基于硬件虚拟化的虚拟机进程代码分页式度量方法

云环境下恶意软件可利用多种手段篡改虚拟机（VM）中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器（VMM）层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机（KVM）作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统（VMPMS）能有效度量虚拟机中进程,性能损耗在可接受范围内。     

基于动态信任根的虚拟机监控器动态完整性度量架构

现有虚拟机监控器(VMM)动态完整性度量架构在度量信任根的安全性方面存在问题,同时没有综合考虑VMM中需要进行完整性度量的数据,为此提出了一种基于动态信任根的VMM动态完整性度量架构。采用基于AMD的安全虚拟机技术构建动态信任根,可以实现对度量程序加载执行前的完整性度量;同时构建封闭独立的执行环境,从而可以有效地解决度量信任根的问题。通过分析VMM运行时的内存状态,对所有需要进行完整性保护的静态持久化数据进行完整性度量,从而可以保证度量内容的完备性。同时给出该架构在Xen上的实现。实验结果表明,该架构可以有效地解决度量信任根的问题,并且对度量内容具有良好的扩展性,从而保证度量内容的完备性;此外,该度量架构与现有架构Hyper Check-SMM相比有23.3%的性能提升。     

跨平台系统级虚拟机的访存优化

跨平台系统级虚拟机软件模拟访存操作效率低,严重影响了虚拟机的性能.为提高跨平台虚拟机访存效率,提出了一种使用宿主系统TLB硬件、加速跨平台系统级虚拟机访存地址转换的软硬件协同优化方法.该方法相对于软件访存模拟方法,有效利用了宿主系统的硬件资源,提高了跨平台系统级虚拟机执行访存操作效率.实验结果表明该方法将虚拟机系统的整体性能提高了近15%.提出的方法已实际应用在龙芯系统级跨平台虚拟机中.     

基于KVM的虚拟锁步技术

依托基于内核的虚拟机（kernel-based virtual machine , KVM ）的平台,针对虚拟机容错系统中的关键技术---虚拟锁步技术展开研究,主要研究虚拟锁步技术所采用的虚拟机同步机制（VM synchronization mechanism ）。对开源虚拟机容错软件Kemari进行架构剖析与代码分析,指出其所使用的基于数据拷贝的虚拟机同步机制在不使用共享存储进行锁步运行时,具有一定性能缺陷;以此为基础,提出相应的改进措施,设计并实现一种新的虚拟机同步机制。该机制采用事件重放的方式实现冗余虚拟机间块设备数据的同步,弥补了Kemari虚拟机同步机制的相关性能缺陷。     

基于虚拟机的 Rootkit 检测系统

内核级 Rootkit 位于操作系统核心层,可以篡改内核地址空间的任意数据,对系统安全构成了巨大的威胁.目前基于虚拟机的 Rootkit 方面应用大都偏重于完整性保护,未对 Rootkit 的攻击手段和方式进行检测识别.文中在虚拟机框架下,提出了一种新型的 Rootkit 检测系统 VDR,VDR 通过行为分析可有效识别 Rootkit 的攻击位置方式,并自我更新免疫该Rootkit 的再次攻击.实验表明,VDR 对已知 Rootkit 的检测和未知 Rootkit 的识别均有良好效果,能迅速给出攻击信息,为系统安全管理带来很大方便.     

基于轻量操作系统的虚拟机内省与内存安全监测

针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。     

一种借助系统调用实现基于信息流的完整性度量的方法

提出一种借助系统调用实现基于信息流的完整性度量的方法。该方法将度量过程分为离线阶段和运行阶段。在离线阶段,软件执行的系统调用被监控和记录,结合系统调用和信息流的关系抽象出软件的信息流基准值。在运行阶段,分析软件运行时的系统调用信息,获得软件运行时的信息流,根据信息流基准值检查软件的信息流是否出现异常,度量软件的完整性。为了验证方法的可行性,文章以Apache服务器为例,实现该方法的原型系统。实验表明该方法能够发现软件运行时完整性被破坏而出现的异常信息流。     

一种基于Xen的可信虚拟机系统的构建与应用

基于虚拟机的可信计算平台架构系统可以解决目前可信计算技术在应用过程中所产生的一些问题。该文介绍了一个符合这种架构的具体系统,对系统的构建方法进行了研究和探讨,并利用该系统解决了针对TCG完整性度量的TOCTOU攻击问题。     

CAR构件的四种运行时形态

CAR是一种二进制构件技术,Elastos是CAR的运行时环境,Elastos支持一种类似于Java虚拟机的二进制构件虚拟机,这个虚拟机对外提供JNI接口,即外部程序通过类似JNI接口规范的方式访问虚拟机内部的计算资源,这种从外部看是JVM,而内部是二进制构件的虚拟机技术被应用于智能手机、上网本这类靠电池供电的计算设备中,减小了软件尺寸,提高了软件速度.这种二进制构件根据不同的需要在运行时可以有不同的存在形态,文中讨论的就是在这样一个二进制构件虚拟机中构件的存在形态.     

