云计算中虚拟化技术的安全问题及对策研究

虚拟化技术在云计算中发挥着重要作用,云计算通过虚拟化技术提供灵活高效的应用服务.在分析云计算中虚拟化技术体系结构的基础上,本文分别从虚拟机硬件设备、虚拟机监控软件和虚拟化操作系统三个方面,阐述了虚拟化技术所面临的安全威胁,最后提出了相应的安全防护对策.     

虚拟机技术与性能优化的研究

虚拟化技术应用广泛,以虚拟机为主构建的虚拟计算平台存在性能和安全等方面的问题.通过研究分析虚拟化技术和3种基于硬件抽象层虚拟机的实现技术,提出以硬件辅助虚拟化技术为基础,融合动态指令转换等技术,从处理器虚拟化、内存虚拟化、I/O虚拟化等方面优化设计虚拟机.经实验证明实现的虚拟机在性能上接近非虚拟化的物理计算机.     

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

嵌入式虚拟机管理器内存虚拟化方法研究

随着计算机科学技术的快速发展,对于计算机硬件以及软件的应用更加多元化,嵌入式虚拟机管理技术就是其中一个比较典型的使用案例。客户操作系统顺畅运行离不开嵌入式虚拟机管理器,需应用嵌入式虚拟机管理器对硬件资源(3种硬件资源)虚拟化,而支持虚拟内存的客户操作系统则需要对CPU存储管理单元页表虚拟化。该文主要研究的是NXP公司的PowerPC架构处理器,以此为例来详细地说明CPU的存储管理单元以及管理方法,从而提出CPU的存储管理单元虚拟化的需求。从5个典型性虚拟机管理器软件的内存虚拟化研究方案中可得出虚拟化问题的有效解决方案,此方案包括软件影子页表、硬件支持特性,软硬件结合中的多种方案,能进一步解决CPU存储管理单元(MMU)页表虚拟化问题。     

虚拟化技术在高校计算机实践教学中的应用探讨

针对当前计算机实践教学存在的局限性,本文从虚拟化技术角度探讨了可能的解决方案,重点介绍了VMware虚拟机技术在计算机操作系统实验、计算机网络实验和计算机群集实验教学中的应用等。     

云计算环境下虚拟机服务质量保证和评估方法:研究综述

云计算是一种按需付费的资源使用模式.它通过虚拟化技术,向用户提供具有服务质量保证的计算、存储以及网络资源.然而,与物理服务器相比,虚拟化环境的特点使得虚拟机的服务质量(Quality of Service,Qo S)难以保证,例如,虚拟化技术本身的限制、虚拟机上所运行的应用的行为难以被准确预测、虚拟机性能评估困难、以及虚拟机行为监控困难等.分析上述困难,阐述学界对虚拟机服务质量保证的研究现状,总结对易于量化的Qo S指标及难以量化的Qo S指标的评估和保证方法.最后,总结与虚拟机Qo S相关的问题,并展望未来的研究方向和亟待解决的问题.     

云计算中虚拟化技术的安全威胁

围绕云计算中的虚拟化技术,介绍虚拟化技术的原理和分类,指出虚拟化技术实现过程中潜在的脆弱点和攻击路径.针对虚拟化技术的特点,详尽地剖析了多种基于不同存储描述表进行虚拟机探测的方法,并给出了3种典型的基于硬件虚拟化的恶意攻击实例.以VMware vSphere云操作系统为目标,实施了DoS(拒绝服务)攻击实验,实验表明:DoS攻击将会影响vSphere系统的稳定性,甚至出现宕机.     

一种无代理虚拟机进程监控方法

针对云环境下的租户虚拟机状态监控问题,提出一种基于虚拟机内存实时在线分析的虚拟机监控技术.借助虚拟化层的高特权级,可以在虚拟机外部透明地实时获取虚拟机的物理内存.引入内存取证领域的物理内存解析机制,在虚拟化层在线地分析虚拟机内存中重要的内核数据结构,从而获取虚拟机内存语义知识,有效地解决虚拟机与虚拟化层之间的语义鸿沟问题,实现虚拟机细粒度状态信息监控.由于监控代码处于更高特权级的虚拟化层,无需在用户虚拟机中部署监控代理,因此,虚拟机内部的恶意代码无法旁路和破坏安全监控代码,提高了方法的透明性和安全性.实验表明,该方法可以在低开销下以无监控代理模式为租户提供虚拟机监控服务.     

ARM TrustZone的轻量级嵌入式虚拟化架构

针对现存的基于软件的虚拟化解决方案存在的不足,利用ARM标准硬件技术和赛灵思ZC702商业平台,实现通用操作系统(GPOS)与轻量级实时操作系统(FreeRTOS)同时运行.测试结果表明:虚拟机从RTOS到GPOS的上下文切换系统开销是3.10 μs,相反过程为2.64 μs,内存占用也仅为1 KB;由虚拟机监视系统(VMM)引入的性能开销低和内存占用较小;利用ARM TrustZone技术可实现一个具有低成本和高可靠性的轻量级虚拟化解决方案.     

基于虚拟机的Rootkit技术研究

随着安全检测软件深入到系统内核,传统的内核级Rootkit逐渐丧失了隐藏自身和控制系统的优势.但是一种利用虚拟机技术的虚拟机Rootkit又一次打破了平衡,它试图在虚拟化环境下躲避检测,并控制目标系统.本文将介绍两种在不同虚拟化环境下的Roorkit的实现方式.     

