一种基于虚拟机的动态内存泄露检测方法

内存泄露是一种常见的系统安全问题。虚拟技术是云计算的关键技术,虚拟机环境下的内存泄露不容忽视。而基于虚拟机的内存泄露检测技术尚未成熟。分析虚拟机Xen内核源码中与内存分配有关的代码,提出一种动态检测虚拟机中内存泄露的方法。该方法记录应用程序对资源的申请、释放以及使用情况,插入监测代码,最终检测出内存泄露的代码。实验结果表明,该方法能够有效地检测Xen虚拟机中的内存泄露。     

私有云平台的虚拟机内存调度策略

在私有云平台中,现有的方法无法灵活地对虚拟机内存资源进行有效的监控和分配。针对以上问题,提出了内存实时监测和动态调度(MMS)模型,利用libvirt函数库和Xen提供的libxc函数库实现了对虚拟机内存紧缺、内存空闲时的实时监测和动态调度,并且提出虚拟机迁移策略,有效地缓解宿主机的内存紧缺问题。最后选取一台物理机作为主控节点,两台物理机作为子节点,利用Eucalyptus搭建一个小型的私有云平台。结果显示,当宿主机处于内存紧缺状态时,MMS系统通过启动虚拟机迁移策略有效地释放了内存空间;当虚拟机占用内存逼近初始最大内存时,MMS为其分配新的最大内存;当占用内容降低时,MMS系统对部分空闲的内存资源进行了回收,而且释放内存不超过150MB(最大内存512MB)时,其对虚拟机性能的影响不大。结果表明该模型对私有云平台中虚拟机内存进行实时监测和动态调度是有效的。     

基于轻量操作系统的虚拟机内省与内存安全监测

针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。     

基于VMI技术的内存泄露的检测

文中用VMI（虚拟机自省）技术实现了由外部对VM（虚拟机）内部内存大小的透明实时的监控。VMI技术在纯净的环境下记录虚拟机的内存量,用增量叠加的方法记录加入此域的内存泄露的程序对内存的影响。内存泄漏的堆积会最终消耗尽系统所有内存,因此内存泄漏是造成计算机安全事故的主要原因之一。本文实验通过开放源代码虚拟机监视器Xen,使用了xen内核的半虚拟化模式,由外部检测虚拟机进程的内存消耗量来判断应用程序是否有内存泄露。由于这种方式可以为用户提供独立、隔离的计算环境,不需要修改源程序或者对程序进行重新编译,不必有其它特殊硬件需求,系统性能损失较小并且有一定的通用性,因而在判断内存泄露是其它解决方案无法取代的。实验结果表明：对内存的监控数据证明了实验系统的有效性和可行性。     

云计算环境中虚拟机内存自适应调节算法研究

Xen虚拟机自身的资源在创建之初已经固定,往往会因某些虚拟机内存不足而使用swap,使得虚拟机工作性能降低,而有的虚拟机内存比较空闲,使得整体虚拟机内存使用效率不高。之前已经有研究对虚拟机使用过程中的内存调度算法进行设计,但是经过推敲发现,之前内存调度算法由于没有考虑swap空间使用情况而导致整体内存调度不够高效。在前人算法研究基础上,提出了一个更加完善合理的内存调度算法,结合swap和内存使用情况一起调节虚拟机内存。算法仍然延续了Carl提出的空闲内存税概念加以设计,首先根据虚拟机内存和swap使用情况确定该次调节周期的调节范围,之后根据各个虚拟机的内存和swap空间使用情况计算虚拟机目标内存。对前后两种算法分别设计实验进行测试,验证了新算法的高效性。     

一种虚拟桌面容量评测系统

该文设计了一种虚拟桌面容量评测系统。在虚拟机中运行工作负载,对指定操作的响应时间和性能数据进行周期性采样。通过指定操作的响应时间来计算平均响应时间,确定基准响应时间和阈值响应时间;绘制响应时间曲线图、虚拟机资源使用监控图和主机资源使用监控图,通过对比平均响应时间与阈值响应时间,评测虚拟桌面容量,通过资源使用情况判断环境运行情况,辅助评测虚拟桌面容量,并能够定位性能瓶颈。     

基于内存迭代拷贝的Xen虚拟机动态迁移机制研究

为减少虚拟机动态迁移时间,Xen采用了Pre-Copy算法来选择合适的时间进行停机拷贝,以保证在低负载或空负载时的虚拟机迁移的优越性能,但在高负载环境下,Pre-Copy算法对内存页的重复迭代严重影响了虚拟机迁移的效率。基于Xen虚拟机内存迭代拷贝算法,提出了一种内存分片迭代拷贝机制,即通过缩短迭代拷贝的终止时间来减少虚拟机动态迁移所花费的时间。实验结果表明,内存分片迭代机制可以有效提升Xen虚拟机动态迁移的性能。     

虚拟化环境中多目标负载均衡的研究

在基于Xen的虚拟化环境中,物理机超载会严重影响运行的虚拟机性能甚至引起宕机。综合考虑物理机CPU和内存资源负载情况,以迁移开销最小为目标,提出一种多目标负载均衡方法。该方法基于时间序列模型预测超载物理机,利用最小化迁移开销算法选择待迁虚拟机,并采用降序最佳适应算法选择目标物理机,利用实时迁移命令触发迁移。实验结果表明,在物理机严重超载的情况下,该方法能在很短的时间内改善集群性能。     

