基于虚拟机日志记录回放的可逆调试方法

传统的调试器调试程序时,仅仅能够让程序正向运行并获取其当前的状态.提出了一种可以让程序逆向运行,回到过去任意时刻的调试方法,来增强调试器的功能.该方法是通过为Xen虚拟机添加完整的日志记录和回放功能以及对GDB调试器作相应修改来实现的;调试对象可以恢复到其运行过程的任意时刻.该可逆调试器,可以解决大型软件和操作系统内核...     

基于Xen平台的虚拟机安全监控系统的研究

针对虚拟机安全监控系统的灵活性和安全性不足的问题,在Xen平台上研发虚拟机安全监控系统来解决该问题.对Xen虚拟机技术和虚拟机监控技术进行了详细描述,对虚拟机安全监控系统的框架进行了详细分析,给出了系统安全决策模块和安全呼叫模块之间的协商机制,并给出了系统模块的部分实现.对系统安全工程人员和项目架构人员都具有积极的作用.     

基于Xen虚拟机的系统日志安全研究

系统日志对于计算机系统的安全至关重要。为了确保系统日志的安全,通常的做法是通过网络将系统日志备份到远程主机上,但其在传输过程中容易被截获。提出一个运行于Xen之上的日志实时备份模型,通过系统实例之间的共享内存来传输系统日志,这样可以避免日志数据在传输过程中被暴露在网络上所带来的风险。实验表明,该方法不仅增强了系统日志的安全性,而且传输效率也非常高。     

基于Xen的X86虚拟机性能调优

目前针对虚拟机环境的性能测试工具很少，测试主要还停留在运行一些基准测试程序的基础上，对虚拟机性能的调优帮助有限。文章提出了一个Xen虚拟机环境下的性能调试工具Exentrace，介绍了其Lasylog和Smartfilter两大特性。演示了利用Exentrace在不同负载的虚拟机上收集、分析数据。利用这些数据发现并解决了一个关键的性能问题。     

基于虚拟机监控器的Windows剪贴板操作监控

针对现有剪贴板操作监控无法抵御内核层攻击,且所采取的单一保护策略无法满足现实需求的问题,提出一种基于虚拟机监控器(VMM)的文档内容剪贴板操作监控技术,并提出基于剪贴板操作监控的电子文档分级保护策略。首先,通过修改影子寄存器的方法在VMM层截获并识别系统调用;其次,监控文档打开操作建立进程标识符和文档路径之间的映射表,并在截获到剪贴板操作后通过进程标识符解析文档路径;最后,根据电子文档分级保护策略对剪贴板操作进行过滤。实验结果表明,监控系统给客户机文件系统带来的性能损耗随着文件读写块的增大而减小,当读写块大小达到64 KB以上时,客户机性能损耗在10%以内,对用户影响不大。     

虚拟机监视器的安全性分析

分析虚拟机监视器的安全性能,结合开源虚拟化软件Xen分析其潜在威胁和漏洞,如超级调用、I/O直接内存传输等。设计并实现一种通过修改Xen VCPU状态信息来破坏虚拟机稳定性的方法,同时给出具体的防范措施,如可以对关键数据结构计算其校验值,及时发现是否被入侵,也可以直接禁止模块的加载,避免一切可能由模块带来的安全性问题。     

虚拟机系统安全综述

随着云计算的广泛应用,虚拟机技术得到了复苏和长足的发展,但同时也带来了新的安全威胁,因此对于虚拟机的安全威胁和防御的研究成为目前计算机安全界的研究热点。以目前广泛应用的虚拟机Xen为例,针对虚拟机的技术特征分析了所存在的漏洞和威胁,并从计算机安全学的角度提出了相应的防御和保护方法。较为全面地总结了目前国内外针对虚拟机安全各方面相关的研究成果,通过系统的比较分析,指出了目前存在的问题,探讨了下一步的研究方向。     

