VMM入侵检测系统体系结构

针对现存入侵检测系统存在的问题,提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例,因为虚拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。     

Intel virtualization technology

A virtualized system includes a new layer of software, the virtual machine monitor. The VMM's principal role is to arbitrate accesses to the underlying physical host platform's resources so that multiple operating systems (which are guests of the VMM) can share them. The VMM presents to each guest OS a set of virtual platform interfaces that constitute a virtual machine (VM). Once confined to specialized, proprietary, high-end server and mainframe systems, virtualization is now becoming more broadly available and is supported in off-the-shelf systems based on Intel architecture (IA) hardware. This development is due in part to the steady performance improvements of IA-based systems, which mitigates traditional virtualization performance overheads. Intel virtualization technology provides hardware support for processor virtualization, enabling simplifications of virtual machine monitor software. Resulting VMMs can support a wider range of legacy and future operating systems while maintaining high performance.     

一个基于虚拟机的日志审计和分析系统

SNARE是Linux操作系统的一个日志审计和分析工具,但它容易受到攻击。提出了一个新的方法被用来保护它免受攻击。运用虚拟机监控器的功能,SNARE被移植到运行在虚拟机监控器Xen上的两个虚拟机中,SNARE的两个主要部分——Linux内核补丁和审计后台进程被分隔而分别放入两个被Xen强隔离的虚拟机。Xen提供了两个虚拟机间共享内存的机制,运用这一机制,运行在一个虚拟机上的Linux内核补丁记录并转移审计日志到运行在另一个虚拟机上的审计后台进程。与传统的SNARE相比,新方法使攻击者毁坏或篡改这些日志更加困难。初步的评估表明这个原型是简单而有效的。     

Trochilidae:面向众核平台的高性能轻量级虚拟机监控器

虚拟化技术在云计算中广泛应用。传统虚拟化技术对操作系统的一些操作都进行了捕捉与封装,使其越来越复杂,同时也影响了操作系统的性能。针对众核平台的发展趋势和特点,面向众核平台设计并实现了一个轻量级的高性能虚拟机监控器——蜂鸟(Trochilidae)。多操作系统可以同时运行在此虚拟机监控器之上,同时对操作系统性能无损失。在提供传统虚拟机监控器功能的基础上,蜂鸟的代码量仅4000行左右(包括汇编与C代码),降低了系统的复杂度,便于系统的维护与调试。     

基于VMM的文件完整性监控系统的设计与实现

虚拟机监控器(VMM)具有强控制性、隔离性的特点。针对现有文件完整性监控系统中存在的缺陷,提出了一种新的基于VMM且与客户机相隔离的文件完整性保护方法,该方法能够保护用户的敏感文件,特别是文件完整性监控系统本身,使其免受恶意代码的攻击。这种基于虚拟机监控器的文件完整性保护解决方案,在虚拟机隔离层中通过设计和嵌入的"探测器"和"文件逆向定位器"两种关键技术,能够实时地探测到对被保护文件的所有访问企图,从而实现预置的保护策略。     

Transparently bridging semantic gap in CPU management for virtualized environments

Consolidated environments are progressively accommodating diverse and unpredictable workloads in conjunction with virtual desktop infrastructure and cloud computing. Unpredictable workloads, however, aggravate the semantic gap between the virtual machine monitor and guest operating systems, leading to inefficient resource management. In particular, CPU management for virtual machines has a critical impact on I/O performance in cases where the virtual machine monitor is agnostic about the internal workloads of each virtual machine. This paper presents virtual machine scheduling techniques for transparently bridging the semantic gap that is a result of consolidated workloads. To enable us to achieve this goal, we ensure that the virtual machine monitor is aware of task-level I/O-boundedness inside a virtual machine using inference techniques, thereby improving I/O performance without compromising CPU fairness. In addition, we address performance anomalies arising from the indirect use of I/O devices via a driver virtual machine at the scheduling level. The proposed techniques are implemented on the Xen virtual machine monitor and evaluated with micro-benchmarks and real workloads on Linux and Windows guest operating systems.     

VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM（kernel-based virtual machine）虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明：VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.     

基于用户态JVM的安全驱动模型的设计与实现

设备驱动等内核扩展模块被认为是造成操作系统不稳定的主要原因,而目前对操作系统稳定性的研究也主要集中在研究如何将其与内核的主体部分分离.本文结合现有的研究成果,提出了利用用户态的Java虚拟机(JVM)将驱动程序与内核分离的架构.在这样的架构中,驱动程序运行在受限的JVM中,所有驱动程序的错误都将被捕获而不致影响到内核的其他部分.利用这样的架构,在Linux系统下实现了新的USB协议栈,并对其进行了性能测试.测试结果表明,与原内核驱动程序相比,新的驱动架构表现出更高的稳定性,而在性能方面,对于时间和数据量要求不高的设备,其性能与原驱动程序相当接近;而对于需要进行大量数据处理的设备,其性能有一定程度的下降.     

服务器虚拟化安全机制研究

服务器虚拟化技术立足于操作系统和CPU提供的权限控制,由工作在底层的虚拟机监控器为客户机提供资源的实时监控、授权访问、追踪审计等安全功能;同时虚拟机监控器自身采用可信计算技术,实现动态的可信认证;配合其他安全策略规划,服务器虚拟化为客户机提供更好的私密性和完整性保护.     

虚拟机技术在网络操作系统课程教学中的应用

当前,网络操作系统课程教学要求学生具备较高的实际操作能力,传统教学方法由于教学设备的制约,学生没有条件进行操作能力的训练,而虚拟机技术在教学中的应用解决了这一问题。文中阐述了虚拟机技术可以在现有计算机主操作系统上建立若干个同构或异构的虚拟计算机系统,对虚拟机系统进行任何破坏性的操作,绝对不会影响主系统和其他虚拟机系统;最后提出了虚拟机技术的应用,极大地丰富了网络操作系统课程的实训内容,既保证了教学质量,增强了网络实验的安全性,减少实验室的管理难度,又能充分利用设备、节省经费,取得了令人满意的实践教学效果。     

Rethinking the design of virtual machine monitors

A virtual machine monitor is a software system that partitions a single physical machine into multiple virtual machines. Traditionally, VMMs have created a precise replica of the underlying physical machine. Through faithful emulation, VMMs support the execution of legacy guest operating systems such as Windows or Linux without modifications. However, traditional VMMs suffer from poor scalability and extensibility. To overcome the poor scalability and extensibility of traditional virtual machine monitors that partition a single physical machine into multiple virtual machines, the Denali VMM uses paravirtualization to promote scalability and hardware interposition to promote extensibility.     

基于硬件辅助虚拟化技术的反键盘记录器模型

结合已有的键盘记录器,分析了Windows中从用户按键到应用程序处理消息的过程,并针对该过程详细分析了可能出现的安全威胁。在此基础上提出了基于硬件辅助虚拟化的反键盘记录器模型。利用CPU提供的硬件辅助虚拟化技术实现了虚拟机监控器,当获取用户输入时通过在虚拟机监控器中自主处理键盘中断并将读取到的键盘扫描码信息交由受保护的用户线程来保护用户键盘输入的安全。     

嵌入式虚拟化技术

计算机系统虚拟化技术是IT领域近几年的热点技术。虚拟化技术的下一步发展方向是嵌入式系统。嵌入式系统进行虚拟化是在嵌入式硬件平台和操作系统之间加入一层叫做虚拟机管理器的软件,由后者构造出可运行多种操作系统的虚拟机。国外多家公司和大学已对嵌入式虚拟化技术展开研究。嵌入式虚拟化的好处包括减少嵌入式系统开发成本、缩短产品上市周期、利于整合功能、减少功耗、软件资产保值和增强安全性与可靠性。嵌入式虚拟化技术面临的问题包括实时调度问题、嵌入式硬件平台多样性问题、电源管理问题以及跨虚拟机通信问题。嵌入式虚拟化技术将给嵌入式领域带来重大变化,值得关注。     

基于不干扰理论的隔离语义描述及隔离策略的自动化验证方法研究

隔离有助于阻止信息泄露或被篡改、错误或失败被传递等.利用不干扰理论给出了隔离的精确语义,以利于分析和制定系统的隔离策略;利用通信顺序进程CSP来定义上述隔离语义,并给出一个系统满足给定隔离策略的判定断言,以利于借助形式化验证工具FDR2来实现系统内隔离策略的自动化验证.以基于虚拟机的文件服务监控器为例,展示了如何利用CSP来建模一个系统及其隔离策略以及如何利用FDR2来验证该系统模型满足给定的隔离策略.     

