一种基于虚拟机的安全监测方法

随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性.     

VMOffset:虚拟机自省中一种语义重构改进方法

虚拟机自省是一种在虚拟机外部获取目标虚拟机信息,并对其运行状态进行监控分析的方法.针对现有虚拟机自省方法在语义重构过程中存在的可移植性差、效率较低的问题,提出了一种语义重构改进方法VMOffset.该方法基于进程结构体成员自身属性制定约束条件,可在不知道目标虚拟机内核版本的情况下,自动获取其进程结构体关键成员偏移量,所得偏移量可提供给开源或自主研发的虚拟机自省工具完成语义重构.在KVM（kernel-based virtual machine）虚拟化平台上实现了VMOffset原型系统,并基于不同内核版本操作系统的虚拟机,对VMOffset的有效性及性能进行实验分析.结果表明：VMOffset可自动完成各目标虚拟机中进程级语义的重构过程,具有可移植性与安全性,且仅对目标虚拟机的启动阶段引入0.05%之内的性能损耗.     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

跨虚拟机的可信检测

随着网络计算以及"云计算"的兴起,虚拟化技术得到了更多重视与应用。在计算机技术中,安全问题一直是非常重要研究课题。运用虚拟化技术,可以发现一些新的方法来解决传统非虚拟化计算机环境下的安全问题。设计并实现了虚拟机之间的检测方法,来对目标虚拟机进行可信检测。该方法最大的优势在于其对目标虚拟机进行可信检测的同时,可以避免恶意软件对检测程序本身的攻击。     

虚拟机环境检测方法研究综述

虚拟化技术带来的资源利用、管理和隔离的优势,使其被广泛应用在虚拟服务器、恶意代码分析、云计算平台搭建等领域.恶意代码的编写者和安全研究人员也在虚拟化发展热潮中展开了新一轮的技术博弈,如何检测虚拟环境的存在成为当前研究的热点.介绍虚拟机环境检测方法的意义,从本地虚拟机环境检测和远程虚拟机环境检测两个方面分别展开举例说明检测的原理和方法,在总结虚拟机环境检测方法的基础上,指出虚拟化透明性增强的方向,探讨和分析未来的发展趋势.     

虚拟化群集服务器技术研究与运维实践

虚拟化技术提高了数据中心的资源配置效率,降低了能耗,成为信息产业中颇受瞩目的焦点.作为数字校园的业务支撑平台,虚拟化群集服务器为每个信息业务提供了独立运行的虚拟机,实现了业务运转的高可用和高可靠.虚拟机是在物理计算机上运行操作系统和应用程序的软件计算机,物理机的用途转变为容纳虚拟机的容器,群集对运行着虚拟机的一组物理机的资源进行整合.虚拟机和虚拟机模板的构建、虚拟机快照管理、虚拟机的迁移、OVF(Open virtual format)模板的导出和部署、将物理机迁移到虚拟机等工作是群集服务器日常运维的主要内容.     

有关虚拟机及虚拟化技术的几点诠注

虚拟机及虚拟化技术给计算机应用注入了新的研究与开发点,同时也存在诸多不利因素.本文综述了虚拟机及虚拟化技术的发展历程,指出了虚拟机与虚拟化目前在应用上存在的若干问题.针对这些问题,结合虚拟机技术的发展,给出了研究与开发的相关建议.     

VMware虚拟机检测技术研究

近年来,随着虚拟化技术的进一步发展,特别是VMware虚拟机在桌面应用的广泛流行,使得人们越来越认识到虚拟化技术的优势.本文就VMware虚拟机检测技术进行研究和探讨.     

