基于硬件虚拟化的虚拟机内核完整性保护

虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器:一方面为关键的内核数据与代码创建独立的页表并设置访问权限,使其运行在隔离的地址空间内;一方面利用硬件虚拟化的"陷入"机制使得关键寄存器一旦被篡改便下陷到VMM(virtual machine monitor).实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在7%以内,在提升安全性的同时,不会对性能产生明显的影响.     

基于嵌入式技术一卡通系统的研究

随着ARM技术的逐渐成熟和不断发展,ARM处理器的性能得到了不断的提高,有些性能已经达到或接近了低档PC机的水平;同时,各种操作系统也增加了对ARM内核的支持。这就使得利用ARM来代替PC来完成某些工作成为了可能,既可以减少设备的占地面积也可以降低设备及开发成本。     

基于虚拟化的不可信模块运行监控

为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改.     

GPU加速高性能计算平台上容器性能评估

容器是近年来新兴的虚拟化工具,可以实现资源和系统环境的隔离.容器能够帮助高性能计算应用程序将依赖打包进轻量级可移植的环境中,解决因软件配置无法在高性能计算资源上运行的问题.容器在虚拟化宿主机过程中具有性能开销,为了解GPU加速高性能计算平台上容器虚拟化技术的性能特征,使用标准基准测试工具对Docker容器进行了全面的性...     

基于视频图像的行人检测系统的设计与实现

设计一种基于视频图像的行人检测系统,系统基于ARM和Linux操作系统搭建嵌入式平台,通过构建视频流服务器将网络视频流传输至PC端,利用Haar-like特征和Adaboost算法框架训练分类器,用分类器进行行人检测.详细描述系统的设计实现方案,对其中的关键点进行阐述.实验结果表明,系统性能稳定、识别精度较高.     

企业新风

红帽发布企业虚拟化3.0方案红帽公司正式宣布红帽企业虚拟化3.0正式上市,该产品大幅扩展了其在服务器和桌面虚拟化管理工具及基于内核的虚拟机管理程序方面的实力。红帽企业虚拟化3.0实现了Linux和Windows负载下新型企业虚拟化管理特性、性能     

红帽发布企业虚拟化3.0方案

红帽公司正式宣布红帽企业虚拟化3．0正式上市,该产品大幅扩展了其在服务器和桌面虚拟化管理工具及基于内核的虚拟机管理程序方面的实力。红帽企业虚拟化3．0实现了Linux和Windows负载下新型企业虚拟化管理特性、性能和扩展能力方面的平衡,而且成本远低于专有替代方案。     

基于Android的高性能云终端系统的设计与实现

针对主流虚拟化协议对Android系统支持不足和ARM平台厂商对Linux系统的显示驱动支持有限的问题,提出一种将Android系统与Linux系统相整合的解决方案,以Android系统的驱动为基础构建Linux系统应用,通过中间层技术将Android系统的Bionic显示驱动接口转换成Linux系统下Glibc应用能够用的功能接口,具体阐述2D图形显示和高清视频播放的实现。该方案利用了Android系统与Linux系统的优势,扬长避短,使Android平台的设备作为高性能云终端成为可能,扩展云终端的选型范围,降低云终端的成本。     

ARM TrustZone的轻量级嵌入式虚拟化架构

针对现存的基于软件的虚拟化解决方案存在的不足,利用ARM标准硬件技术和赛灵思ZC702商业平台,实现通用操作系统(GPOS)与轻量级实时操作系统(FreeRTOS)同时运行.测试结果表明:虚拟机从RTOS到GPOS的上下文切换系统开销是3.10 μs,相反过程为2.64 μs,内存占用也仅为1 KB;由虚拟机监视系统(VMM)引入的性能开销低和内存占用较小;利用ARM TrustZone技术可实现一个具有低成本和高可靠性的轻量级虚拟化解决方案.     

虚拟域内访问控制系统的保护机制研究

为有效提高系统的安全等级,利用虚拟机管理程序的隔离性和高特权性,提出了一种新的保护操作系统内核完整性和虚拟域内访问控制系统的安全的方案。在该方案中,访问控制系统分为三个部分:安全策略管理模块、安全服务器模块和策略执行模块。虚拟域内访问控制系统保护机制的原型系统SEVD(security-enhanced virtual domain,SEVD)通过修改Xen虚拟机管理程序,在该虚拟化平台上实现。测试结果表明SEVD系统能够有效保护客户操作系统中访问控制系统的安全,能够抵御流行的Rookit攻击;在性能方面,与SELinux访问控制系统相比,SEVD性能开销也是没有增加,并实现了虚拟环境下安全策略集中配置,有效降低了安全策略管理的复杂度。     

基于遥感的合肥市建成区时空变化分析

通过对恶意代码行为和特征提取技术的分析,提出了基于虚拟环境下实现恶意代码检测的方法,设计了相应的检测系统;利用虚拟化技术,通过Docker容器简化检测环境的配置,增强了代码检测的隔离性、安全性;并建立相应的实验平台开展测试,为检测恶意的网络行为提供了支持。     

