一种基于虚拟机的动态内存泄露检测方法

内存泄露是一种常见的系统安全问题。虚拟技术是云计算的关键技术,虚拟机环境下的内存泄露不容忽视。而基于虚拟机的内存泄露检测技术尚未成熟。分析虚拟机Xen内核源码中与内存分配有关的代码,提出一种动态检测虚拟机中内存泄露的方法。该方法记录应用程序对资源的申请、释放以及使用情况,插入监测代码,最终检测出内存泄露的代码。实验结果表明,该方法能够有效地检测Xen虚拟机中的内存泄露。     

基于内存迭代拷贝的Xen虚拟机动态迁移机制研究

为减少虚拟机动态迁移时间,Xen采用了Pre-Copy算法来选择合适的时间进行停机拷贝,以保证在低负载或空负载时的虚拟机迁移的优越性能,但在高负载环境下,Pre-Copy算法对内存页的重复迭代严重影响了虚拟机迁移的效率。基于Xen虚拟机内存迭代拷贝算法,提出了一种内存分片迭代拷贝机制,即通过缩短迭代拷贝的终止时间来减少虚拟机动态迁移所花费的时间。实验结果表明,内存分片迭代机制可以有效提升Xen虚拟机动态迁移的性能。     

基于VMI技术的内存泄露的检测

文中用VMI（虚拟机自省）技术实现了由外部对VM（虚拟机）内部内存大小的透明实时的监控。VMI技术在纯净的环境下记录虚拟机的内存量,用增量叠加的方法记录加入此域的内存泄露的程序对内存的影响。内存泄漏的堆积会最终消耗尽系统所有内存,因此内存泄漏是造成计算机安全事故的主要原因之一。本文实验通过开放源代码虚拟机监视器Xen,使用了xen内核的半虚拟化模式,由外部检测虚拟机进程的内存消耗量来判断应用程序是否有内存泄露。由于这种方式可以为用户提供独立、隔离的计算环境,不需要修改源程序或者对程序进行重新编译,不必有其它特殊硬件需求,系统性能损失较小并且有一定的通用性,因而在判断内存泄露是其它解决方案无法取代的。实验结果表明：对内存的监控数据证明了实验系统的有效性和可行性。     

基于Xen虚拟机的内存资源实时监控与按需调整

在虚拟计算环境中,难以实时地监控与分配内存资源。针对以上问题,基于Xen虚拟计算环境,提出一种能够实时监控Xen虚拟机内存(VMM)使用情况的XMMC方法并进行了实现。所提方法运用Xen虚拟机提供的超级调用,其不仅能实时地监控虚拟机内存使用情况,而且能实时动态按需分配虚拟机内存。实验结果表明,XMMC方法对虚拟机应用程序造成的性能损失很小,低于5%;能够对客户虚拟机的内存资源占用情况进行实时的监测与按需调整,为多虚拟机的管理提供方便。     

IVirt:基于虚拟机自省的运行环境完整性度量机制

完整性度量是检测程序篡改的重要方法,但是在虚拟化环境下传统的检测方法已体现出不足.例如,度量软件与被度量对象处于相同操作系统中易受攻击.该文从安全性和性能两方面出发,提出了一种基于虚拟机自省的完整性度量机制IVirt(Integrity for Virtualization).该机制从虚拟机外部通过地址转换和内容定位得到所需的虚拟机内存数据,从而对虚拟机内部的程序进行完整性度量,以检验程序是否遭到篡改.该文以典型的虚拟机监视器Xen为例实现了IVirt原型系统.相比于同类工作,IVirt一方面将度量软件与被度量对象分离,防止度量软件遭到攻击;另一方面采用地址转换来度量运行时状态,这区别于采用事件拦截机制的度量方法,以降低性能开销.实验结果表明,该方法能够检测出虚拟机运行时的软件篡改,而且在性能上不会引入过高的代价.     

基于EPT的内存虚拟化研究与实现

为降低虚拟机监控器在内存虚拟化方面的开销,提高内存虚拟化性能,分析了两种的内存虚拟化机制,着重对基于Intel扩展页表的内存虚拟化机制进行了研究,分析了基于展页表的两种内存虚拟化方案优劣,并进一步分析了影响内存虚拟化性能的因素.针对扩展页表页故障,提出了页池的动态内存分配方案.内存虚拟化实现表明,采用扩展页表实现内存虚拟化能简化了设计流程,有效地提高了内存虚拟化性能.     