基于本地虚拟化技术的隐藏进程检测

自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中（Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表（TVPL)获取技术,Gemini实现了在虚拟机监视器（VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。     

基于“In-VM”思想的内核恶意代码行为分析方法

随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。     

基于虚拟机自省的隐藏文件检测方法

通过检测虚拟机内部的隐藏文件,检测工具可以及时判断虚拟机是否受到攻击.传统的文件检测工具驻留在被监视虚拟机中,容易遭到恶意软件的攻击.基于虚拟机自省原理,设计并实现一种模块化的虚拟机文件检测方法FDM. FDM借助操作系统内核知识,解析虚拟机所依存的物理硬件,构建虚拟机文件语义视图,并通过与内部文件列表比较来发现隐藏文件. FDM将硬件状态解析和操作系统语义信息获取以不同模块实现,不仅具备虚拟机自省技术的抗干扰性,还具备模块化架构的可移植性与高效性.实验结果表明, FDM能够准确快速地检测出虚拟机内部的隐藏文件.     

利用虚拟化平台进行内存泄露探测

文中利用虚拟机管理器,透明地记录应用程序对资源的申请、释放以及使用情况,提供了探测内存泄露的辅助信息.此机制首先不需要修改或重新编译源程序;其次,带来的性能损失很小.两者结合可以构建在线内存泄露探测和汇报机制.不仅如此,基于虚拟机环境的内存泄露探测还具备通用性,且不需要特殊的硬件支持.所有这些特性,是已有的解决方案所不能兼有的.实验结果表明:基于虚拟机环境的内存泄露探测机制具有实用性,性能损失也被控制在10%以内,能够运用在实际的生产环境中.     

面向二进制移植的虚拟化技术

从ISA和ABI两种不同层次出发,探讨了当前二进制移植存在的问题,分析了其对应解决方法的优劣,明确了虚拟化技术是实现二进制移植的重要手段。研究了支持ISA或ABI间二进制移植中的三种虚拟化方法,即解释和二进制翻译、资源虚拟化、内核虚拟化。提出了一种结合动态二进制优化技术的高效进程虚拟机Long-Win,其支持Windows应用程序在Linux操作系统上运行,实验结果表明,其性能与Wine相比提高了6%～10%。     

Virtio network paravirtualization driver: Implementation and performance of a de-facto standard

One of the techniques used to improve I/O performance of virtual machines is paravirtualization. Paravirtualized devices are intended to reduce the performance overhead on full virtualization where all hardware devices are emulated. The interface of a paravirtualized device is not identical to that of the underlying hardware. The OS of the virtual guest machine must be ported in order to use a paravirtualized device. In this paper, the network virtualization done by the Kernel-based Virtual Machine (KVM) is described. The KVM model is different from other Virtual Machines Monitors (VMMs) because the KVM is a Linux kernel model and it depends on hardware support. In this work, the overhead of using such virtual networks is been measured. A paravirtualized model by using the virtio [38] network driver is described, and some performance results of web benchmark on the two models are presented.     

μC/OS-II虚拟化设计与实现

针对OKL4设计一种高性能、高安全性的嵌入式虚拟机模型,在该模型的基础上,从处理器和内存2个方面提出实时操作系统μC/OS-II在OKL4上的虚拟化方案,给出虚拟化硬件抽象层的构造过程及μC/OS-II在虚拟化硬件抽象层上的移植方法。在Hi3611智能手机开发板上的测试结果验证了该虚拟化方案的正确性。     

恶意代码行为获取的研究与实现

分析对比了恶意代码的静态分析方法和动态分析方法,设计并实现了一种结合虚拟机技术和Windows操作系统自身所具有的调试功能来获取恶意代码行为的模块,该模块能够自动控制虚拟机运行监控程序来获取恶意代码的行为,并通过引入基于信息增益的特征权重算法来获得行为特征.     

虚拟磁盘服务软件框架设计

虚拟磁盘技术是数据存储虚拟化技术的一个重要组成部分。当前,开发新型虚拟磁盘驱动需要涉及到较多的操作系统内核编程,这对开发人员提出了较高的要求。研究了一种通用的虚拟磁盘服务软件的实现框架,此框架可对操作系统内核提供标准块设备接口,对用户态服务进程提供一组标准服务接口用于实现服务的注册和请求/应答的传递,从而实现了操作系统内核模块的通用性。最后,基于Linux的NBD驱动实现的原型系统验证了工作的实用性。