共查询到19条相似文献,搜索用时 46 毫秒
1.
基于本地虚拟化技术的安全虚拟执行环境 总被引:1,自引:0,他引:1
程序隔离执行是一种将非可信代码的执行效果与其他应用隔离的安全机制。但是,目前的相关研究无法兼顾强隔离(即操作系统隔离)与被隔离代码的可用性(需要通过计算 环境的重现与提交隔离执行环境的执行效果来完成)。本文提出一种基于本地虚拟化技术的安全虚拟执行环境SVEE,并在Windows下实现了SVEE的原型系统。SVEE借助系统级虚拟化技术有效地实现了SVEE内程序与宿主操作系统的强隔离。SVEE的关键特性是利用本地虚拟化技术实现了宿主机计算环境在SVEE内的重现,使得程序在SVEE中与在宿主操操作系统内的执行效果一致。此外,SVEE还支持SVEE与宿主操作系统的差异对比,并利用比较结果选择合适的方法将SVEE内程序的执行效果提交到宿主操作系统。 相似文献
2.
3.
4.
总结了安全操作系统实现恶意代码防御的典型理论模型,分析了它们的基本思想、实现方法和不足之处,指出提高访问控制类模型的恶意代码全面防御能力和安全保证级别、从操作系统安全体系结构的高度构建宏病毒防御机制以及应用可信计算技术建立操作系统的恶意代码免疫机制将是该领域的研究方向. 相似文献
5.
分析对比了恶意代码的静态分析方法和动态分析方法,设计并实现了一种结合虚拟机技术和Windows操作系统自身所具有的调试功能来获取恶意代码行为的模块,该模块能够自动控制虚拟机运行监控程序来获取恶意代码的行为,并通过引入基于信息增益的特征权重算法来获得行为特征. 相似文献
6.
文章在对虚拟化技术的安全性以及现有虚拟化安全增强技术分析的基础上,基于可信计算技术提出了一种新的可信安全虚拟机平台架构TSVPA,并对其体系结构和安全机制进行了设计。 相似文献
7.
服务器虚拟化安全机制研究 总被引:1,自引:0,他引:1
服务器虚拟化技术立足于操作系统和CPU提供的权限控制,由工作在底层的虚拟机监控器为客户机提供资源的实时监控、授权访问、追踪审计等安全功能;同时虚拟机监控器自身采用可信计算技术,实现动态的可信认证;配合其他安全策略规划,服务器虚拟化为客户机提供更好的私密性和完整性保护. 相似文献
8.
随着互联网的高速发展,网络安全威胁也越来越严重,针对恶意代码的分析、检测逐渐成为网络安全研究的热点。恶意代码行为分析有助于提取恶意代码特征,是检测恶意代码的前提,但是当前自动化的行为捕获方法存在难以分析内核模块的缺陷,本文针对该缺陷,利用虚拟机的隔离特点,提出了一种基于"In-VM"思想的内核模块恶意行为分析方法,实验表明该方法能够分析内核模块的系统函数调用和内核数据操作行为。 相似文献
9.
基于虚拟机的虚拟计算环境研究与设计 总被引:20,自引:1,他引:19
通过对基于虚拟机的虚拟计算环境典型系统的分析,给出了CROWN虚拟计算平台CIVIC(CROWN- based infrastructure for virtual computing)的设计.CIVIC集成多种虚拟机技术,可以为用户提供独立、隔离的计算环境,可以为管理人员提供硬件资源和软件资源的集中管理功能,支持对应用程序的透明性,屏蔽底层硬件资源的动态性、分布性和异构性.实验结果表明,CIVIC能够方便、高效地为用户定制所需计算环境. 相似文献
10.
在云计算环境中,为了实现资源共享,不同租户的虚拟机可能运行在同一台物理机器上,即虚拟机同驻,这将带来新的安全问题。为此,文章重点讨论同驻虚拟机所面临的一些新的安全威胁,包括资源干扰、隐蔽通道/侧信道、拒绝服务与虚拟机负载监听等,介绍现有虚拟机同驻探测方法,总结针对虚拟机同驻威胁的四种防御思路,并分析未来的研究趋势。 相似文献
11.