面向虚拟机的远程磁盘缓存

在虚拟机(virtual machine)系统中,随着虚拟机数量和应用程序需求的不断增长,内存容量已经成为应用程序性能的主要瓶颈。为了提升内存密集型和I/O密集型程序的页面交换性能,提出了虚拟机的远程磁盘缓存机制REMOCA,它允许运行在一台物理主机上的虚拟机将其他物理主机的内存作为其二级磁盘缓存。由于网络传输延迟远远小于磁盘访问,用网络传输代替磁盘访问就能够有效地降低虚拟机的平均磁盘访问延迟。REMOCA的目标就要尽可能地减少磁盘访问。REMOCA运行在虚拟机管理器中,其基本工作原理是截获并处理虚拟机的页面淘汰、磁盘访问等事件。REMOCA能够与现有的虚拟机内存管理机制(如气球技术、影子缓存)相结合,从而提供更加灵活的内存资源管理策略。实验数据表明,REMOCA能有效地降低页面抖动对虚拟机性能的影响,并在很大程度上提升虚拟机中I/O密集型应用的性能。     

基于优化的COW虚拟块设备的虚拟机按需部署机制

基于COW(Copy-on-Write)读写模式的虚拟块设备有利于实现大规模虚拟机环境下虚拟机的快速部署.文中为虚拟机管理器中的COW虚拟块设备设计了一种优化方法,能够提高COW磁盘的访问性能以及生成多个小尺寸的COW磁盘映像文件,以降低通过网络部署虚拟机的开销.基于优化的COW虚拟块设备,文中提出了虚拟机环境下的虚拟机按需部署机制及关键技术问题的解决方案.基于Linux平台和QEMU虚拟机,实现了基于优化COW虚拟块设备的虚拟机按需部署原型系统.实验表明,优化的COW虚拟块设备、基于COW磁盘有效工作集的优化部署以及COW磁盘回收等方法能够有效地支持虚拟机环境下低开销的、按需的虚拟机部署.     

虚拟机磁盘迁移技术研究与实现

已有基于内存的虚拟机迁移技术要求迁移源机和目标机之间必须共享网络磁盘,迁移性能受网络条件的影响很大,且在不支持"共享网络磁盘"的环境中,无法实现虚拟机迁移.针对上述问题,考虑到虚拟机磁盘作为虚拟机运行所需的持久化状态的封装体,所展现出的如高可用性、高效能、安全稳定等良好特性,提出基于磁盘的虚拟机迁移.通过设计虚拟磁盘驱动系统DiskMig,在实现虚拟机磁盘迁移的同时保证了其在源端和目的端的一致性.设计了"Transfer on Demand with Forward-ahead"(TOD&FA)算法快速同步源端和目的端磁盘文件差异.DiskMig采用自行设计的高效存储结构bitmap,使记录、查询虚拟机磁盘迁移过程中的大量I/O操作时仅需时间复杂度O(1).实验表明,DiskMig所采用的相关方法对虚拟机及其中应用程序运行性能的影响仅为5%左右,有效支持了虚拟机磁盘文件的迁移.     

基于Xen的虚拟机迁移时内存优化算法

为了在云计算环境下进行虚拟机迁移,Xen迁移时采用比较传递页位图和跳过页位图的方式来判断内存页是否重传.针对页位图比较带来多次重传增加网络传送开销的问题,提出基于AR模型的内存优化算法,该算法根据所有记录的内存页修改时间间隔来预测内存页的下次修改时间,当下次修改时间大于某个阈值时进行重传.实验结果表明,基于AR模型的内存优化算法缩短了虚拟机迁移的时间,减少了虚拟机迁移时的网络开销,保证了同台服务器上其它虚拟机的网络带宽应用.     

基于虚拟机监控器的隐私透明保护

操作系统漏洞经常被攻击者利用,从而以内核权限执行任意代码(返回用户态攻击,ret2user)以及窃取用户隐私数据.使用虚拟机监控器构建了一个对操作系统及应用程序透明的内存访问审查机制,提出了一种低性能开销并且无法被绕过的内存页面使用信息实时跟踪策略;结合安全加载器,保证了动态链接库以及应用程序的代码完整性.能够确保即使操作系统内核被攻击,应用程序的内存隐私数据依然无法被窃取.在Linux操作系统上进行了原型实现及验证,实验结果表明,该隐私保护机制对大多数应用只带来6%~10%的性能负载.     

嵌入式组态软件脚本解释虚拟机的设计

为了增强嵌入式组态软件的功能,引入一种类似于C语言的脚本.设计一个编译器把该脚本编译成中间代码,采用中间代码的优点是可提高程序运行的速度,也减小了脚本解释程序的设计难度.提出一种仿微处理器结构的脚本虚拟机设计方案,在运行时对中间代码进行解释.虚拟机主要由程序存储器、指令译码器、运算器、程序计数器、控制器以及动态容器组成,其中动态容器的设计是关键,它具有可动态分配内存、自动释放内存等优点,适合于嵌入式操作系统下运行.实验与测试结果表明,该脚本解释虚拟机可满足嵌入式组态软件设计的要求.     

