基于虚拟化环境下的网络安全监控技术应用

在某大型国企的数据中心虚拟化环境背景下,分析虚拟化与云计算安全在网络接入层的"虚拟以太网交换机"(Virtual Ethernet Bridge,VEB)技术在目前的实现方式中的优缺点,研究业界为解决其不足之处所提出的相关方案,阐述采用基于新型网络架构"软件定义网络"(Software Defined Network,SDN)中OpenFlow框架的可行性,提出采用该框架下的Open vSwitch开源技术来实现虚拟网络隔离、QoS配置、流量监控以及数据包分析等虚拟化网络安全监控工作的应用思路。本研究在虚拟网络交换的数据转发与安全控制的解耦、网络安全服务的独立和虚拟网络的安全控制等方面具有创新性,为采用虚拟化和云计算技术的信息系统在接入安全方面提供了参考价值。     

基于硬件虚拟化的安全高效内核监控模型

传统的基于虚拟化内核监控模型存在两个方面的不足:(1) 虚拟机监控器(virtual machine monitor,简称VMM)过于复杂,且存在大量攻击面(attack surface),容易受到攻击;(2) VMM执行过多虚拟化功能,产生严重的性能损耗.为此,提出了一种基于硬件虚拟化的安全、高效的内核监控模型HyperNE.HyperNE舍弃VMM中与隔离保护无关的虚拟化功能,允许被监控系统直接执行特权操作,而无需与VMM交互;同时,HyperNE利用硬件虚拟化中的新机制,在保证安全监控软件与被监控系统隔离的前提下,两者之间的控制流切换也无需VMM干预.这样,HyperNE一方面消除了VMM的攻击面,有效地削减了监控模型TCB(trusted computing base);另一方面也避免了虚拟化开销,显著提高了系统运行效率和监控性能.     

基于完全虚拟化的进程监控方法

针对通用操作系统进程监控中存在的问题,提出一种基于完全虚拟化的进程监控方法,该方法利用完全虚拟化技术,在虚拟机监控器中对可疑进程产生的所有特权操作进行检测,并加以隔离。实验结果表明,该方法具有良好的透明性和可移植性,可以抵御多种攻击,且产生的性能损失较小。     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

虚拟化安全问题探析

虚拟化技术在系统组织,降低系统操作代价,改进硬件资源的效率、利用率以及灵活性方面扮演着主要的角色。然而,虚拟化技术本身不仅面临着传统网络已有的安全威胁,还面临着自身引入的安全问题。但是,由于虚拟化技术带来的资源分割独立的优势,它也在构建安全策略中扮演着重要的角色。本文主要是关于这两方面虚拟化安全问题的调研。     

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控（OFM）系统。该系统以基于内核的虚拟机（KVM）作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。     

基于内核虚拟机的桌面虚拟化架构设计

随着信息化技术的发展、普及以及电脑终端数量的不断增加,传统的网络架构管理体系中,如何更好地解决PC模式下的安全性能、管理、数据零散等问题成为了IT行业普遍关注的话题,而从云计算虚拟化的范畴来讲,桌面虚拟化架构的核心理念就在于借助虚拟化技术,通过集中管理将所有的客户端运算结合在一起,从内核虚拟机的角度入手,对桌面虚拟化架...     

基于系统虚拟化的安全技术研究

为提高操作系统和应用程序的安全性,研究了系统虚拟化的相关技术,讨论典型的基于系统虚拟化技术的安全技术应用和系统.根据研究目标的软件层次,分别从应用程序安全、操作系统安全和虚拟机监控器自身安全性三方面,对当前的研究现状和未来的发展趋势进行了分析和归纳.设计一种基于系统虚拟化技术实现对恶意软件透明安全的动态调试分析方案,通过在Intel-VT平台上实现系统原型,验证了该方法的可行性和有效性.     

基于Windows平台的存储虚拟化按需分配技术

如何有效地节约存储资源是企业级用户在部署存储虚拟化系统时需要重点考虑的问题.设计并实现了一种基于Windows平台的存储资源按需分配软件VA-for windows,该软件在系统内核态将动态分配的映射表整合为元数据存储池,通过索引查询机制和高效通信策略,透明化地为Windows用户提供虚拟存储设备.实验结果表明,与传统的虚拟卷相比,使用具备按需分配功能的虚拟卷虽然在I/O性能上稍有损失,但可以有效地节约磁盘空间,提高存储资源利用率.     

虚拟化技术下的安全

随着作为云底层的虚拟化技术的蓬勃发展,在很多机构中,虚拟化技术已经成为其基础IT架构中的重要组成部分,许多虚拟化技术的优势也在各个部门中体现,如：服务器整合、更快更强大的硬件、简单的使用方法、灵活的快照技术,强大的故障迁移能力以及灾备能力等.在虚拟化技术应用越来越广泛的今天,虚拟化的安全问题也成为了这种繁荣背后的隐患.虚拟化技术的安全缺陷主要包括：宿主系统的安全、虚拟网络的安全、虚拟系统的安全以及主机系统和虚拟系统之间的控制安全等.     