随着网络技术的发展和人们对网络安全要求的提高,第三方安全解决方案作为一种安全、快捷、低成本的网络安全机制得到了越来越广泛的应用。当前第三方安全解决方案主要是安全代理的形式,但是在实际应用中笔者发现有这样的情况,有些客户端软件没有代理接口或网络协议的代理描述不明晰,因此,难以实现安全代理方案。为了解决这个问题,该文在简要介绍安全代理体系的基础上,提出了一种本地安全虚拟服务的第三方解决方案,以实现在没有代理接口或代理描述具有多样性的不安全的网络协议中加入安全机制,并对这种方案进行了安全性分析和效率评估。为了提高效率,也探讨了带缓存机制的身份认证协议。 相似文献
12.
13.
桌面虚拟化需要借助虚拟桌面协议来实现内部应用数据和外部操作平台的数据交互。然而该类协议中的数据流控制机制并不完善,存在数据非法交互的安全隐患。为解决该问题,基于网关模式提出了一种面向虚拟桌面内外部数据流的安全控制机制SCIED。它不仅能对协议中的虚拟通道进行全面管控,避免修改协议和大量的终端,还具有较高的兼容性、拓展性。将它部署于网关并用于防护边界攻击,能显著减少服务器端的负载和安全隐患。实验表明,该SCIED能够有效保证数据流的安全交互,并且对现有桌面会话的性能影响较小。 相似文献
14.
当前很多网络计算环境尚缺乏为多种应用提供隔离、定制的运行环境的能力,给网络计算环境的广泛应用带来障碍.而虚拟机技术的飞速发展,使得根据用户需求,按需构建隔离、定制的分布式虚拟运行环境成为可能.基于XML schema技术对分布式虚拟运行环境进行了建模和描述,阐述了分布式虚拟运行环境的运行支撑系统(ACOPE系统)的详细设计和原型实现.该系统能够通过对宿主资源和虚拟机资源的有效管理,根据分布式虚拟运行环境的XML描述文件,在网络计算环境中选取部分宿主资源并在其上创建或克隆满足相应配置需求的虚拟机,支持分布式虚拟运行环境的动态按需构建和使用.最后通过实验验证了ACOPE系统的有效性. 相似文献
15.
进程重放用于程序调试,无法重现系统全部状态,难以分析错误根源.而系统级重放复杂且难于实现,尚无模型分析方法提供理论指导,确保重放执行与记录执行等价.为了使执行重放系统适用于系统调试,建立虚拟机指令执行模型,提出了虚拟机执行重放的定义,给出并证明了成功重放的充分条件.根据该充分条件,设计实现了基于Xen的虚拟机重放系统CASMotion.CASMotion讨论了Xen DomU中不确定事件的种类,给出各类事件的重放方法以及时间点的匹配算法.CASMotion成功实现了不确定事件的准确重放,实验结果表明其具有较低的性能损失. 相似文献
16.
已有基于内存的虚拟机迁移技术要求迁移源机和目标机之间必须共享网络磁盘,迁移性能受网络条件的影响很大,且在不支持"共享网络磁盘"的环境中,无法实现虚拟机迁移.针对上述问题,考虑到虚拟机磁盘作为虚拟机运行所需的持久化状态的封装体,所展现出的如高可用性、高效能、安全稳定等良好特性,提出基于磁盘的虚拟机迁移.通过设计虚拟磁盘驱动系统DiskMig,在实现虚拟机磁盘迁移的同时保证了其在源端和目的端的一致性.设计了"Transfer on Demand with Forward-ahead"(TOD&FA)算法快速同步源端和目的端磁盘文件差异.DiskMig采用自行设计的高效存储结构bitmap,使记录、查询虚拟机磁盘迁移过程中的大量I/O操作时仅需时间复杂度O(1).实验表明,DiskMig所采用的相关方法对虚拟机及其中应用程序运行性能的影响仅为5%左右,有效支持了虚拟机磁盘文件的迁移. 相似文献
17.
18.
19.
基于虚拟设备的虚拟交换机设计 总被引:2,自引:0,他引:2
网络虚拟化为共享在同一主机上的多个虚拟机创造了一个新的网络接入层。传统模式网络部署方式已经不能满足虚拟化部署环境对网络的要求。这个新的虚拟网络接入层合理的隔离了系统软件和实际的物理设备,虚拟网络接入层还提供了物理网络层不具有的优势,例如灵活的软件配置,弹性的功能扩展。设计虚拟网络交换机,通过采用虚拟设备引入一个软件抽象层,该抽象层将流量从物理网络元素中分离出来。通过这些虚拟设备可以合理动态的管理虚拟化网络资源,有效的整合这些虚拟网络元素。介绍虚拟交换机是如何设计的,可以用来解决虚拟环境中虚拟机跨子网的流动性和虚拟主机之间流量的逻辑隔离等问题。 相似文献