Protecting host-based intrusion detectors through virtual machines

Intrusion detection systems continuously watch the activity on a network or computer, looking for attack and intrusion evidences. However, host-based intrusion detectors are particularly vulnerable, as they can be disabled or tampered by successful intruders. This work proposes and implements an architecture model aimed to protect host-based intrusion detectors, through the application of the virtual machine concept. Virtual machine environments are becoming an interesting alternative for several computing systems due to their advantages in terms of cost and portability. The architecture proposed here makes use of the execution spaces separation provided by a virtual machine monitor, in order to separate the intrusion detection system from the system under monitoring. As a consequence, the intrusion detector becomes invisible and inaccessible to intruders. The prototype implementation and the tests performed show the viability of this solution.     

利用虚拟机动态迁移技术整合虚拟和模拟环境

系统虚拟化和模拟技术对当今计算机科学研究和相关产业有着重要的影响.整合虚拟和模拟环境,让运行在虚拟机中的操作系统获得更多重要的服务是一项具有挑战性和有意义的工作.由系统虚拟化提供的虚拟机动态迁移技术作进一步扩展后,可整合这两个计算环境.提出Roam,一个支持在虚拟和模拟环境之间进行虚拟机动态迁移的框架.开发的Roam原型系统实现了Linux虚拟机在Xen和纯Qemu环境之间的动态迁移.相关性能测试表明Roam是一个可行的虚拟机动态迁移方案,并且虚拟机的停机时间和整体迁移时间都在一个可接受的范围内.     

用户级多任务的两种实现方法

在分析了系统级多任务需要哪些硬件支持的基础上。提出了进程扩展型虚拟机和指令解释器型虚拟机的概念，给出这两种虚拟机如何模拟支持多任务的硬件机制的方法，以及在虚拟机上建立和切换多个任务的方法，该技术可以用于在上述两类虚拟机上构建自己的支持多任务的操作系统内核．     

轻量级虚拟机软件技术——LVMM

为提高PC系统的可管理性和安全性,提出一种轻量级虚拟机软件技术——LVMM。定义活跃用户域,可直接访问除磁盘和网络之外的物理设备,以及虚拟磁盘和虚拟网络设备。保证在保持PC使用模式基本不变的前提下,可在同一平台上同时运行多个用户虚拟系统,且支持独立于用户操作系统的资源访问控制。经测试,LVMM原型系统具有较小的整体虚拟化开销。     

基于轻量级虚拟机的透明计算系统

基于虚拟机的透明计算系统MMNC-VX实现了未经修改的操作系统在透明计算环境中可按需加载,但其性能与同配置PC相比有较大差距。针对该问题,提出一种基于轻量级虚拟机的透明计算系统,仅虚拟网络设备,减少了由全虚拟化带来的开销,利用设备模型将用户操作系统的存储I/O请求重定向到服务器上处理,实现透明计算。经测试,原型系统性能与同配置PC基本相当,与MMNC-VX相比有较大提高。     

农机监控调度系统的设计与实现

针对目前农机作业中信息发布滞后、农机资源调度不合理、效率低下等问题,提出一种基于地理信息系统(GIS)、通用分组无线业务(GPRS)及全球定位系统(GPS)技术的农机监控调度系统,运用GPRS数据传输技术和GIS组件MapObjects,实现农机作业信息的即时采集与监控调度。为满足实时计算的需要,采用A-Star寻路算法规划农机的调度路径。应用结果表明,该系统能有效管理和调度农机,提高作业效率。