服务器虚拟化在高速公路监控系统中的应用

为解决高速公路监控系统服务器资源利用率低,容灾能力低,空闲负荷整合不足等缺点,本文将通过服务器虚拟化技术,运用服务器虚拟化软件,完成服务器虚拟化系统的相关环境部署,实现高速公路监控系统的服务器虚拟化。服务器虚拟化在高速公路监控系统的应用,很大地提高了系统的整体稳定性,提高了资源的利用率,减少了不必要的投入与开支。     

基于物联网技术的矿井安全监控系统设计

针对传统矿井安全监控系统技术单一等缺点,设计了一种基于物联网技术的矿井安全监控系统。系统通过Zig Bee技术组网,利用温湿度传感器、瓦斯传感器和一氧化碳传感器对矿井环境参数进行检测,视频监控设备对矿井作业进行监控,然后将数据传到ARM服务器,服务器将接收到的数据进行解析并存入数据库中,并通过3G网络接入互联网,客户端计算机和智能手机通过互联网分别以B/S/S模式和C/S模式访问ARM服务器的数据。实验结果表明:系统稳定性好、可靠性强,为矿井安全监控提供了比较新的可靠的组合技术方案。     

基于虚拟化与分布式技术的存储系统

介绍了一套基于云计算(cloud computing)技术的数据应用平台系统设计方案。该系统由多组服务器集群组成,可提供数据存储、备份和并行运算服务。并可采用虚拟化应用端与分布式(Hadoop)技术相结合的方式为用户提供高容量和异构应用存储系统,以便结合iSCSI协议在硬件层获得更灵活的部署。     

基于利用率提升的服务器虚拟化技术应用探讨

企业的IT基础设施越来越多,由于服务器设备的增加,导致企业的中心机房管理难度越来越大,在这种情况下服务器虚拟化技术应运而生,服务器虚拟化技术能极大的提高企业数据利用率和管理水平.文章重点介绍了服务器虚拟化技术及其在企业数据中心的应用.     

虚拟化的信息安全分析与实践

针对数据中心虚拟化后在信息安全方面出现的诸多新情况和新问题,结合自身在虚拟化应用和管理过程中的研究和实践,总结了虚拟化信息安全的应用经验.     

基于嗅探技术的内部网络安全研究

网络边界处的防火墙系统可以有效防御一些来自外网的攻击,在入侵检测系统的实时保护下,理论上可以保障内网安全无忧。然而,内部网络的非法操作更隐蔽、更有威胁。针对这种情况,通过嗅探技术对内网进行实时的流量监控和数据包分析,较好地加强和保障了内网的安全。     

智能化计算机安全监控信息网络技术研究

为了保障计算机以及使用者信息的安全性、隐秘性,并且提高计算机的使用生命周期,需要对计算机进行安全智能监控。但采用当前的计算机安全监控技术对计算机安全进行监控时,没有设置具体的安全监控指标,无法计算出计算机安全监控的非安全因素权重,存在计算机网络可能自动泄密,无法智能监控以及监控数据误差大的问题。为此,将信息网络技术应用于计算机安全智能监控中,提出了一种基于LINUX的计算机安全智能监控方法。该方法先将计算机非安全因素进行分类,其中包括计算机网络配置,自带系统和网络病毒。然后利用SAltera EPM7128S芯片对计算机安全智能监控进行硬件构造,采用CPLD结构根据计算机非安全因素分类结果对计算机安全智能监控软件部分进行设计,软件设计中依据计算机安全智能监控失真衰减的抑制方法,实现计算机远程安全智能监控,最后根据Delphi法来建立计算机安全智能监控网络环境总体运行情况的评估指标体系,对大规模无法定量分析的计算机安全监控因素做出概率估计,以概率估计结果为依据对计算机安全智能监控的风险进行评估,从而实现对计算机安全的智能化监控。实验仿真证明,所提方法提高了计算机安全智能监控的全面性和高效性,减少了计算机安全智能监控数据传输的丢包率。     

基于ARM虚拟化扩展的Android内核动态度量方法

针对现阶段内核级攻击对Android系统完整性的威胁,提出一种基于ARM虚拟化扩展的Android内核动态度量方法DIMDroid。该方法利用ARM架构中的硬件辅助虚拟化技术,提供度量模块与被度量Android系统的隔离,首先通过分析在Android系统运行时影响内核完整性的因素从而得到静态和动态度量对象,其次在度量层对这些度量对象进行语义重构,最后对其进行完整性分析来判断Android内核是否受到攻击;同时通过基于硬件信任链的启动保护和基于内存隔离的运行时防护来保证DIMDroid自身安全。实验结果表明,DIMDroid能够及时发现破环Android内核完整性的rootkit,且该方法的性能损失在可接受范围内。     

网络功能虚拟化环境中大规模资源状态监测策略

在网络功能虚拟化（NFV）环境中,为了提高网络中基础设施资源利用率,高效动态部署服务功能链,编排管理域需要对网络中底层资源及虚拟网络功能状态进行实时监测,但实时监测会产生大量通信开销。提出了网络通信开销最小化的智能分布式监测策略,通过改进的标签传播算法智能划分子网并选择代理监测节点,实现了对资源和虚拟功能状态的高效监测,并使监测信息通信开销最小。仿真结果表明,所提监测策略使网络中监测信息通信开销降低约13%。图4 不同算法下子网节点数量方差图