基于剪贴板监控的电子文档多级保护

电子文档保护是信息防泄漏的重要内容。在对现有电子文档保护技术分析的基础上,提出一种基于剪贴板监控的电子文档多级保护技术。针对传统剪贴板监控在文档保护方面的不足,提出一种可获得文档路径的剪贴板监控策略;根据不同应用对文档保护的不同需求,提出一种动态可调的文档分级保护策略;基于剪贴板监控所获得信息完成对文档的实时动态保护,并设计实现相应的原型系统。实验结果表明,所提出的基于剪贴板监控的电子文档保护能够根据文档保护需求防止文档内容通过剪贴板泄露。     

基于虚拟机监控器的隐私透明保护

操作系统漏洞经常被攻击者利用,从而以内核权限执行任意代码(返回用户态攻击,ret2user)以及窃取用户隐私数据.使用虚拟机监控器构建了一个对操作系统及应用程序透明的内存访问审查机制,提出了一种低性能开销并且无法被绕过的内存页面使用信息实时跟踪策略;结合安全加载器,保证了动态链接库以及应用程序的代码完整性.能够确保即使操作系统内核被攻击,应用程序的内存隐私数据依然无法被窃取.在Linux操作系统上进行了原型实现及验证,实验结果表明,该隐私保护机制对大多数应用只带来6%~10%的性能负载.     

基于监控器时间开销的虚拟机发现方法

针对传统方法只能发现单一类型虚拟机的缺陷,提出基于虚拟机监控器时间开销的虚拟机发现方法。特定指令能使监控器运行时产生显著的额外开销,该方法能利用监控器执行不同指令序列产生的相对时间开销对虚拟机进行判别。实验结果表明,该方法能够准确发现目前3类主流虚拟机。     

基于虚拟机与API调用监控技术的APT木马取证研究

APT（Advanced Persistent Threat）攻击通常由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击中使用的APT木马变化无穷,常规杀毒软件难于检测,严重威胁了国家核心机构和重点部门的安全,同时也给电子数据取证带来了很大的挑战。文章提出了一种基于基于虚拟机与API调用监控技术的APT木马取证模型,可有效对APT木马的攻击行为进行取证。     

一个基于虚拟机的日志审计和分析系统

SNARE是Linux操作系统的一个日志审计和分析工具,但它容易受到攻击。提出了一个新的方法被用来保护它免受攻击。运用虚拟机监控器的功能,SNARE被移植到运行在虚拟机监控器Xen上的两个虚拟机中,SNARE的两个主要部分——Linux内核补丁和审计后台进程被分隔而分别放入两个被Xen强隔离的虚拟机。Xen提供了两个虚拟机间共享内存的机制,运用这一机制,运行在一个虚拟机上的Linux内核补丁记录并转移审计日志到运行在另一个虚拟机上的审计后台进程。与传统的SNARE相比,新方法使攻击者毁坏或篡改这些日志更加困难。初步的评估表明这个原型是简单而有效的。     

基于动态信任根的虚拟机监控器动态完整性度量架构

现有虚拟机监控器(VMM)动态完整性度量架构在度量信任根的安全性方面存在问题,同时没有综合考虑VMM中需要进行完整性度量的数据,为此提出了一种基于动态信任根的VMM动态完整性度量架构。采用基于AMD的安全虚拟机技术构建动态信任根,可以实现对度量程序加载执行前的完整性度量;同时构建封闭独立的执行环境,从而可以有效地解决度量信任根的问题。通过分析VMM运行时的内存状态,对所有需要进行完整性保护的静态持久化数据进行完整性度量,从而可以保证度量内容的完备性。同时给出该架构在Xen上的实现。实验结果表明,该架构可以有效地解决度量信任根的问题,并且对度量内容具有良好的扩展性,从而保证度量内容的完备性;此外,该度量架构与现有架构Hyper Check-SMM相比有23.3%的性能提升。     

基于可信轻量虚拟机监控器的安全架构*

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件（VMM）作为可信集,利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件,因而存在以下问题：a）虚拟化性能上开销大;b）作为可信集相对比较庞大;c）不能提供有效的信任链证明自身可信性。针对上述问题,提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构,Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性,并具有代码量小、动态可加载和虚拟化开销小等优点。     

基于虚拟机的运行时入侵检测技术研究

入侵检测技术通常分为误用检测和异常检测两类,误用检测根据攻击模式库检测已知的攻击行为,但却难以防范未知的攻击行为;异常检测技术虽然可以预测偏离正常值阈区间的潜在攻击行为,但却存在较高的误报现象。在虚拟机监视器中对虚拟机操作系统的运行行为进行带外监控,避免了操作系统内监控模块被病毒感染的难题;通过监视虚拟机的运行时行为,对之作组合序列的合法性分析,扩展了误用检测防范长时间段攻击行为的能力,识别通过合法系统调用进行的恶意攻击。测试数据表明,该技术能够较好地检测出复杂组合攻击行为。     

虚拟机监控器Xen的可靠性优化

对一个开源的、主流的虚拟机监控器Xen进行了优化研究。用通信顺序进程(CSP)和软件体系结构等形式化方法描述了Xen的块设备I/O体系结构,增加了约束其构件并发交互行为的设计准则,理论上确保了并发交互不死锁,提高了系统的可靠性。以这些设计准则为指导,重新优化设计了相关程序。实验表明优化虽然减小了I/O吞吐量,但系统的可靠性得到了增强,优化仍具有价值。     

