基于硬件虚拟化技术的隐藏进程检测技术*

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器（libra virtual machine monitor,LibraVMM）实现了从虚拟层隐式获取真实进程列表（true process list, TPL）的新技术。与已有的基于虚拟机技术的解决方案相比,Libra     

NAS集群中单一系统映像的关键技术

NAS(Network Attached Storage)和SAN(Storage Area Network)是目前数据存储领域的主流技术，但都存在缺陷。介绍了构建NAS集群的设想和动向，并就其单一系统映像的关键技术进行了探讨。     

基于系统虚拟化的安全技术研究

为提高操作系统和应用程序的安全性,研究了系统虚拟化的相关技术,讨论典型的基于系统虚拟化技术的安全技术应用和系统.根据研究目标的软件层次,分别从应用程序安全、操作系统安全和虚拟机监控器自身安全性三方面,对当前的研究现状和未来的发展趋势进行了分析和归纳.设计一种基于系统虚拟化技术实现对恶意软件透明安全的动态调试分析方案,通过在Intel-VT平台上实现系统原型,验证了该方法的可行性和有效性.     

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控（OFM）系统。该系统以基于内核的虚拟机（KVM）作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

基于硬件队列扩展的网卡虚拟化方案

多核架构的虚拟平台对偏重于I/O访问的应用普遍存在虚拟化性能开销大的问题。为此,提出一种基于驱动域的网卡虚拟化方案。通过具有独立中断的硬件队列对网卡进行硬件扩展,减少网卡I/O访问中虚拟机监控器的参与,提高访问效率。测试结果表明,在消息长度达到1 024 Byte时,使用虚拟接口的时延仅比非虚拟化环境高10%。     

一个基于硬件虚拟化的内核完整性监控方法

对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分析,得出了在实际系统中保证内核完整性需要的条件:保障数据完整性,影响系统功能的关键数据对象只能由指定的代码在特定情况下修改;保障控制流完整性,保护和监控影响代码执行序列改变的所有因素。并采用硬件虚拟化的Xen虚拟机监控器实现对Linux内核的保护和监控。实验结果证明,该方法能够阻止外来攻击和本身漏洞对内核的破坏。     

基于硬件辅助虚拟化技术的反键盘记录器模型

结合已有的键盘记录器,分析了Windows中从用户按键到应用程序处理消息的过程,并针对该过程详细分析了可能出现的安全威胁。在此基础上提出了基于硬件辅助虚拟化的反键盘记录器模型。利用CPU提供的硬件辅助虚拟化技术实现了虚拟机监控器,当获取用户输入时通过在虚拟机监控器中自主处理键盘中断并将读取到的键盘扫描码信息交由受保护的用户线程来保护用户键盘输入的安全。     

系统虚拟机关键技术研究

分析了系统虚拟机的基本原理;对系统虚拟机设计中的关键问题,包括处理器、内存和I/O设备的虚拟化、以及虚拟机的迁移进行了深入研究,分析了需要解决的问题,比较并总结了针对这些问题已提出的解决方法。探讨了基于虚拟机的各种应用,展望了虚拟机发展趋势。     

基于ARM虚拟化扩展的安全防护技术

近几年来,随着移动平台用户量的增加,移动平台安全成为安全领域关注的焦点.而ARM的虚拟化扩展,使得如何基于虚拟化技术进行移动平台的安全防护成为一个研究热点.本文首先介绍了虚拟化技术的分类以及早期的相关研究.然后,给出了ARM虚拟化扩展的相关概念,并与x86虚拟化扩展进行了对比.随后重点介绍了基于硬件辅助虚拟化技术的安全研究现状,主要包括通用的系统框架以及针对特定攻击的安全工具.最后,本文对基于ARM虚拟化扩展的安全防护技术的发展方向进行了展望.     

