一种无代理虚拟机进程监控方法

针对云环境下的租户虚拟机状态监控问题,提出一种基于虚拟机内存实时在线分析的虚拟机监控技术.借助虚拟化层的高特权级,可以在虚拟机外部透明地实时获取虚拟机的物理内存.引入内存取证领域的物理内存解析机制,在虚拟化层在线地分析虚拟机内存中重要的内核数据结构,从而获取虚拟机内存语义知识,有效地解决虚拟机与虚拟化层之间的语义鸿沟问题,实现虚拟机细粒度状态信息监控.由于监控代码处于更高特权级的虚拟化层,无需在用户虚拟机中部署监控代理,因此,虚拟机内部的恶意代码无法旁路和破坏安全监控代码,提高了方法的透明性和安全性.实验表明,该方法可以在低开销下以无监控代理模式为租户提供虚拟机监控服务.     

一种云取证中间件系统的设计

云计算的快速发展在产生巨大的经济效益的同时,也带来了计算机犯罪问题。针对如何从云中全面、便利地获取到可信、完整的数字证据,提出了一种云取证中间件的设计方法。该方法主要包括远程控制端证据再现、服务端证据分析和监控管理、客户端内存获取和分析3个部分。该设计比传统在线取证方法更符合传统物证技术的要求,提高了取证人员的工作效率和证据的可信度。在Windows 10系统（客户端）和Centos7.0（服务端）系统上的验证结果表明,该设计是有效和可靠的。     

一种云取证中间件系统的设计

云计算的快速发展不仅带来了巨大的经济效益,也带来了计算机犯罪问题。针对如何从云中全面的便利的获取到可信、完整的数字证据,本文提出了一种云取证中间件的设计方法,该方法主要包括3个部分,远程控制端证据再现、服务端证据分析和监控管理、客户端内存获取和分析,该方法比传统在线取证方法更符合传统物证技术的要求,大大提高了取证人员的工作效率和证据的可信度,已在Windows 10系统(客户端)和Centos7.0(服务端)系统上验证,是有效和可靠的。     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

基于主元分析法的虚拟机异常监控研究

面临云平台中虚拟机使用异常的监控系统缺乏问题,以现有的IaaS开源云平台Eucalyptus和基于Linux内核的Xen虚拟机为基础,研究基于主元分析法(primary component analysis,PCA)的虚拟机异常监控方法,并在此基础上设计在云环境中基于Xen虚拟机异常使用的监控系统.该系统可以对采集到的数据进行分析,判断虚拟机是否出现使用异常并定位异常.实验结果表明,采用基于主元分析法的虚拟机异常监控系统对云环境中的虚拟机产生的异常检测准确度较高,在定位异常方面也有较好的准确度.该研究成果为云环境下虚拟机异常监控提供了有效的理论研究依据和应用实践价值.     

云计算中虚拟机管理系统的研究与开发

如何有效地监控云计算中多个物理计算节点以及部署在物理计算节点上的大量虚拟机是一个非常重要的问题.本文设计并开发了一个透明、相容、一致、易查的虚拟机管理系统.该系统实现了查看主机和虚拟机的简要信息或者XML格式的详细信息,能够对虚拟机进行开机、关机、暂停、恢复、重启、强制关闭、远程操控,系统还实现了日志记录的功能.测试运行表明该系统能有效地监控云计算中物理节点以及虚拟机的运行状态,方便了对虚拟机的管理.     

适用于云取证的证据数据完整性评估方法

针对证据数据完整性的问题,指出证据数据完整性评估的意义和重要性.通过考察信息系统在物理环境、网络传输、主机与系统、应用程序、管理和时间这六个方面对于证据数据完整性的影响和作用,提出了一种评估证据数据完整性的框架.运用数据融合方法对评价结果进行量化,通过分别对传统终端取证方法和面向云的取证方法的实例进行评估与量化,证实了该框架对证据数据完整性评估具有切实有效的指导作用及可操作性,结果表明使用传统终端取证工具所获取证据数据的不确定性在云环境下是传统终端取证的5倍.     