基于虚拟机的安全技术研究

由于虚拟机的高隔离性以及对系统、应用的透明性,使得很多安全技术是基于虚拟机实现的.提出一种基于Xen的安全架构,可将现有安全程序移植到该架构上,并保证其功能性,如文件、内存扫描以及主动防御技术.由于大量减少处于被保护虚拟机中的安全程序组件,使得安全程序本身具有更高的安全性,同时利用半虚拟化I/O技术将系统开销降低到最小,具有实用性.该框架还可将其他基于虚拟机的安全技术整合进来,且不需要修改现有的操作系统及应用程序,因此具有较强的适用性.     

基于VMware和Ghost技术的系统备份与还原的设计与实现

计算机操作系统经常会因为病毒、木马、误操作等原因造成系统崩溃与数据丢失. 对VMware 虚拟机和Ghost技术进行研究,实现了在VMware虚拟机环境下,利用Ghost技术,对虚拟机系统进行备份,在系统出现崩溃的情况下成功还原系统与数据,保证了系统的安全.     

跨域虚拟网络环境下虚拟机Live的迁移机制

针对跨域虚拟网络环境下虚拟机的在线迁移机制, 设计了支持虚拟机跨域通信的虚拟网络路由协议和控制虚拟机在线迁移的路由更新协议, 以支持虚拟机的跨域动态管理, 并基于流行虚拟化环境Xen, 完成了原型实现, 从而解决了虚拟机跨域的在线迁移问题, 实现了利用广域网络环境搭建动态虚拟化平台.     

P2V迁移在云平台数据中心的实现

传统的校园网架构常采用物理服务器直接安装操作系统并部署网络信息平台的组网模式。随着虚拟化技术、云计算深入到校园信息化建设应用中,将原有大量基于物理服务器构建的信息服务平台迁移到云平台虚拟机环境是一个复杂的系统工程。通过科学规划设计,基于v Sphere工作组件VMware v Center Converter Standalone可完成物理服务器到虚拟机的P2V平稳迁移,实现云平台数据中心应用系统的资源整合。     

虚拟机技术在上海磁浮线的应用

该文主要介绍了虚拟机技术,阐述了准虚拟化技术和泛虚拟化技术的工作原理,并针对这两项技术进行了对比。在此理论基础上,着重描述了虚拟化技术在上海磁浮线上的应用。与一般情况下使用虚拟机技术以达到节约成本的目的不同,上海磁浮线虚拟机技术应用完全是为了解决实际中遇到的硬件和软件兼容性问题。该文以上海磁浮线升级改造项目作为一个实际案例,为虚拟机技术的实际应用拓宽思路,也为遇到类似问题的企业提供一个解决途径。     

虚拟机技术在操作系统教学中的应用研究

用虚拟机技术改进计算机相关课程的教学方法,是近年来高等学校计算机教师热衷探讨的问题,本文首先就操作系统课程教学中的存在的问题进行分析探讨,阐述了虚拟机技术的基本原理,并详细介绍了建立操作系统教学和实验平台的配置方式,通过虚拟机技术,在一台计算机上安装多种操作系统及应用软件,为高校进行计算机教学与实训提供了一个良好的解决方案.     

基于虚拟机IO序列与Markov模型的异常行为检测

为检测虚拟机内部的IO异常行为,及时发现已知和未知的虚拟机逃逸攻击,基于硬件辅助虚拟化技术,该文提出了一种基于虚拟机IO序列的异常检测方法,包括:提出了一种异步采集技术高效采集虚拟机IO序列;建立了虚拟机IO序列与虚拟机内部进程的映射关联关系,以细粒度描述虚拟机自身IO行为;提出了一种基于双层Hash表的虚拟机IO短序列生成算法,并采用Markov链模型检测异常虚拟机IO序列。在KVM(Kernel-based virtual machine)虚拟化环境下设计并实现原型系统VMDec(virtual machine detecting),通过实验评测了VMDec系统的功能和性能。实验结果表明:VMDec能有效检测出虚拟机内部基于IO的恶意攻击以及已知和未知的虚拟机逃逸攻击,且检测误报率和性能开销在可接受范围内。     

虚拟化平台构建操作系统函数调用关系方法

针对现有操作系统函数调用关系构建方法存在依赖系统源代码、兼容性差的问题,提出了一种基于硬件虚拟化中断陷入机制的操作系统内核函数调用关系构建方法。该方法在操作系统内核函数的特定位置动态插入会引起虚拟化中断陷入的特殊指令覆盖内核特定位置的指令,实现在函数调用、被调用时触发虚拟化中断陷入,并在陷入后的虚拟机监控器中获取当前内核函数的调用信息,从而动态构建操作系统的内核调用关系。实验结果表明,本方法能在不依赖内核源码、编译器的情况下构建多种开源/闭源、32 位/64 位操作系统的内核函数调用关系,构建准确率为100%,查全率大于85%。该方法可用于操作系统内核安全分析及白名单构建等工作,具有一定的实用价值。     

基于虚拟化的不可信模块运行监控

为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改.     

企业新风

红帽发布企业虚拟化3.0方案红帽公司正式宣布红帽企业虚拟化3.0正式上市,该产品大幅扩展了其在服务器和桌面虚拟化管理工具及基于内核的虚拟机管理程序方面的实力。红帽企业虚拟化3.0实现了Linux和Windows负载下新型企业虚拟化管理特性、性能