虚拟化平台构建操作系统函数调用关系方法

针对现有操作系统函数调用关系构建方法存在依赖系统源代码、兼容性差的问题,提出了一种基于硬件虚拟化中断陷入机制的操作系统内核函数调用关系构建方法。该方法在操作系统内核函数的特定位置动态插入会引起虚拟化中断陷入的特殊指令覆盖内核特定位置的指令,实现在函数调用、被调用时触发虚拟化中断陷入,并在陷入后的虚拟机监控器中获取当前内核函数的调用信息,从而动态构建操作系统的内核调用关系。实验结果表明,本方法能在不依赖内核源码、编译器的情况下构建多种开源/闭源、32 位/64 位操作系统的内核函数调用关系,构建准确率为100%,查全率大于85%。该方法可用于操作系统内核安全分析及白名单构建等工作,具有一定的实用价值。     

基于关联规则的Android驱动未知安全漏洞挖掘

传统漏洞挖掘方法无法研究Android设备驱动与内核间的交互,且需使相关硬件处于工作状态,很难实现Android驱动未知漏洞挖掘。为此,提出基于关联规则的Android驱动未知安全漏洞挖掘方法。对关联规则漏洞挖掘问题进行形式化描述。依据Apriori法对频繁项集进行初寻找。采用RDARF规则筛选器对规则进行进一步筛选,获取强规则。建立待挖掘驱动样本库,对Android驱动进行自动化分析,考虑Android设备驱动与内核间的交互;针对各Android驱动对各自申请的权限信息进行提取,建立权限特征集合,完成格式化操作;挖掘出所有Android驱动漏洞数据的极大频繁项集,建立权限关系特征库,获取关联规则无需执行驱动;针对待挖掘驱动匹配权限关系特征库,实现未知Android驱动安全漏洞的挖掘。实验结果表明,所提方法挖掘准确性高,CPU占用少。     

基于Android系统的H.264视频监控设计

为解决移动终端传输视频图像质量低、传输速度慢的问题,将移动互联网中的Android系统开发技术和H.264视频编码方法相结合,设计并实现了H.264视频监控。采用了将Andro
id系统移植到ARM（Advanced Risc Machines）平台的方法和ARM平台采集视频数据的方法,分析了Android操作系统架构及其启动原理。该H.264视频编码采用基本档次的编码方法,平均峰值信噪比（PSNR：Peak Signal to Noise Ratio)达到38.210 dB,编码帧速率达到136.66 帧/s,与主要档次和高级档次的编码方法相比,具有更高的编码帧速率,实现了实时稳定的视频监控效果。     

基于KVM的可信虚拟化架构模型

针对云计算安全中的虚拟化安全问题, 提出一种可改善虚拟化安全问题的可信虚拟化架构. 该架构通过在模拟处理器中添加虚拟可信平台模块, 在操作系统中添加可信平台模块驱动, 构造一个从底层基础架构到上层应用服务的可信架构. 该架构在虚拟化平台服务器中融合了可信平台模块, 可有效解决虚拟化平台服务器的安全性
问题.     

TPM context manager and dynamic configuration management for trusted virtualization platform

It is absolutely critical that trusted configuration management which significantly affects trust chain establishment, sealing storage and remote attestation, especially in trusted virtualization platform like Xen whose system configuration changes easily. TPM （trusted platform module） context manager is presented to carry out dynamic configuration management for virtual machine. It manages the TPM command requests and VM （virtual machine） configurations. The dynamic configuration representa- tion method based on Merkle hash tree is explicitly proposed against TCG （trusted computing group） static configuration representation. It reflects the true VM status in real time even if the configuration has changed, and it eliminates the invalidation of configuration representation, sealing storage and remote attestation. TPM context manager supports TCG storage protection, remote attestation etc, which greatly enhances the security on trusted virtualization platform.     

Android平台安全机制浅析

Android作为全球最受欢迎的智能手机平台,由于源码开放、可编程软件框架等特点,随着Android平台的普及,相关的安全威胁也日趋严重。文中基于Android平台的系统构架,从Linux机制、运行环境、Android固有机制三个方面分析Android平台的安全机制,阐述了上述安全机制中可能存在的安全隐患,并提出目前常见的安全防范措施来应对存在的安全挑战。     

多vCPU环境中基于容器的科学工作流调度策略

现有科学工作流调度研究较少考虑计算资源的多道程序设计,难以同时实现有效的容器共享并优化任务并行度与资源利用率。为了解决以上难点,文章提出了一种分布式多vCPU环境中基于容器技术的分段式工作流调度策略。该策略通过分段调度方法,降低启发式算法的解空间大小,使用带遗传算子的自适应离散粒子群优化算法(ADPSOGA),在设备使用成本的约束下优化各个工作流的完成时间,并制定一种容器与设备间的动态伸缩方案,实现容器的复用并解决单个设备中任务并行时的资源争用问题。结果表明：ADPSOGA的性能优于其他同类启发式算法,并且分段调度方法与容器伸缩方案在工作流调度方面表现出良好的性能,能很好地适应因任务并行度增加所带来的影响。     

Android软件安全攻防对抗技术及发展

Android占据着移动互联网智能操作系统的主导地位,系统高度开放性和广泛普及性使其面临严重的安全挑战.文中从技术的角度探讨Android软件安全渗透攻击与加固保护技术的最新研究方向和成果,阐述了Android软件渗透攻击典型技术和手段.从保护加固系统性分类归纳Android软件安全问题解决的关键技术并展望了未来Android软件安全领域的发展方向.