基于内存自省技术的虚拟化安全防护模型

提出了一种基于内存自省技术的虚拟化安全防护模型,能够在无任何先验知识的前提下,通过实时分析物理主机物理内存重构物理主机状态信息、发现正在运行的虚拟机以及重构虚拟机高级语义信息,及时发现虚拟机中存在的恶意行为,并对恶意行为做出智能响应.实验结果表明,该模型具有透明、抗攻击、通用和高效等特性.     

云数据中心虚拟机管理研究综述

云中心的虚拟资源管理是云计算提供者提供快速有效服务的重要保障,虚拟机管理是云中心资源管理的主要研究方向之一。该文首先对云中心虚拟资源相关研究现状进行深入调查和分析;讨论了云数据中心虚拟机放置调度方法(预留分配、即需分配、现货分配);综述了虚拟机动态在线迁移技术、服务器整合技术。最后指出云中心虚拟机管理的未来重要研究方向:分布式的虚拟机放置算法、虚拟机网络的拓扑结构、虚拟机资源使用模式探索和热能相关的动态虚拟机整合策略,以便为云数据中心虚拟机管理及研究提供有益的参考。     

基于虚拟化技术的云计算平台架构研究

本文针对目前云计算技术的发展趋势,研究与分析了虚拟化技术和云计算模式.根据其自身的特点,提出了一种基于虚拟化技术(Hyper-v)的云计算平台都署方案.其平台具有一定的优越性,使虚拟化技术的特点在云计算平台中充分发挥.     

一种基于虚拟化的文件杀毒实现方法

针对云计算环境下因虚拟机杀毒和病毒库更新等引发的性能开销及资源占用问题,提出了一种基于虚拟化的云杀毒实现框架--HyperAV,HyperAV能够在较低性能开销的情况下对虚拟机文件进行杀毒,并提供扇区级别的访问控制和隔离机制.通过获取虚拟机运行过程中的扇区更改信息,HyperAV优化了文件病毒的扫描方式,对虚拟机杀毒过程起到了显著加速效果.HyperAV实现了控制-杀毒相互分离的前后端框架,杀毒所需数据可以导入专用杀毒服务集群,从而避免了病毒库的重复更新,解决了因杀毒而使虚拟机运行缓慢的问题.在基于内核的虚拟机虚拟化平台下实现了原型系统.实验结果表明,HyperAV能够在虚拟机较低负载开销的情况下为虚拟机文件提供病毒扫描防护能力.     

基于KVM的Windows虚拟机用户进程防护

为保护Windows虚拟机中进程的内存和系统调用执行路径免受恶意代码的威胁,提出了一种基于KVM的虚拟机用户进程防护方案。结合硬件虚拟化技术,为Windows虚拟机构造一份影子内核以绕过恶意代码对原内核系统调用路径的挂钩,保护进程系统调用路径的安全。同时,在监控代理中过滤跨进程系统调用,在KVM中拦截虚拟机页表切换行为并监控虚拟机断点异常与调试异常,保护进程内存的安全。另外,构造影子监控代理,实现对虚拟机监控代理内存的安全防护。最后,实现了基于KVM的虚拟机用户进程防护系统VMPPS,并对其有效性进行了系统测试与分析。实验结果表明,在性能损失可接受范围内,进程内存与进程系统调用执行路径能够得到有效防护。     

虚拟化技术在校园网数据中心的应用

校园网应用服务器数量的增加,导致数据中心面临系统管理复杂,资源利用率低、安全控制与数据备份困难等问题.该文对三类主要的虚拟化技术进行了分析与比较,讨论了数据中心应用虚拟化技术需要考虑的因素,认为完全虚拟化技术适用于校园网教据中心虚拟服务器建设.使用完全虚拟化技术不但可降低数据中心的建设与运行成本,而且可简化服务器管理模式,实现服务器数据快速恢复,提高数据中心的管理与运行水平.     

基于镜像分割技术的虚拟机启动方法研究

针对虚拟机在网络应用中部署开销高、存储规模大的问题,通过分析引导系统文件,将传统的虚拟机镜像分割为系统镜像和用户自定义镜像;虚拟化系统在启动的时候,同时读取2个镜像文件,随后采用unionfs进行镜像的融合,最终向用户提供完整的虚拟机操作系统。使用IOZONE软件对原型镜像虚拟机进行性能测试,结果证明：该方法可以显著减少虚拟机镜像的传输时间和系统的存储规模。     