VMSF—一种内核级虚拟机监控器调度框架

虚拟化技术由于具有提高资源利用率、降低系统总体拥有成本等优点得到越来越多的关注。虚拟机成为计算机系统的一种新型应用模式,但虚拟机应用在服务质量保证和协同运行等方面与传统商用操作系统面向的应用不同,虚拟机监控器应针对此类应用的特点设计相应的调度算法。但是,在传统基于宿主操作系统的虚拟化技术中,虚拟机的调度由宿主操作系统的标准调度器完成。本文提出一种不修改宿主操作系统现有调度机制的虚拟机调度扩展框架VMSF,该框架允许第三方自行开发适于虚拟机系统的调度算法。最后通过在Linux上开源的内核级虚拟机监控器KVM上移植Xen的Credit调度器验证了本文研究的有效性。     

基于Xen虚拟机的内存资源实时监控与按需调整

在虚拟计算环境中,难以实时地监控与分配内存资源。针对以上问题,基于Xen虚拟计算环境,提出一种能够实时监控Xen虚拟机内存(VMM)使用情况的XMMC方法并进行了实现。所提方法运用Xen虚拟机提供的超级调用,其不仅能实时地监控虚拟机内存使用情况,而且能实时动态按需分配虚拟机内存。实验结果表明,XMMC方法对虚拟机应用程序造成的性能损失很小,低于5%;能够对客户虚拟机的内存资源占用情况进行实时的监测与按需调整,为多虚拟机的管理提供方便。     

基于协作型VMM的虚拟机执行环境动态配置模型

针对当前各类虚拟机监控器(VMM)在定制虚拟机执行环境过程中灵活性不足、可用性不强方面的问题,提出并设计了一种用户动态配置虚拟机执行环境的模型,并在协作型VMM之上进行了实现。结合Intel VT-x技术的实现机制,充分利用虚拟机控制结构(VMCS)中的执行控制域特性,通过为用户提供接口,对虚拟机配置文件进行操作,实现对虚拟机执行环境的实时动态配置。用户利用该模型能够快速构建具有不同运行时特性的虚拟机执行环境。测试结果表明,该模型能够提高VMM的可用性。     

TEE: A virtual DRTM based execution environment for secure cloud-end computing

The Internet of Things (IoT) is the incoming generation of information technology. However, the huge amount of data collected by wireless sensors in IoT will impose a big challenge that can only be met by cloud computing. In particular, ensuring security in the cloud-end is necessary. Previous studies have mainly focused on secure cloud-end storage, whereas secure cloud-end computing is much less investigated. The current practice is solely based on Virtual Machines (VM), and cannot offer adequate security because the guest Operating Systems (OS) often can be compromised (e.g., by exploiting their vulnerabilities). This motivates the need of solutions for more secure cloud-end computing. This paper presents the design, implementation and analysis of a candidate solution, called Trusted Execution Environment (TEE), which takes advantage of both virtualization and trusted computing technologies simultaneously. The novelty behind TEE is the virtualization of the Dynamic Root of Trust for Measurement (DRTM).     

基于硬件虚拟化的虚拟机进程代码分页式度量方法

云环境下恶意软件可利用多种手段篡改虚拟机（VM）中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器（VMM）层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机（KVM）作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统（VMPMS）能有效度量虚拟机中进程,性能损耗在可接受范围内。     

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控（OFM）系统。该系统以基于内核的虚拟机（KVM）作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。     

基于底层虚拟机的标识符混淆方法

针对现有代码混淆仅限于某一特定编程语言或某一平台,并不具有广泛性和通用性,以及控制流混淆和数据混淆会引入额外开销的问题,提出一种基于底层虚拟机（LLVM）的标识符混淆方法。该方法实现了4种标识符混淆算法,包括随机标识符算法、重载归纳算法、异常标识符算法以及高频词替换算法,同时结合这些算法,设计新的混合混淆算法。所提混淆方法首先在前端编译得到的中间文件中候选出符合混淆条件的函数名,然后使用具体的混淆算法对这些函数名进行处理,最后使用具体的编译后端将混淆后的文件转换为二进制文件。基于LLVM的标识符混淆方法适用于LLVM支持的语言,不影响程序正常功能,且针对不同的编程语言,时间开销在20%内,空间开销几乎无增加;同时程序的平均混淆比率在77.5%,且相较于单一的替换算法和重载算法,提出的混合标识符算法理论分析上可以提供更强的隐蔽性。实验结果表明,所提方法具有性能开销小、隐蔽性强、通用性广的特点。     

基于硬件虚拟化技术的隐藏进程检测技术*

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器（libra virtual machine monitor,LibraVMM）实现了从虚拟层隐式获取真实进程列表（true process list, TPL）的新技术。与已有的基于虚拟机技术的解决方案相比,Libra     

基于无证书环签名的虚拟机可信证明方案

由于虚拟环境的复杂性和动态性,使用传统方法证明其安全状态时会出现运算效率低下的情况;而环签名具有运算效率高、匿名性强的特点,利用无证书公钥系统可解决密钥管理问题。为此,提出一种采用无证书环签名机制的虚拟机可信证明方案。私钥生成中心（PKG）验证平台物理环境的状态可信后,由PKG和虚拟可信平台模块（vTPM）管理器利用无证书算法共同生成vTPM签名密钥,虚拟机对外证明时采用环签名机制,将证明者的信息隐藏在环成员列表中,从而实现虚拟机对外的匿名身份证明和状态证明。在完成证明准备工作后,虚拟机不需要在每次证明和迁移时重复生成虚拟身份证明密钥（vAIK）证书,因此大大提高了证明效率;另外方案具有很强的安全性和匿名性,适用于虚拟机数量巨大的云计算环境。