云计算环境中虚拟机内存自适应调节算法研究

Xen虚拟机自身的资源在创建之初已经固定,往往会因某些虚拟机内存不足而使用swap,使得虚拟机工作性能降低,而有的虚拟机内存比较空闲,使得整体虚拟机内存使用效率不高。之前已经有研究对虚拟机使用过程中的内存调度算法进行设计,但是经过推敲发现,之前内存调度算法由于没有考虑swap空间使用情况而导致整体内存调度不够高效。在前人算法研究基础上,提出了一个更加完善合理的内存调度算法,结合swap和内存使用情况一起调节虚拟机内存。算法仍然延续了Carl提出的空闲内存税概念加以设计,首先根据虚拟机内存和swap使用情况确定该次调节周期的调节范围,之后根据各个虚拟机的内存和swap空间使用情况计算虚拟机目标内存。对前后两种算法分别设计实验进行测试,验证了新算法的高效性。     

一种基于虚拟机的动态内存泄露检测方法

内存泄露是一种常见的系统安全问题。虚拟技术是云计算的关键技术,虚拟机环境下的内存泄露不容忽视。而基于虚拟机的内存泄露检测技术尚未成熟。分析虚拟机Xen内核源码中与内存分配有关的代码,提出一种动态检测虚拟机中内存泄露的方法。该方法记录应用程序对资源的申请、释放以及使用情况,插入监测代码,最终检测出内存泄露的代码。实验结果表明,该方法能够有效地检测Xen虚拟机中的内存泄露。     

基于Xen虚拟机的内存资源实时监控与按需调整

在虚拟计算环境中,难以实时地监控与分配内存资源。针对以上问题,基于Xen虚拟计算环境,提出一种能够实时监控Xen虚拟机内存(VMM)使用情况的XMMC方法并进行了实现。所提方法运用Xen虚拟机提供的超级调用,其不仅能实时地监控虚拟机内存使用情况,而且能实时动态按需分配虚拟机内存。实验结果表明,XMMC方法对虚拟机应用程序造成的性能损失很小,低于5%;能够对客户虚拟机的内存资源占用情况进行实时的监测与按需调整,为多虚拟机的管理提供方便。     

基于Xen的虚拟机迁移时内存优化算法

为了在云计算环境下进行虚拟机迁移,Xen迁移时采用比较传递页位图和跳过页位图的方式来判断内存页是否重传.针对页位图比较带来多次重传增加网络传送开销的问题,提出基于AR模型的内存优化算法,该算法根据所有记录的内存页修改时间间隔来预测内存页的下次修改时间,当下次修改时间大于某个阈值时进行重传.实验结果表明,基于AR模型的内存优化算法缩短了虚拟机迁移的时间,减少了虚拟机迁移时的网络开销,保证了同台服务器上其它虚拟机的网络带宽应用.     

基于虚拟机监控技术的可信虚拟域

针对云计算中带内完整性度量方案存在的依赖操作系统安全机制、部署复杂和资源浪费等问题,提出了基于虚拟机监控技术的带外完整性度量方案,可用于为云计算基础设施即服务（IaaS）的租户提供可信的虚拟域。该方案包括域外监控方案和域内外协同监控方案两部分。前者可对开源Linux虚拟域实现完全透明的完整性度量,同时弥补了其他基于系统调用捕获的域外方案所存在的不足。后者将实时度量与预先度量方法、域内度量与域外度量方法、细粒度的注册表度量方法和基于系统调用的域间信息传输方法相结合,可对不完全开源的Windows虚拟域实现完整性度量。实验证明了方案的度量能力是完备的、性能影响是可接受的。     

基于Xen平台的虚拟机安全监控系统的研究

针对虚拟机安全监控系统的灵活性和安全性不足的问题,在Xen平台上研发虚拟机安全监控系统来解决该问题.对Xen虚拟机技术和虚拟机监控技术进行了详细描述,对虚拟机安全监控系统的框架进行了详细分析,给出了系统安全决策模块和安全呼叫模块之间的协商机制,并给出了系统模块的部分实现.对系统安全工程人员和项目架构人员都具有积极的作用.     