云计算环境下的资源监测模型研究

云计算环境下的资源监测是云计算平台资源管理的重要组成部分,为资源分配、任务调度和负载均衡等提供依据。由于云计算环境下资源的透明虚拟化和弹性化,并需要对用户使用资源进行计费,因此原有的资源监测方法不能完全满足云计算环境的要求。为此,根据云计算平台的特点,提出一种适应云计算环境下的资源监测模型,该模型通过虚拟机监测器和Java调用C/C++得到资源的状态信息。通过理论分析和实验表明,该模型可以较好地收集节点的资源监测信息,满足云计算平台特性的要求。     

虚拟机监视器的安全性分析

分析虚拟机监视器的安全性能,结合开源虚拟化软件Xen分析其潜在威胁和漏洞,如超级调用、I/O直接内存传输等。设计并实现一种通过修改Xen VCPU状态信息来破坏虚拟机稳定性的方法,同时给出具体的防范措施,如可以对关键数据结构计算其校验值,及时发现是否被入侵,也可以直接禁止模块的加载,避免一切可能由模块带来的安全性问题。     

一种虚拟机监控器的时间片动态调整机制

在同一物理主机甚至同一CPU/core上,虚拟化技术使得多个虚拟机能够以公平共享物理资源的方式运行。然而,随着共享同一CPU/core的虚拟机数量的增多,每个虚拟机所经历的物理CPU/core访问延迟也在显著增加,造成异构型应用(运行过程中既有网络I/O需求,也有计算需求)在性能方面的负面影响。为解决上述问题,引入一种应用类型感知的虚拟机管理器时间片动态调整机制。该机制可以根据虚拟机中应用的类型动态调整虚拟机的时间片长度。实验结果表明,与Xen Credit调度机制相比,时间片动态调整机制可使异构型应用(Nginx Web服务器)具有更好的响应能力和吞吐能力。     

移动平台Android操作系统虚拟化技术的实现

虚拟化技术的研究正逐渐从服务器端转向移动智能设备领域。现有的虚拟化架构需要在物理硬件层和虚拟系统间进行大量的指令翻译,开销大,效率低。针对这一问题,提出了一种轻量级的移动操作系统虚拟化架构。通过在Linux内核命名空间机制的基础上扩展Driver命名空间框架,实现了多个虚拟Android系统的同时运行。此外,针对多个虚拟系统同时访问一套硬件设备发生冲突的问题,设计了通用的active-inactive模型来保证虚拟系统间对硬件设备的隔离复用。实验结果表明,虚拟后的Android系统在CPU使用率上并没有增加额外的开销,在内存使用量上减少了6.7%,此虚拟化架构具有很好的通用性与实用性。     

基于监控器时间开销的虚拟机发现方法

针对传统方法只能发现单一类型虚拟机的缺陷,提出基于虚拟机监控器时间开销的虚拟机发现方法。特定指令能使监控器运行时产生显著的额外开销,该方法能利用监控器执行不同指令序列产生的相对时间开销对虚拟机进行判别。实验结果表明,该方法能够准确发现目前3类主流虚拟机。     

基于虚拟机监控器的Windows剪贴板操作监控

针对现有剪贴板操作监控无法抵御内核层攻击,且所采取的单一保护策略无法满足现实需求的问题,提出一种基于虚拟机监控器(VMM)的文档内容剪贴板操作监控技术,并提出基于剪贴板操作监控的电子文档分级保护策略。首先,通过修改影子寄存器的方法在VMM层截获并识别系统调用;其次,监控文档打开操作建立进程标识符和文档路径之间的映射表,并在截获到剪贴板操作后通过进程标识符解析文档路径;最后,根据电子文档分级保护策略对剪贴板操作进行过滤。实验结果表明,监控系统给客户机文件系统带来的性能损耗随着文件读写块的增大而减小,当读写块大小达到64 KB以上时,客户机性能损耗在10%以内,对用户影响不大。     

分布式VMM通信架构的研究与原型实现

针对分布式虚拟机监控器(DVMM)的通信需求,研究并实现一套DVMM的通信方案,利用精简可靠数据协议为分布于多台物理主机之上的VMM提供可靠、有序、高效的通信服务。通信方案测试表明,与现行TCP/IP协议栈相比,尽管该方案的带宽并无提升,但是对通信延迟却减小了45%左右,显示了该方案的可行性和优越性。