使用缓存的虚拟机内存扩展

针对虚拟机内存需求预测困难及内存分配不足时性能严重下降的问题, 提出在虚拟机监视器中加入一个缓存 HECache。HECache 预先保留部分内存, 运行在同一台物理主机上的所有虚拟机共享该部分内存, 且对 HECache中内存的使用申请都可以立即得到满足。通过预先牺牲少量内存的方法, 所有的虚拟机都获得了更多的可用内存。实验结果表明, 将内存保留在 HECache 中与直接分配给虚拟机相比开销很低。HECache 对应用程序透明, 与现有的其他内存机制( 例如 ballooning, page-sharing, hotplug) 等兼容。     

一种融合虚拟机选择的虚拟机放置方法

为了节省云数据中心的能量消耗,提出一种融合虚拟机选择的虚拟机放置方法.该策略将虚拟机迁移过程划分为物理主机状态检测,虚拟机选择和虚拟机放置3个步骤;在物理主机状态检测和虚拟机选择阶段,选取了Cloudsim项目中已有的且被证明是优秀的鲁棒局部归约检测方法和最小迁移时间选择方法;在最后的虚拟机放置阶段,以虚拟机和物理主机...     

基于EPROCESS特征的物理内存查找方法

为了快速定位目标活动进程,提取对应的物理内存数据,分析了Windows系统中进程运行时其EPROCESS结构的特性及作用,提出了基于EPROCESS特征的物理内存查找方法.该方法利用EPROCESS结构的特性,定位出活动进程的EPROCESS结构,找出进程页目录基地址,并根据虚拟地址描述符的功能,提取活动进程物理内存.实验结果表明,该方法能快速、有效地定位活动进程,提取出活动进程物理内存,缩小取证分析范围,提高取证效率.     

云数据中心基于负载预测的物理主机状态检测策略

针对云数据中心现有物理主机状态检测算法对提高云数据中心物理资源的利用率效果不明显问题,提出了基于负载预测的物理主机状态检测策略(load prediction based physical host status detection,LP-PHSD),LP-PHSD利用时间序列和二次指数平滑法预测出物理主机在未来一段时间内的资源利用率情况,同时结合绝对中位差方法,确定资源利用率动态阈值边界,选择适当的时刻进行迁移,提高物理资源的利用效率,降低能量消耗.LP-PHSD包括源物理主机状态检测和目标物理主机状态检测2个部分,可以很好地判断出虚拟机迁移的时刻.实验表明,经LP-PHSD策略优化后的新虚拟机迁移方法与近几年的BenchMark迁移模型比较起来,云数据中心的总体能量消耗降低,虚拟机迁移次数减少,云服务质量明显提高.     

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

基于蜜罐的网络动态取证系统研究

针对计算机静态取证技术和常用的动态取证技术中存在的问题,提出了基于虚拟蜜罐的网络动态取证系统模型。该模型将在被保护子网上对流经的网络数据进行实时监控,编写程序对检测到的入侵进行报警,并通过修改iptables的nat表,利用重定向技术将检测到的入侵数据导入到蜜罐中进行记录,实现了入侵检测技术、蜜罐技术与防火墙技术的联动,达到实时动态取证的目的。实验结果表明,该系统不仅可以保护网络和主机不受攻击,还可以长时间的获取证据,并使得证据不受污染,达到了预期效果。     

基于资源复用技术结合HA技术的主备机自动切换

采用能将cpu和内存超载的资源复用技术结合虚拟机的HA(高可用)技术,实现主虚拟机运行占用资源时,备虚拟机不运行且不占用物理资源,当主机故障或宕机时释放资源,备机启动随即复用主机所释放的资源继续执行任务,达到物理资源动态分配的高性能,节省备份资源的物理开支。     