虚拟机实时迁移技术研究

分析了虚拟机的实时迁移原理,重点论述了Xen的实时迁移实现方法,并在不同负载情况下对Xen的实时迁移进行了实验和探讨。     

一个基于引用监控机的内核完整性保护方法

运用引用监控机的概念和虚拟机监控器的功能,提出了一种新的保护内核完整性的方法。该方法在虚拟机监控器中增加了引用监控模块,使之成为引用监控机;让客户操作系统内核以非特权模式运行在引用监控机上,使其对某些资源的修改操作必须经过运行于特权模式的引用监控机的验证,从而阻止恶意代码修改内核。与传统的防御恶意代码的方法相比,传统方法只能检测出内核完整性已被破坏,不能阻止恶意代码对内核的修改。     

基于共享内存的Xen虚拟机间通信的研究

当虚拟机技术应用在服务器整合等领域时,虚拟机之间的通信会非常频繁.虚拟机本身的通信机制将成为瓶颈.目前,在Xen中不同的虚拟机间进行通信时,不仅通信路径长.而且虚拟机间的切换会造成很大的性能开销.在深人研究Xen虚拟机通信机制的基础上,提出了一种基于共享内存的通信方法,用于提高同一台物理机器上不同虚拟机之问通信的性能.实验结果表明,该方法极大地增加了虚拟机之间的通信带宽,并且有效平衡一f各个虚拟机的CPU利用率.     

基于假设检验的产品包装重量检测系统

提出了一种在虚拟仪器平台下实现对包装机性能进行实时监测和假设检验的方法。系统采用高性能的数据采集卡对流水线上的产品重量进行实时采集、显示和存储,并根据产品重量分布规律对包装机性能进行假设检验。测试结果表明系统具有精度高、响应快、环境适应能力强等特点,具有广阔的应用前景。     

基于QEMU的虚拟可信平台模块的设计与实现

针对可信计算机系统信任链传递过程中的安全性缺陷,提出了在虚拟机中进行信任链传递的虚拟机穿越技术,并在QEMU虚拟机中实现了虚拟可信平台模块。虚拟可信平台模块通过采用信息代理的实现方式并利用虚拟机的封闭性和隔离性为可信计算机系统信任链传递提供了一个安全、高效和透明环境。通过KnoppixLinux分析和比较了QEMU虚拟机中实现的虚拟可信平台模块和Xen中基于可信平台模拟器的虚拟可信平台模块。     

基于Xen虚拟机的内存资源实时监控与按需调整

在虚拟计算环境中,难以实时地监控与分配内存资源。针对以上问题,基于Xen虚拟计算环境,提出一种能够实时监控Xen虚拟机内存(VMM)使用情况的XMMC方法并进行了实现。所提方法运用Xen虚拟机提供的超级调用,其不仅能实时地监控虚拟机内存使用情况,而且能实时动态按需分配虚拟机内存。实验结果表明,XMMC方法对虚拟机应用程序造成的性能损失很小,低于5%;能够对客户虚拟机的内存资源占用情况进行实时的监测与按需调整,为多虚拟机的管理提供方便。     

基于QEMU的Xen文件系统加解密设计

针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。     

基于轻量操作系统的虚拟机内省与内存安全监测

针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。     

虚拟机协同调度问题研究

由于虚拟化技术能对多个服务有效隔离避免其相互间干扰而得到广泛应用。对于需要多个服务协同工作的大型应用,传统虚拟机监控器调度时忽视了虚拟机间的协同性,降低了虚拟机间并行工作的可能性,从而影响了服务质量。对虚拟机的协同调度进行研究,分析了调度对虚拟机协同性及服务质量的影响,提出了一种虚拟机协同调度算法。实验表明,协同调度使虚拟化平台服务器响应时间降低了1/3,且没有对调度的公平性造成明显影响。     

基于FPGA的视频监控系统

设计并实现了一个基于FPGA的视频监控系统。在FPGA中设计I2C总线配置模块对视频芯片ADV7181进行合理的配置,介绍了视频信号的处理过程,包括ITUR656视频解码、视频插值、解交织和色度空间变换。处理后的视频一路通过VGA接口在本地显示器上显示,另外一路经过压缩后通过网络传输到网络终端,从而实现网络远程监控。