一种恶意软件行为分析系统的设计与实现

基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足：一方面,现有虚拟机监视器（Virtual Machine Monitor,VMM）的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机（SVM）、二级页表（NPT）和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好。     

基于Internet的软件虚拟化方法及应用

传统的软件使用是通过本地安装或者软件本身是基于Web开发的。为了突破这种限制,通过虚拟机技术和远程登录技术,实现了基于Internet的软件虚拟化使用。注重研究了基于自适应控制的虚拟机动态分配策略和软件证书管理机制。最后基于Java进行了应用开发。基于Internet的软件虚拟化技术大大提高了软件和服务器资源的利用率,避免了资源的重复建设。     

基于X86架构的系统虚拟机技术与应用

介绍了基于X86的主流泛虚拟化(Paravirtualization)及完全虚拟化技术(Full-virtualization)尤其是芯片虚拟化技术的支持。描述了两个实现泛虚拟化技术的系统虚拟机Denali及XEN,阐述了完全虚拟化的发展现状,以及支持两种技术结合的解决方案,展望了虚拟机技术的发展前景及其应用。     

基于Intel VT—x的XEN全虚拟化实现

由于X86体系结构对虚拟机支持的先天不足,基于此体系结构的虚拟机需要修改操作系统的源代码,称为泛虚拟化技术.泛虚拟化需要修改操作系统的源代码,故只能支持开源的操作系统,且这种虚拟机的实现也是比较困难的.为了解决这个问题,Intel公司提出了VT-x技术,该技术可以使虚拟机不需要修改操作系统的源代码,也就是所谓的全虚拟化技术,可以支持非开源的操作系统,且虚拟机的实现也比较简单.XEN是业界广泛看好的一款基于X86体系结构开源的虚拟机监视器,XEN 3.0开始实现了基于VT-x的全虚拟化技术,具有优越的性能和良好的体系结构.文中讨论了Intel的VT-x技术,并从CPU虚拟化、内存虚拟化和设备虚拟化三个方面介绍XEN实现全虚拟化的关键技术.     

基于行为监控的虚拟化服务安全增强方案研究

虚拟化服务对基于行为监控的客户虚拟机实施访问控制,以监控客户对受保护服务的访问行为.虚拟化服务使用运行时监控技术,通过观察到的客户虚拟机行为计算当前客户的信任度值,并强制客户执行符合其信任值级别的访问控制权限.本文设计了一种虚拟化服务信任度增强方案,提出了增强的虚拟化服务多层安全体系架构,描述了基于行为监控的信任度管理框架,最后介绍了其应用方向.     

基于虚拟机内省的Intel PT多进程监控技术研究

以Intel Processor Trace(PT)为代表的片上动态跟踪技术有着低开销、低感知的优良特性,在程序行为记录和监控领域得到了越来越广泛的应用.然而,由于片上动态跟踪技术依赖CPU特性实现,对于操作系统内核监控、恶意代码分析等需要在虚拟化平台上运行程序的场景支持还存在一些困难.本文通过对Intel PT片上动态跟踪技术的研究,提出了一套基于虚拟机内省的Intel-PT多进程监控技术,通过将 Intel-PT嵌入到硬件虚拟化平台上,实现了对硬件辅助虚拟化客户机中的多个进程并行进行监控.实验结果表明,该技术可以有效监控硬件虚拟机中并行多个进程.     

多途径优化VMware虚拟机性能

随着虚拟化技术的发展,虚拟机软件得到广泛应用,由于虚拟机共用宿主机资源,因此如何提升虚拟机性能成为虚拟机应用的瓶颈,本文以使用较广泛的VMware Workstation虚拟机(以下统称VMware虚拟机)为例,从多方面叙述如何优化VMware虚拟机的性能,以求达到最佳的资源利用。     

浅论服务器虚拟化

0前言将服务器的物理资源,通过虚拟技术变成多台可以相互隔离的虚拟服务器,不受限于物理上的界限,而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的共享资源。从而提高资源的利用率,简化系统管理,实现服务器整--这就是服务器的虚拟化。1服务器虚拟化的类型虚拟化管理所需的硬件设备为虚拟机监视器,软件是通过虚拟化平台进行管理。虚拟机监视器(Virtual Machine Monitor)把     

虚拟机监视器结构与实现技术*

首先介绍了虚拟机技术的发展历史以及虚拟机监视器所具有的优点和特性,总结了其体系结构和分类,并分析了虚拟机监视器内部逻辑模块;从CPU虚拟化、内存虚拟化、I/O虚拟化和硬件支持四个方面讨论了虚拟机监视器的实现技术;最后基于当前学术界和业界对虚拟机技术的研究情况,阐述了未来虚拟机技术面对的机遇与挑战。     

基于可信轻量虚拟机监控器的安全架构*

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件（VMM）作为可信集,利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件,因而存在以下问题：a）虚拟化性能上开销大;b）作为可信集相对比较庞大;c）不能提供有效的信任链证明自身可信性。针对上述问题,提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构,Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性,并具有代码量小、动态可加载和虚拟化开销小等优点。     

虚拟化技术及其安全问题

虚拟化（Virrualization）已成为IT基础架构的核心技术,并且是计算机系统软件的发展趋势.同时,虚拟化技术也为安全领域带来了一定的挑战,本文首先介绍虚拟机技术及其两个重要优势——资源共享和隔离性,然后在此基础上剖析其安全性问题.     