即时编译器中的轻量级指令调度算法

介绍了一种为即时编译器和时空受限系统设计的轻量级线性复杂指令调度算法。该算法进行指令调度时,不基于传统的DAG图或表达式树,而是基于一种独创的数据结构扩展关联矩阵,其时间复杂性在最坏情况下也能与全部指令长度构成严格的线性关系,仅占用不到1 KB的内存空间。该算法已被Intel为Xscale设计的高性能J2ME虚拟机XORP采用为即时编辑器中的缺省指令调度算法。     

基于嵌入式机器码的软件PLC系统研究

针对基于虚拟机机制的软件PLC可移植性差,执行效率低等不足,研究基于嵌入式机器码的软件PLC系统,通过梯形图编译器、代码解析生成器、汇编编译器等处理,将用户开发的逻辑程序直接编译成能够在CPU环境下执行的嵌入式机器码,该方法减少PLC虚拟指令执行过程,提高软件PLc执行效率.     

DMM:A dynamic memory mapping model for virtual machines

Memory virtualization is an important part in the design of virtual machine monitors(VMM).In this paper,we proposed dynamic memory mapping(DMM) model,a mechanism that allows the VMM to change the mapping between a virtual machine's physical memory and the underlying hardware resource while the virtual machine is running.By utilizing DMM,the VMM can implement many novel memory management policies,such as Demand Paging,Swapping,Ballooning,Memory Sharing and Copy-On-Write,while preserving compatibility with va...     

面向瘦客户端的分布式动态二进制翻译系统

传统的动态二进制翻译系统不适合直接用于瘦客户端,因为瘦客户端（如手机等）大多存在资源受限的问题,而动态二进制翻译过程会消耗较多的计算和内存资源。针对上述问题,提出一个适用于瘦客户端的分布式动态二进制翻译系统,用远程服务器完成二进制翻译,客户端只要执行翻译好后的代码即可。CPUSPEC2000的实验结果表明,在瘦客户端上使用该系统相对于使用传统的动态二进制翻译器可以带来更高的性能和更小的开销。     

虚拟机技术的复兴

虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I／O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。     

面向数字货币特征的细粒度代码注入攻击检测

数字货币的迅速发展使其被越来越多的恶意软件利用.现有勒索软件通常使用数字货币作为支付手段,而现有代码注入攻击检测手段缺乏对相关恶意特征的考虑,使得其难以有效检测勒索软件的恶意行为.针对此问题,提出了一种细粒度的代码注入攻击检测内存特征方案,利用勒索软件在引导被攻击者支付过程中表现的数字货币内存特征,结合多种通用的细粒度内存特征,实现了一种细粒度的代码注入攻击检测系统.实验结果表明：新的内存特征方案能够在多个指标上有效提升现有检测系统内存特征方案的检测性能,同时使得基于主机的代码注入攻击检测系统能够准确检测勒索软件行为,系统还具有较好的内存特征提取性能及对未知恶意软件家族的检测能力.     

Quantifying the Benefits of SSA-Based Mobile Code

High-performance just-in-time compilers for Java need to invest considerable effort before actual code generation can commence. This is in part due to the very nature of the Java Virtual Machine, which is not well matched to the requirements of optimizing code generators. Alternative transportation formats based on Static Single Assignment form should theoretically be superior to virtual machines, but this claim has not previously been validated in practice. This paper revisits the topic and attempts to quantify the effect of using an SSA-based mobile code representation (IR) instead of a virtual-machine based one.To this end, we have integrated full support for a verifiable SSA-based IR into Jikes RVM, an existing Java execution environment. The resulting system is capable of loading and executing Java programs represented in either format, traditional JVM bytecode as well as the SSA-based representation, and it can even execute programs made up of a mixture of the two formats. In our implementation, the two alternative just-in-time compilation pipelines share a common low-level code generator.Performance results are encouraging and show simultaneous improvements in both compilation time and code quality relative to Jikes RVM's standard optimizing compiler for JVM class files. They support the hypothesis that SSA-based intermediate representations offer advantages in the context of just-in-time compilation.     

基于多线程的超混沌加解密技术

针对现阶段虚拟机防病毒技术存在的缺陷,本文将基于超混沌Hénon映射的加解密技术与多线程技术相结合,提出了基于多线程超混沌密码的恶意代码隐藏算法;在对恶意代码涉及的隐藏性因素进行分析的基础上,基于层次分析法,提出了恶意代码的隐藏性分析模型。利用灰鸽子这一典型恶意代码对提出的恶意代码隐藏算法进行了实验与测试,并利用隐藏性分析模型对测试结果进行了分析,验证了提出的基于多线程超混沌密码的恶意代码隐藏算法的有效性。本文的研究成果可以增强恶意代码的隐藏性,增加恶意代码的威胁程度,为防病毒技术的发展提供了新思路。