建立评估计算模型,在保证虚拟机隐私信息安全的前提下减小虚拟机迁移频率,对部分虚拟机采用冗余跳变的方法,以应对虚拟机频繁迁移带来的安全风险。实验结果表明,与现有虚拟机动态迁移方法相比,该方法在取得相同安全防护效果的同时,能够缩短平均迁移收敛时间并降低迁移开销。     

VMware虚拟机检测技术研究

在当信息安全领域,特别是在恶意软件分析等方面,经常利用虚拟机技术,以提高病毒分析过程中的安全性和节约硬件资源.该文通过对基于特权级压缩的VMware虚拟机的分析,提出了虚拟机检测的基本原理和方法,并提出了未来虚拟机检测技术的发展方向.     

基于位置语义的增量近邻隐私保护研究

针对LBS查询服务中构造的匿名区或选取的锚点仍位于敏感区域而导致的位置隐私泄露问题,提出一种基于位置语义的增量近邻隐私保护方法。该方法在客户端/服务器体系架构下,先根据用户的位置隐私需求计算语义安全匿名区,保护用户位置隐私;再筛选语义安全匿名区中道路交叉点作为语义安全锚点,保证了选取锚点是真实存在的,且其语义安全性达到最大;最终客户端以锚点位置请求服务并获取查询结果。实验结果表明,该方法能够较好地保护用户位置的隐私,且查询准确率较高约90%,查询时间较低约60 ms。     

基于交通领域知识网络的词汇语义相似度计算

针对传统基于wordnet的词汇语义相似度计算方法中隔离抽象词汇和具象词汇,以及片面依赖上下义关系的不足,提出了基于交通领域知识网络的词汇语义相似度计算方法.基于上下义、工具-工具对象、部件-整体等概念关系准则构建了交通词汇的知识网络图谱,提出了修正的平均路径长度参量计算网络中词汇的语义相似度,得到更高的语义一致性结果.实验表明,在Finkelstein的353对词汇集上,本文算法能够获得比传统方法更符合人工判断的语义相似度.     

基于深度学习的图像语义分割技术研究综述

图像语义分割技术是智能系统理解自然场景的关键技术之一,作为视觉智能领域的重要研究方向,该技术在移动机器人、无人机、智能驾驶以及智慧安防等领域具有广阔的应用前景。对于图像语义分割技术的研究发展历程进行了详细评述,包括从传统的语义分割方法到当前主流的基于深度学习的图像语义分割理论及其方法,重点阐述了基于深度学习的图像语义分割技术的框架及其实现过程,进而对当前具有代表性的典型算法的效果以及优缺点进行了分析,然后归纳了算法评价指标,最后对该技术的发展进行了总结与展望。该研究对于从事图像语义分割技术的研究人员和工程技术人员均具有很好的参考意义。     

IoT智能设备安全威胁及防护技术综述

伴随着物联网的产生和发展,IoT智能设备越来越多地出现,其大规模普及的同时,也给用户个人资产安全与隐私保护带来了极大地冲击和挑战。本文围绕智能设备,基于智能设备终端、云服务端和用户控制终端三端系统架构,综述目前智能设备安全威胁的主要来源和技术攻击手段,并针对性地梳理已有防护技术和安全研究现状。然后,针对现有IoT智能设备安全防护体系缺失和安全设计不足的问题,本文讨论提出了全生命周期的IoT智能设备系统防护模型设计思路。     

基于轻量操作系统的虚拟机内省与内存安全监测

针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。     

XUML/ACME集成建模方法与VMI构架研究

以供应商管理库存（VMI）模型的软件开发为背景,研究扩展UML（XUML）与ACME的集成建模方法及其在构架设计中的应用问题。探讨了UML结构模型和行为模型的语义扩展,以增强其表达能力,并将其用于VMI构架设计;进而基于ACME的开放语义框架,给出可实现的VMI构架模板的描述;最后对XUML和ACME两种建模方法的互补与集成的价值做了基本评价。通过在VMI软件开发中的实际应用,证明该方法是可行的,并取得良好的效果。     

安全属性形式化描述统一框架及其分析方法研究*

在安全协议的形式化分析研究当中,如何在统一的框架下对更多的安全属性进行分析和验证是一个亟待解决的重要问题。为了解决这个问题,本文提出了用匹配关系来形式化地描述各种安全属性的统一框架,建立了语法和语意系统,并证明了该框架的可靠性和完备性。在此基础上,将知识推理和进程演算结合起来,提出了一个安全协议形式化分析的一般模型。最后,给出了一些安全属性的研究实例,并指出了进一步完善此模型的研究方向。     

A comparison of semantic models for noninterference

The literature on definitions of security based on causality-like notions such as noninterference has used several distinct semantic models for systems. Early work was based on state machine and trace-set definitions; more recent work has dealt with definitions of security in two distinct process algebraic settings. Comparisons between the definitions has been carried out mainly within semantic frameworks. This paper studies the relationship between semantic frameworks, by defining mappings between a number of semantic models and studying the relationship between notions of noninterference under these mappings.     

移动应用安全生态链构建方法

移动应用软件安全检测和防护是软件安全领域中的研究热点.传统的安全解决方案是安全厂商将其开发的APP安装到用户终端进行保护,但对于安全意识薄弱的普通用户而言,他们不了解安全威胁的严重性和安全管理APP的重要性,终端缺少安全威胁的防御能力,需要从威胁发生的源头和传播途径进行保护.从威胁发生的源头、途径和终端出发,实现了基于编程风格的源代码作者溯源追踪、移动应用安全加固及渠道监测、基于深度学习的移动应用安全检测,构建移动应用安全生态链,保障用户个人信息安全.在实际应用环境中验证了所提出方法的有效性,结果显示,该方法能够达到应用全方位安全防护的目的.另外,也对未来的研究方向进行了展望.     

基于ARM虚拟化扩展的安全防护技术

近几年来,随着移动平台用户量的增加,移动平台安全成为安全领域关注的焦点.而ARM的虚拟化扩展,使得如何基于虚拟化技术进行移动平台的安全防护成为一个研究热点.本文首先介绍了虚拟化技术的分类以及早期的相关研究.然后,给出了ARM虚拟化扩展的相关概念,并与x86虚拟化扩展进行了对比.随后重点介绍了基于硬件辅助虚拟化技术的安全研究现状,主要包括通用的系统框架以及针对特定攻击的安全工具.最后,本文对基于ARM虚拟化扩展的安全防护技术的发展方向进行了展望.