基于Intel VT硬件虚拟化的Rootkit技术

Intel VT硬件虚拟化技术使Rootkit可以利用底层优势实现深度隐藏。首先结合木马协同隐藏的思想,提出了基于Intel VT硬件虚拟化的Rootkit(HVRootkit)的协同隐藏模型,并给出形式化描述;然后根据该模型,在深入分析进程切换过程和操作系统内核数据结构的基础上,设计并实现了HVRootkit原型,该原型能够监控系统进程的切换过程,并通过修改与内核层进程视图和用户层进程视图相关的数据结构,隐藏系统进程。实验表明,HVRootkit原型符合协同隐藏的思想,能够实现对进程的深度隐藏,隐藏性能明显优于传统的内核级Rootkit。     

面向网络虚拟化技术的管控架构

网络虚拟化技术作为变革网络体系的一种渐变式方案,分离了网络服务和物理基础设施,支持若干同构或异构的网络共享同一物理基础设施。它的管控架构主要解决虚拟网络与物理网络的映射关系、物理网络资源的切分和虚拟网络的部署等问题,直接关系到系统能否利用底层设备智能化地、快速地为租户提供网络资源的租赁服务。结合项目实施过程中网络虚拟化技术部署的实际需求,提出了2种管控架构模型,即全视图的管控架构和半视图的管控架构。实验结果表明,2种架构模型的性能指标存在差异,如部署时间、通信量和故障恢复时间等。     

Xen的虚拟机网络优化研究

针对一类流行的IP网络应用,提出了一个性能优化的虚拟机网络原型。多个虚拟机运行在高性能虚拟机监控器Xen上,通过它复用了其下的一台物理宿主机,Xen创建和管理这些虚拟机。优化原型的核心是一个新的虚拟网卡,所有的虚拟机通过它被互连成一个网络,用于虚拟机间的通信。与Xen的标准相应模型相比,实验和评估表明该原型改善了虚拟机间的通信性能,减少了约42%的用户请求响应时间。     

基于软硬件协同设计的内存虚拟化研究

在纯软件实现的X86系统仿真模型中,客户机的访存性能较低,是制约X86系统仿真性能的瓶颈之一。文章借鉴协同设计虚拟机的思想,提出了一种软硬件协同设计的内存虚拟化方案,设计并实现了硬TLB及其访问扩展指令,通过交叉编程使软MMU和硬TLB协同工作,提高地址转换效率。实验表明,软硬件协同设计方案提升了36.7%的访存带宽,显著提高系统仿真性能。     

临境环境下专家系统推理可视化与人机交互技术

介绍了境环境的组成和人机交互技术,提出了可视化专家系统的结构,叙述了可视化的概念及图符系统,以及可视化推理过程链的形成。     

基于UG和ADAMS的新型夹钳虚拟样机建模及动力学仿真

传统夹钳设计都是根据工程师的设计经验进行,虽然也可以满足工作需要,但是经常会出现各种各样的问题,同时设计周期也很长.针对以上所出现的问题,根据虚拟样机设计理论,采用UG软件进行夹钳的三维建模,然后将模型导入到虚拟产品仿真软件ADAMS中进行仿真分析,这样就大大缩短了夹钳的设计周期,同时可以针对夹钳设计过程中出现的问题作出预测并提出改进措施.     

基于最小代价的虚拟网络重配置方法

提出基于最小代价的虚拟网络重配置(VNR)方法. 定义重配置改善度参数判断VNR机制的效果,以基于最小代价为约束条件选择目标物理节点,将虚拟节点迁移到目标物理节点上,再将虚拟链路映射到应用最短路径方法计算的物理路径,实现虚VNR机制. 这种方法可以有效解决"跷跷板"现象(VNR将虚拟节点从物理资源瓶颈节点迁移到目标物理节点,造成目标物理节点成为新的瓶颈节点的现象)造成的VNR开销增大等问题. 仿真结果证明了该方法的可行性.     

基于虚拟机的内核完整性保护技术

针对云计算中客户虚拟机内核完整性面临的威胁,该文提出了一种保护虚拟机内核完整性的技术-CTVM。该技术在KVM虚拟机环境中实现了虚拟化可信执行环境的创建,使多个客户虚拟机同时拥有可信计算功能,能对客户虚拟机提供启动完整性度量;在此基础上利用硬件辅助虚拟化技术,通过为客户虚拟机构造隔离的地址空间,使客户虚拟机中不可信模块与内核运行在逻辑隔离的地址空间。从这两个方面实现对客户虚拟机的启动和运行时的完整性保护。最后,以某国产服务器为实验平台实现了CTVM原型系统,系统测试与分析验证了技术的可用性,系统性能损耗在可接受的范围内。