基于物理内存的注册表逆向重建取证分析算法

注册表结构重建与分析是Windows物理内存取证分析的重点和难点问题之一。首先通过分析注册表文件在硬盘中的逻辑特性,利用Windows系统调试工具分析注册表在内存中的数据结构特征,确立了在物理内存中定位注册表结构的方法;然后通过分析注册表项之间的树形关系,确定了注册表结构重建算法,并利用Graphviz可视化工具,设计出一种树形结构的可视化算法。实验结果表明,该算法能够实现对物理内存中注册表键名、键值信息的重建,基于获取的数据能够完成对系统中病毒的检测,并通过Graphviz可视化算法有效展示病毒感染系统的过程和结果。     

Web数字取证系统的研究与实现

通过对当前信息安全的分析,数字取证已成为信息安全和司法领域的研究热点.文中在分析现有Web攻击的基础上,综合利用基于主机和网络的入侵检测技术,开发出一套高效实用的Web数字取证系统.该系统通过取证代理不断监视和分析网络中对Web服务器的访问情况,在保护Web服务器安全的基础上,确定网络入侵者的行为是否已构成犯罪,然后提取和分析入侵犯罪信息,实现证据信息的完整性保护,同时通过对证据进行融合,生成入侵犯罪证据.     

基于代理的主动型网络取证系统

针对数字证据特点和网络取证要求,设计实现了一种基于代理的主动型网络取证系统。该系统从入侵检测系统和主机系统等多数据源主动收集数字证据,通过完整性算法保证数字证据传输和存贮过程中的完整性。取证分析时,系统根据网络攻击各阶段时间与空间相关性,数据流时间与空间特征融合,数据流与数据包特征融合等多种技术手段实现多阶段网络攻击过程分析和攻击源定位。使用及鉴定结果表明,系统能够满足网络取证要求,能够正确有效地实现网络取证的各项功能。     

面向电信业务的基础设施云监控系统

目的设计并实现一个面向业务的基础设施云监控系统(BOICM)。方法从面向业务的角度,提出了基础设施云监控系统的交互模型、概念模型和实现模型。基于上述模型,设计并实现一个面向业务的基础设施云监控系统原型。结果 BOICM能够全面监控业务、物理机和虚拟机的运营状态,能够自动发现、定位并处理运营的异常情况。结论该系统具有良好的性能,能够为IaaS云平台提供支撑。     

一种采用云模型的同驻虚拟机侧通道攻击威胁度量方法

针对云平台中同驻虚拟机间共享物理资源,一些恶意用户通过探测、分析共享资源的信息来隐蔽获取其他用户的私密信息,进而可能引发侧通道攻击潜在威胁的问题,提出了一种基于云模型的同驻虚拟机侧通道攻击威胁度量方法。该方法在分析同驻虚拟机侧通道攻击特征的基础上,利用云模型在多属性决策不确定性转换及模糊性与随机性评估上的强大优势,对云用户的潜在侧通道攻击威胁进行了多指标综合度量评价。实验结果表明,利用该方法对云用户进行威胁度量得出的最大相似度为58.42%、36.47%、46.96%的评价结果符合假定的威胁等级,验证了该方法的可行性。该方法综合考虑了侧通道攻击威胁指标,充分发挥了云模型的度量优势,为云环境中同驻虚拟机间的侧通道攻击检测和防御研究与应用提供了重要依据。     

面向Android取证的内存镜像数据恢复方法

安卓(Android)设备生成的用户数据存储在非易失性内存中,从取证的角度来看,非易失性内存中驻留的数据至关重要,可以从中获得犯罪活动的关键证据,因此研究从内存镜像中恢复有价值的证据数据极为重要。该文提出了一种面向Android取证的内存镜像数据恢复方法,通过对内存页结构的分析以及对未删除和已删除数据的获取,实现了数据表和记录的恢复,进而完成了数据库的重构,实现了Android设备内存镜像数据的恢复,并从恢复数据量、通用性、数据恢复能力、文件完整性和数据恢复效率等方面进行了试验分析。试验结果表明,该方法是通用且有效的。