Xen虚拟化环境下国密算法可信启动策略的构建

为了最大限度地确保Xen虚拟化系统的可信性和安全性,保护虚拟化系统的软件安全和用户隐私数据的安全,对Xen虚拟机及其安全性进行研究分析,结合可信计算技术着重于确保虚拟机启动阶段的可信性和安全性,实现Xen虚拟化环境整体的可信启动过程,并思考利用国密算法可行性和方法,降低对国外密码算法的依赖,避免国外算法存在的安全隐患.能够抵御文中所述的威胁模型并克服部分TPM的局限性,方法有效且可行,且可信启动效率较高.     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

一个基于虚拟机的日志审计和分析系统

SNARE是Linux操作系统的一个日志审计和分析工具，但它容易受到攻击。提出了一个新的方法被用来保护它免受攻击。运用虚拟机监控器的功能，SNARE被移植到运行在虚拟机监控器Xen上的两个虚拟机中，SNARE的两个主要部分——Linux内核补丁和审计后台进程被分隔而分别放入两个被Xen强隔离的虚拟机。Xen提供了两个虚拟机间共享内存的机制，运用这一机制，运行在一个虚拟机上的Linux内核补丁记录并转移审计日志到运行在另一个虚拟机上的审计后台进程。与传统的SNARE相比，新方法使攻击者毁坏或篡改这些日志更加困难。初步的评估表明这个原型是简单而有效的。     

Xen虚拟机Credit调度算法的实时性能分析

为了降低开销以及增加灵活性,通过虚拟化技术将多个系统运行在一个通用计算平台上已成为复杂实时嵌入式系统的趋势。Xen是近年来应用最广泛的虚拟化技术,对其默认使用的Credit调度算法进行实时性能分析,使得能够直接对运行在Xen上的实时系统进行可调度性测试,并且可以通过形式化的资源界限函数对Credit的实时性进行直观的评估。首先分析了Credit调度算法的基本实现,提出并且证明了一种配置VCPU参数的方法使得Credit的实时性得到提升,在此基础上,通过证明得到了Credit算法的基本性质,并得出其在最坏情况下为VCPU分配的资源函数曲线。     

虚拟机监控器Xen的可靠性优化

对一个开源的、主流的虚拟机监控器Xen进行了优化研究。用通信顺序进程(CSP)和软件体系结构等形式化方法描述了Xen的块设备I/O体系结构,增加了约束其构件并发交互行为的设计准则,理论上确保了并发交互不死锁,提高了系统的可靠性。以这些设计准则为指导,重新优化设计了相关程序。实验表明优化虽然减小了I/O吞吐量,但系统的可靠性得到了增强,优化仍具有价值。     

Xen硬件虚拟化下一种客户机进程追踪技术

Xen硬件虚拟化(HVM)是运行于Xen Hypervisor上, 无需修改客户操作系统内核便可实现虚拟化的技术. 但Xen HVM在提升用户体验的同时, 也造成了VMM对客户机的干涉和理解程度的降低, 丧失了进程粒度级别的管理能力. 鉴于此, 提出了一种针对Xen HVM客户机的轻量级进程追踪技术原型Xen HPT. 借助VMM掌握的客户机ESP寄存器信息, 从客户机外部隐式捕获其实时进程信息. 实验证明, 该技术是一种追踪客户机进程的有效方法.     

基于QEMU的Xen文件系统加解密设计

针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。     

基于Xen硬件虚拟机的安全通信机制研究

在深入分析Xen硬件虚拟机通信机制和网络安全控制技术的基础上,实现了Xen硬件虚拟机安全通信机制,它在虚拟机监控器上加入了一个安全服务器,同时在虚拟机进行网络通信的关键路径上添加安全检查模块,实现了虚拟机通信的访问控制,提高了虚拟域间通信的安全性。     

一种基于资源预分配的虚拟机软实时调度方法

虚拟机技术作为云计算的重要技术之一,近年来得到广泛关注,但是由于虚拟机管理层的存在,导致语义鸿沟,使得实时应用程序、并发程序等在虚拟机上的运行性能受到影响。分析和研究了Xen虚拟机管理器的Credit调度算法,针对其在并发调度和软实时调度方面存在的不足,提出了改进调度算法,实现了算法的调度器原型。新的调度算法对软实时虚拟机进行Credit比例预分配,采用动态调度时间片机制,以non-work-conserving方式实现软实时任务周期调度,保障调度周期满足运行周期要求。通过区分并发和非并发软实时虚拟机,采取不同的调度策略,在满足资源利用率的基础上,确保实时任务的顺利运行。测试结果表明,该调度算法在对并发和非并发软实时任务调度上,具有良好的表现,较好满足了软实时应用调度需求。     

VSA: An offline scheduling analyzer for Xen virtual machine monitor

Nowadays, it is an important trend in the system domain to use the software-based virtualization technology to build the execution environments (e.g., the Clouds). After introducing the virtualization layer, there exist two schedulers: One in the hypervisor and the other inside the Guest Operating System (GOS). To fully understand the virtualized system and identify the possible reasons for performance problems incurred by the virtualization technology, it is very important for the system administrators and engineers to know the scheduling behavior of the hypervisor, in addition to understanding the scheduler inside the GOS. In this paper, we develop a virtualization scheduling analyzer, called VSA, to analyze the trace data of the Xen virtual machine monitor. With VSA, one can easily obtain the scheduling data associated with virtual processors (i.e., VCPUs) and physical processors (i.e., PCPUs), and further conduct the scheduling analysis for a group of interacting VCPUs running in the same domain.