On covert channels between virtual machines

Virtualization technology has become very popular because of better hardware utilization and easy maintenance. However, there are chances for information leakage and possibilities of several covert channels for information flow between the virtual machines. Our work focuses on the experimental study of security threats in virtualization, especially due to covert channels and other forms of information leakage. The existence of data leakage during migration shutdown and destruction of virtual machines, is tested on different hypervisors. For empirically showing the possibility of covert channels between virtual machines, three new network based covert channels are hypothesized and demonstrated through implementation, on different hypervisors. One of the covert channels hypothesized is a TCP/IP steganography based covert channel. Other covert channels are a timing covert channel and a new network covert channel having two pairs of socket programs. We propose a VMM (Virtual Machine Monitor) based network covert channel avoidance mechanism, tackling detection resistant covert channel problems. We also address issue of reducing the possibilities of network based covert channels using VMM-level firewalls. In order to emphasize the importance of addressing the issue of information leakage through virtual machines, we illustrate the simplicity of launching network covert channel based attacks, by demonstrating an attack on a virtual machine using covert channels through implementation.     

VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM（kernel-based virtual machine）虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明：VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

虚拟机协同调度问题研究

由于虚拟化技术能对多个服务有效隔离避免其相互间干扰而得到广泛应用。对于需要多个服务协同工作的大型应用,传统虚拟机监控器调度时忽视了虚拟机间的协同性,降低了虚拟机间并行工作的可能性,从而影响了服务质量。对虚拟机的协同调度进行研究,分析了调度对虚拟机协同性及服务质量的影响,提出了一种虚拟机协同调度算法。实验表明,协同调度使虚拟化平台服务器响应时间降低了1/3,且没有对调度的公平性造成明显影响。     

基于硬件虚拟化的虚拟机进程代码分页式度量方法

云环境下恶意软件可利用多种手段篡改虚拟机（VM）中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器（VMM）层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机（KVM）作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统（VMPMS）能有效度量虚拟机中进程,性能损耗在可接受范围内。     

Energy-credit scheduler: An energy-aware virtual machine scheduler for cloud systems

Virtualization facilitates the provision of flexible resources and improves energy efficiency through the consolidation of virtualized servers into a smaller number of physical servers. As an increasingly essential component of the emerging cloud computing model, virtualized environments bill their users based on processor time or the number of virtual machine instances. However, accounting based only on the depreciation of server hardware is not sufficient because the cooling and energy costs for data centers will exceed the purchase costs for hardware. This paper suggests a model for estimating the energy consumption of each virtual machine without dedicated measurement hardware. Our model estimates the energy consumption of a virtual machine based on in-processor events generated by the virtual machine. Based on this estimation model, we also propose a virtual machine scheduling algorithm that can provide computing resources according to the energy budget of each virtual machine. The suggested schemes are implemented in the Xen virtualization system, and an evaluation shows that the suggested schemes estimate and provide energy consumption with errors of less than 5% of the total energy consumption.     

基于增强型虚拟机的软件保护技术

针对目前日益严峻的软件保护问题,对现有基于虚拟机的软件保护技术进行分析与研究,对虚拟机保护技术进行了改进,设计了一种增强型虚拟机软件保护技术。采用了虚拟花指令序列与虚拟指令模糊变换技术,并对虚拟机的虚拟指令系统做了改进,从而提高了虚拟机执行的复杂程度与迷惑程度,具有高强度的反逆向、防篡改、防破解的特点。实验分析表明,增强型虚拟机保护技术明显优于普通型虚拟机保护技术。     

Virtual Battery: A testing tool for power-aware software

Virtualization is an inexpensive and convenient method for setting up software test environments. Thus it is being widely used as a test tool for software products requiring high reliability such as mission critical cyber-physical systems. However, existing virtualization platforms do not fully virtualize the battery subsystem. Therefore, it is difficult to test battery-related features of guest systems. In this paper, we propose Virtual Battery, a battery virtualization scheme for type II full virtualization platforms. Virtual Battery takes the form of an ACPI-compatible battery device driver dedicated to each virtual machine, which virtualizes a target system. Through Virtual Battery, developers can easily manipulate the charging and battery status of each virtual machine (VM), regardless of the existence or current status of the host system’s battery. In addition, Virtual Battery emulates the behavior of batteries by discharging the virtual batteries according to the resource usages of their VMs. This feature enables VMs to act as battery resource containers. Three case studies demonstrate the effectiveness of the proposed scheme.