共查询到18条相似文献,搜索用时 203 毫秒
1.
现有虚拟机监控器(VMM)动态完整性度量架构在度量信任根的安全性方面存在问题,同时没有综合考虑VMM中需要进行完整性度量的数据,为此提出了一种基于动态信任根的VMM动态完整性度量架构。采用基于AMD的安全虚拟机技术构建动态信任根,可以实现对度量程序加载执行前的完整性度量;同时构建封闭独立的执行环境,从而可以有效地解决度量信任根的问题。通过分析VMM运行时的内存状态,对所有需要进行完整性保护的静态持久化数据进行完整性度量,从而可以保证度量内容的完备性。同时给出该架构在Xen上的实现。实验结果表明,该架构可以有效地解决度量信任根的问题,并且对度量内容具有良好的扩展性,从而保证度量内容的完备性;此外,该度量架构与现有架构Hyper Check-SMM相比有23.3%的性能提升。 相似文献
2.
长期以来Android系统一直是黑客攻击的主要目标之一,自发布以来一直面临着root、镜像篡改、恶意程序等安全风险,框架层是在系统安全中容易被忽视但又能产生极高的安全风险.本文分析了Android系统中框架层的表现形式和框架层的使用方式,针对框架层特点提出了一种框架层完整性度量方法(FIMM),以此保障Android系统框架层代码完整性和运行时的完整性.对于Android系统针对框架层组件完整性保护的缺失,该方法能提供框架层组件在加载时的完整性度量和完整性校验.而对于Android的系统服务,我们考虑到其较长的运行周期的特征,于是研究了系统服务的调用过程并为其提供了较为细粒度的动态度量,在每次系统服务调用时确认系统服务进程代码段的完整性.最后我们给出了基于Android模拟器的原型系统的实现,并分析了FIMM的安全性和性能损耗,认为FIMM能完全达到我们的安全预期,并且只会造成少量的性能损耗. 相似文献
3.
针对云平台中的虚拟机内核级Rootkit破坏租户虚拟机完整性的问题,文章提出一种基于VMM(虚拟机监视器,Virtual Machine Monitor)的内核级Rootkit检测技术。该技术以在关键路径设置陷入点的方式构建TML(True Module List),得到虚拟机中真实的内核模块视图,在VMM层利用自下而上的调用方式获取虚拟机用户态视图,并在VMM层获取重构的虚拟机内核态视图,通过交叉对比这三个视图检测隐藏在虚拟机中的Rootkit。最后,利用该技术在KVM(基于内核的虚拟机,Kernel-based Virtual Machine)中实现了原型系统,实验结果表明系统能迅速准确地检测出虚拟机中的Rootkit,并依据TML报告内核级Rootkit的详细信息,系统的综合性能损耗在可接受范围内。 相似文献
4.
自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中(Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表(TVPL)获取技术,Gemini实现了在虚拟机监视器(VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。 相似文献
5.
可信计算组织(TCG,trusted computing group)提出的虚拟机远程证明方案可以为云计算平台提供虚拟机完整性验证服务,而直接使用 TCG 提出的方案性能较低,并且会受到布谷鸟攻击的威胁。利用虚拟机自省技术(VMI,virtual machine introspection)设计了新的虚拟机远程证明方案。通过在虚拟机监视器(VMM,virtual machine monitor)中获取虚拟机远程验证证据的方法消除在虚拟机内执行布谷鸟攻击的路径,利用物理可信平台模块(TPM,trusted platform module)保证虚拟机远程验证证据的完整性,减少了身份证明密钥(AIK,attestation identity key)证书的产生数量,降低了私有证书颁发机构的负载。实验表明,方案可以有效验证虚拟机的完整性状态,在虚拟机数量较多的情况下,性能优于TCG提出的虚拟机远程证明方案。 相似文献
6.
虚拟机监控器(VMM)具有强控制性、隔离性的特点。针对现有文件完整性监控系统中存在的缺陷,提出了一种新的基于VMM且与客户机相隔离的文件完整性保护方法,该方法能够保护用户的敏感文件,特别是文件完整性监控系统本身,使其免受恶意代码的攻击。这种基于虚拟机监控器的文件完整性保护解决方案,在虚拟机隔离层中通过设计和嵌入的"探测器"和"文件逆向定位器"两种关键技术,能够实时地探测到对被保护文件的所有访问企图,从而实现预置的保护策略。 相似文献
7.
为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控(OFM)系统。该系统以基于内核的虚拟机(KVM)作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。 相似文献
8.