一个基于虚拟机的日志审计和分析系统

SNARE是Linux操作系统的一个日志审计和分析工具,但它容易受到攻击。提出了一个新的方法被用来保护它免受攻击。运用虚拟机监控器的功能,SNARE被移植到运行在虚拟机监控器Xen上的两个虚拟机中,SNARE的两个主要部分——Linux内核补丁和审计后台进程被分隔而分别放入两个被Xen强隔离的虚拟机。Xen提供了两个虚拟机间共享内存的机制,运用这一机制,运行在一个虚拟机上的Linux内核补丁记录并转移审计日志到运行在另一个虚拟机上的审计后台进程。与传统的SNARE相比,新方法使攻击者毁坏或篡改这些日志更加困难。初步的评估表明这个原型是简单而有效的。     

基于VMI的虚拟机攻击防护机制研究

首先介绍了云计算基础设施即服务所存在的安全隐患,在此基础上对垫脚石攻击的防护机制作了分析。针对此攻击,提出了一种新的保护机制,即VMI攻击拦截机制,并对VMI攻击拦截机制进行了实现。     

虚拟机技术的复兴

虚拟机技术通过解除硬件和软件资源的体系结构和用户感知的行为与其物理实现之间的耦合,去解决计算机系统的安全、性能和可靠性等问题。本文简要地介绍了虚拟机技术的发展历史及其复兴的根源,总结了计算机系统虚拟方法共同的体系结构和虚拟机的概要分类。从CPU、内存和I／O三个方面综述了虚拟机监视器的实现技术,通过对当前产品应用和研究开发情况的阐述,可以感知未来虚拟机技术的发展趋势。最后,讨论了虚拟机技术给我国信息安全建设提供的历史机遇与挑战。     

跨虚拟机的可信检测

随着网络计算以及"云计算"的兴起,虚拟化技术得到了更多重视与应用。在计算机技术中,安全问题一直是非常重要研究课题。运用虚拟化技术,可以发现一些新的方法来解决传统非虚拟化计算机环境下的安全问题。设计并实现了虚拟机之间的检测方法,来对目标虚拟机进行可信检测。该方法最大的优势在于其对目标虚拟机进行可信检测的同时,可以避免恶意软件对检测程序本身的攻击。     

虚拟机检测与反检测技术研究

目前恶意代码研究领域普遍使用虚拟机来动态分析恶意代码,然而众多恶意代码都使用了虚拟机检测的技术来对抗。本文首先简单介绍了虚拟机技术,然后对虚拟机检测技术及其相应检测算法进行了研究,最后介绍了一些反虚拟机检测技术。     

基于优化的COW虚拟块设备的虚拟机按需部署机制

基于COW(Copy-on-Write)读写模式的虚拟块设备有利于实现大规模虚拟机环境下虚拟机的快速部署.文中为虚拟机管理器中的COW虚拟块设备设计了一种优化方法,能够提高COW磁盘的访问性能以及生成多个小尺寸的COW磁盘映像文件,以降低通过网络部署虚拟机的开销.基于优化的COW虚拟块设备,文中提出了虚拟机环境下的虚拟机按需部署机制及关键技术问题的解决方案.基于Linux平台和QEMU虚拟机,实现了基于优化COW虚拟块设备的虚拟机按需部署原型系统.实验表明,优化的COW虚拟块设备、基于COW磁盘有效工作集的优化部署以及COW磁盘回收等方法能够有效地支持虚拟机环境下低开销的、按需的虚拟机部署.     

INTER-VMM:融合虚拟机选择和放置的虚拟机迁移模型

低能量消耗与物理资源的充分利用是绿色云数据中心构造的两个主要目标,需要采用虚拟机迁移模型来完成优化,为此提出了融合虚拟机选择和放置的虚拟机迁移模型INTER-VMM（Interrelation approach in virtual machine migration）。INTER-VMM设计了云数据中心的基于多维物理资源约束的能量消耗模型,是一种将主机负载检测、虚拟机选择及放置结合起来考虑的虚拟机迁移策略。在虚拟机选择中采用HPS（High CPU utilization selection）选择法,选择超负载物理主机上CPU利用率最高的一个虚拟机,让其进入候选迁移虚拟机列表中。在虚拟机放置中采用空间感知分配（Space aware placement, SAP）放置法,考虑了充分利用物理主机空余空间使用效率的方法。仿真结果表明,INTER-VMM比近几年来常见的虚拟机迁移策略具有更好的性能指标,对云服务提供商具有很好的参考价值。     

虚拟机在实践教学中的应用

随着高职院校课程的不断改革深入,越来越重视实践教学。虚拟技术的发展和其自身所具有的特点,被高校广泛的应用在实践教学上。虚拟机的应用不仅充分有效的利用现有设备,而且对硬件设备及系统具有很好的安全性。教学上更加灵活、方便的设计实践项目,从而提高实践教学的质量。     

用户级多任务的两种实现方法

在分析了系统级多任务需要哪些硬件支持的基础上。提出了进程扩展型虚拟机和指令解释器型虚拟机的概念，给出这两种虚拟机如何模拟支持多任务的硬件机制的方法，以及在虚拟机上建立和切换多个任务的方法，该技术可以用于在上述两类虚拟机上构建自己的支持多任务的操作系统内核．     

虚拟机UML下的主机入侵检测

通过对虚拟机UML（user—mode Linux）的体系结构的分析,结合它自身的特点,提出了一种适合于UML的主机入侵检测方法：关于虚拟机的主机系统调用的入侵检测系统。这种方法是从虚拟机外部,即它的虚拟机管理器VMM（Virtual Machine Monitor）上采集数据,和传统的在虚拟机内部采集数据的方法比较,这种方法速度快,而且还很安全。