基于虚拟机的运行时入侵检测技术研究

入侵检测技术通常分为误用检测和异常检测两类,误用检测根据攻击模式库检测已知的攻击行为,但却难以防范未知的攻击行为;异常检测技术虽然可以预测偏离正常值阈区间的潜在攻击行为,但却存在较高的误报现象。在虚拟机监视器中对虚拟机操作系统的运行行为进行带外监控,避免了操作系统内监控模块被病毒感染的难题;通过监视虚拟机的运行时行为,对之作组合序列的合法性分析,扩展了误用检测防范长时间段攻击行为的能力,识别通过合法系统调用进行的恶意攻击。测试数据表明,该技术能够较好地检测出复杂组合攻击行为。     

基于虚拟机技术的安全系统研究

该文在深入分析蜜罐和入侵检测技术的基础上,提出了基于虚拟机技术的蜜罐入侵检查系统,它是集蜜罐、HIDS以及NIDS于一体的入侵检查系统,系统中将蜜罐在虚拟机上进行分离,结合IDS来控制蜜罐的安全性,同时结合两者对网络安全的检测信息来实现更强的入侵检查系统。该系统方案在最大化解决蜜罐自身安全问题的同时,结合3者的优点并抑制了各自的缺点,几乎不需要改变现有的入侵检测系统,故具有很强的实用性和广阔的应用前景。     

虚拟机CPU平台体系结构与内存机制研究

本文对虚拟机的体系结构与内存机制进行了整体的设计与分析,阐述了虚拟机CPU平台的体系结构,在明确了运行时系统和应用程序级上的内存管理机制的基础上,对动态内存管理机制进行了分析与研究,并对目前主流的虚拟机内存管理技术进行了较深入的分析与研究,选取适合于XVA虚拟机的内存管理机制,并用C语言实现了一个基于Windows平台的面向科学计算的小型虚拟机软件系统XVA,是为了给学生提供一个虚拟实验环境,同时让学生更好的了解、掌握虚拟机的原理及其基本应用。     

基于Xen的X86虚拟机性能调优

目前针对虚拟机环境的性能测试工具很少，测试主要还停留在运行一些基准测试程序的基础上，对虚拟机性能的调优帮助有限。文章提出了一个Xen虚拟机环境下的性能调试工具Exentrace，介绍了其Lasylog和Smartfilter两大特性。演示了利用Exentrace在不同负载的虚拟机上收集、分析数据。利用这些数据发现并解决了一个关键的性能问题。     

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控（OFM）系统。该系统以基于内核的虚拟机（KVM）作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。     

实时操作系统内存分配性能检测

主要提出了一种检测实时操作系统内存分配性能的方法，利用概率统计的方法随机产生内存碎片，检测实时操作系统在不同条件下内存分配性能的变化，并采用符合正态分布的随机数产生内存碎片，对嵌入式操作系统VxWorks的内存分配性能进行检测，最后结合实际数据分析了VxWorks的内存分配性能符合实时操作系统的要求，同时验证了该检测方法的可行性和可信性。     

基于虚拟机监控器的Windows剪贴板操作监控

针对现有剪贴板操作监控无法抵御内核层攻击,且所采取的单一保护策略无法满足现实需求的问题,提出一种基于虚拟机监控器(VMM)的文档内容剪贴板操作监控技术,并提出基于剪贴板操作监控的电子文档分级保护策略。首先,通过修改影子寄存器的方法在VMM层截获并识别系统调用;其次,监控文档打开操作建立进程标识符和文档路径之间的映射表,并在截获到剪贴板操作后通过进程标识符解析文档路径;最后,根据电子文档分级保护策略对剪贴板操作进行过滤。实验结果表明,监控系统给客户机文件系统带来的性能损耗随着文件读写块的增大而减小,当读写块大小达到64 KB以上时,客户机性能损耗在10%以内,对用户影响不大。     