IVirt:基于虚拟机自省的运行环境完整性度量机制 总被引:2,自引:0,他引:2
完整性度量是检测程序篡改的重要方法,但是在虚拟化环境下传统的检测方法已体现出不足.例如,度量软件与被度量对象处于相同操作系统中易受攻击.该文从安全性和性能两方面出发,提出了一种基于虚拟机自省的完整性度量机制IVirt(Integrity for Virtualization).该机制从虚拟机外部通过地址转换和内容定位得到所需的虚拟机内存数据,从而对虚拟机内部的程序进行完整性度量,以检验程序是否遭到篡改.该文以典型的虚拟机监视器Xen为例实现了IVirt原型系统.相比于同类工作,IVirt一方面将度量软件与被度量对象分离,防止度量软件遭到攻击;另一方面采用地址转换来度量运行时状态,这区别于采用事件拦截机制的度量方法,以降低性能开销.实验结果表明,该方法能够检测出虚拟机运行时的软件篡改,而且在性能上不会引入过高的代价. 相似文献
9.
基于虚拟化技术的恶意软件行为分析是近年来出现的分析恶意软件的方法。该方法利用虚拟化平台良好的隔离性和控制力对恶意软件运行时的行为进行分析,但存在两方面的不足:一方面,现有虚拟机监视器(Virtual Machine Monitor,VMM)的设计初衷是提高虚拟化系统的通用性和高效性,并没有充分考虑虚拟化系统的透明性,导致现有的VMM很容易被恶意软件的环境感知测试所发现。为此,提出一种基于硬件辅助虚拟化技术的恶意软件行为分析系统——THVA。THVA是一个利用了安全虚拟机(SVM)、二级页表(NPT)和虚拟机自省等多种虚拟化技术完成的、专门针对恶意软件行为分析的微型VMM。实验结果表明,THVA在行为监控和反恶意软件检测方面表现良好。 相似文献
10.
在虚拟化云计算平台中,如何保证其上运行软件的可信性是云平台广泛应用的关键.完整性测量与验证技术是保证软件系统可信性的一种主要方法.然而,现有的软件完整性验证系统大多需要修改操作系统内核,很难为大规模虚拟机环境中的众多异构系统提供一致解决方案,且无法抵御内核级恶意攻击.针对当前方法在兼容性、安全性以及可管理性上存在的问题,设计并实现了一种在VMM层基于系统调用分析技术来验证软件完整性的方法VMGuard.它通过截获客户操作系统中的系统调用来识别软件加载,并基于系统调用关联性分析和虚拟机文件系统元数据重构技术来验证客户操作系统中软件的完整性.在Qemu和KVM两种主流虚拟化平台上实现了VMGuard,并通过实验评测VMGuard的有效性和性能.实验结果表明,VMGuard能够有效验证客户操作系统中软件的完整性,且性能开销在10%以内. 相似文献
11.
12.
Virtual machine monitors (VMMs) play a central role in cloud computing. Their reliability and availability are critical for cloud computing. Virtualization and device emulation make the VMM code base large and the interface between OS and VMM complex. This results in a code base that is very hard to verify the security of the VMM. For example, a misuse of a VMM hyper-call by a malicious guest OS can corrupt the whole VMM. The complexity of the VMM also makes it hard to formally verify the correctness of the system’s behavior. In this paper a new VMM, operating system virtualization (OSV), is proposed. The multiprocessor boot interface and memory configuration interface are virtualized in OSV at boot time in the Linux kernel. After booting, only inter-processor interrupt operations are intercepted by OSV, which makes the interface between OSV and OS simple. The interface is verified using formal model checking, which ensures a malicious OS cannot attack OSV through the interface. Currently, OSV is implemented based on the AMD Opteron multi-core server architecture. Evaluation results show that Linux running on OSV has a similar performance to native Linux. OSV has a performance improvement of 4%–13% over Xen. 相似文献
13.
一个基于硬件虚拟化的内核完整性监控方法 总被引:2,自引:0,他引:2
对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分析,得出了在实际系统中保证内核完整性需要的条件:保障数据完整性,影响系统功能的关键数据对象只能由指定的代码在特定情况下修改;保障控制流完整性,保护和监控影响代码执行序列改变的所有因素。并采用硬件虚拟化的Xen虚拟机监控器实现对Linux内核的保护和监控。实验结果证明,该方法能够阻止外来攻击和本身漏洞对内核的破坏。 相似文献
14.
15.
由于虚拟化技术能对多个服务有效隔离避免其相互间干扰而得到广泛应用。对于需要多个服务协同工作的大型应用,传统虚拟机监控器调度时忽视了虚拟机间的协同性,降低了虚拟机间并行工作的可能性,从而影响了服务质量。对虚拟机的协同调度进行研究,分析了调度对虚拟机协同性及服务质量的影响,提出了一种虚拟机协同调度算法。实验表明,协同调度使虚拟化平台服务器响应时间降低了1/3,且没有对调度的公平性造成明显影响。 相似文献
16.
KVM是基于Intel VT技术并结合QEMU来提供设备虚拟化的虚拟机。通过分析和研究KVM虚拟机的创建、运行机制,从进程控制的角度对KVM虚拟机进行隔离,实现了KVM虚拟机在创建、运行时都保持在指定的核上运行,达到最大化利用处理器资源的目的。 相似文献
17.