基于树突细胞算法与对支持向量机的入侵检测

针对入侵检测技术在处理大规模数据时存在的高误报率、低训练速度和低实时性的问题,提出了一种基于树突细胞算法与对支持向量机的入侵检测策略(DCTWSVM).利用树突细胞算法(DCA)对威胁数据进行初始检测,在此基础上利用对支持向量机(TWSVM)进行检测结果的优化处理.为了验证策略的有效性,设计性能对比实验,实验结果表明,相较于DCA、支持向量机(SVM)、反向传播(BP)神经网络,DCTWSVM策略的检测精度提高了2.02%、2.30%、5.44%,误报率分别降低了0.26%、0.46%、0.90%,训练速度相较于SVM提高了两倍且只需耗费极少的训练时间,可以更好地适用于大规模数据下的实时入侵检测环境.     

基于对支持向量机的多类分类算法在入侵检测中的应用

针对基于传统支持向量机(SVM)的多类分类算法在处理大规模数据时训练速度上存在的弱势,提出了一种基于对支持向量机(TWSVM)的多类分类算法。该算法结合二叉树SVM多类分类思想,通过在二叉树节点处构造基于TWSVM的分类器来达到分类目的。为减少二叉树SVM的误差累积,算法分类前首先通过聚类算法得到各类的聚类中心,通过比较各聚类中心之间的距离来衡量样本的差异以决定二叉树节点处类别的分离顺序,最后将算法用于网络入侵检测。实验结果表明,该算法不仅保持了较高的检测精度,在训练速度上还表现了一定优势,尤其在处理稍大规模数据时,这种优势更为明显,是传统二叉树SVM多类分类算法训练速度的近两倍,为入侵检测领域大规模数据处理提供了有效参考价值。     

基于LISOMAP的相关向量机入侵检测模型

针对现有入侵检测模型分类检测精度低、误报率高的问题,提出一种基于地标等距映射(LISOMAP)的相关向量机(RVM)入侵检测分类模型。首先采用LISOMAP对训练样本中的数据进行非线性降维,结合深度优先搜索(DFS)参数优化的RVM进行分类检测。结果表明,该模型与基于主成分分析(PCA)法的支持向量机(SVM)、基于LISOMAP的SVM模型相比,在保证一定检测率的情况下,误报率有了明显下降。     

基于自适应过载阈值选择的虚拟机动态整合方法

针对云环境下动态工作负载的不确定性,提出了基于自适应过载阈值选择的虚拟机动态整合方法。为了权衡数据中心能源有效性与服务质量间的关系,将自适应过载阈值的选择问题建模为马尔可夫决策过程,计算过载阈值的最优选择策略,并根据系统能效和服务质量调整阈值。通过过载阈值检测过载物理主机,然后根据最小迁移时间原则以及最小能耗增加放置原则确定虚拟机的迁移策略,最后切换轻负载物理主机至休眠状态完成虚拟机整合。仿真实验结果表明,所提出的方法在减少虚拟机迁移次数方面效果显著,在节约数据中心能源开销与保证服务质量方面表现良好,在能源的有效性与云服务质量二者之间取得了比较理想的平衡。     

基于旁路监听的数据库安全审计系统

通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计,并实现了数据库操作行为的安全检测。     

基于资源需求分布特征的异构云环境虚拟机放置算法

针对异构云环境中的虚拟机放置（VMP）问题,提出一种基于虚拟机资源需求分布特征的放置算法（RDDFPA）。首先,建立基于CPU资源和内存资源比例系数的虚拟机需求和物理机配置描述方法,并根据该比例系数对所有虚拟机进行排序;其次,通过分析虚拟机需求与物理机配置各自在CPU资源和内存资源比例方面的关系,确定比例分界点,完成虚拟机集合的划分,每个虚拟机子集合的规模反映出对相匹配的不同配置物理机的需求比例;最后,利用启发式算法如首次适应（First Fit）算法完成虚拟机子集合在相匹配配置的物理机子集合上的放置。理论分析和仿真实验结果表明,与采用任意单一配置的物理机总数量相比,所提算法所需物理机的总台数减少了2%~17%。RDDFPA能够根据虚拟机资源需求分布的不同,确定各类配置物理机的数量,高效完成虚拟机的放置,在提高资源利用率的同时,降低了系统能耗。