一种IaaS模式下的实时监控取证方法

为了保证云中虚拟机的安全和从云中寻找完整可靠的犯罪证据,提出了基于物理内存分析的实时监控取证方法,设计开发了相应的云监控取证系统,并给出了具体的设计及实现。此系统的代理端只需要在物理主机上运行,通过获取分析主机的物理内存,分析提取IaaS基础设施层一台或者多台物理主机上安装的虚拟机系统内的关键信息。最后在KVM/Xen虚拟化环境中进行了信息的分析提取和异常检测,结果表明该方法能够获取到云平台中虚拟机的关键证据信息,能对虚拟机中的异常行为进行检测,可有效防止虚拟主机运行恶意软件、违法犯罪等问题。     

虚拟机技术与性能优化的研究

虚拟化技术应用广泛,以虚拟机为主构建的虚拟计算平台存在性能和安全等方面的问题.通过研究分析虚拟化技术和3种基于硬件抽象层虚拟机的实现技术,提出以硬件辅助虚拟化技术为基础,融合动态指令转换等技术,从处理器虚拟化、内存虚拟化、I/O虚拟化等方面优化设计虚拟机.经实验证明实现的虚拟机在性能上接近非虚拟化的物理计算机.     

支持多种虚拟化技术的进程非代理监控方法

为保障云环境中虚拟机应用的安全性与可用性,提出一种能够支持多种虚拟化技术的进程非代理监控方法及主动监控框架.本框架将进程监控点设在虚拟机监视器中,而不在其中安装任何代理,并且支持VMware,Xen和KVM三种虚拟化技术,实现了对客户操作系统(Guest OS)的隐藏进程检测和进程负载监控,保证虚拟机安全可靠地运行.从被监控虚拟机外部获取活动进程链、遍历线程获得进程列表,进而利用交叉视图技术可检测出隐藏进程;除开活动进程链,加上网络连接信息相关的另两条链表,从中定位到待监控进程,可获得进程负载状况.实验结果表明:本框架能有效地检测出系统中的隐藏进程,并且准确获取特定进程的负载信息.     

基于虚拟化的不可信模块运行监控

为了监控内核模块rootkit的行为,提出一种基于硬件辅助虚拟化的虚拟机内核模块隔离框架,采用两套硬件辅助页表技术实现不可信模块与内核的隔离运行,并使用一种基于栈帧基地址链的方法保护内核堆栈的完整性.在KVM(基于内核的虚拟机)全虚拟化环境下实现了虚拟机内核模块隔离运行的原型系统Hyper-ISO(超级隔离).实验结果表明:Hyper-ISO可以实时监控不可信模块与内核之间的控制转移过程、不可信模块对内核代码与数据的访问序列,并保护内核堆栈在模块运行期间不被模块恶意修改.     

基于API Hook的进程行为监控系统

基于API Hook的进程行为监控系统,利用钩子技术和内存保护技术,实现了透明地对客户机进程API调用行为的安全监控.首先通过对客户虚拟机的API函数设置钩子,截获虚拟机中的进程API调用行为;接着利用内存保护技术,对客户机的钩子进行隐藏和保护,保证行为监控对客户虚拟机的透明性;然后利用虚拟机管理器的隔离性,将安全工具放在安全域中,一方面防止恶意进程检测并且攻击安全工具,另外一方面解决恶意租户利用虚拟机进行攻击的问题;最后在截获客户虚拟机API调用的基础上,利用语义重构技术,对客户虚拟机进程创建、文件操作、注册表操作等行为进行细粒度监控.测试结果表明:(1)监控系统可以有效的截获客户虚拟机进程API调用,结合语义重构技术,监控系统能够有效地对进程创建、文件操作、注册表操作等进程行为进行监控;(2)针对单个Hook点性能测试表明,监控系统截获API调用对系统性能的影响为4.8%;(3)在文件监控方面,基于API Hook的进程行为监控系统相对于现有截获系统调用的监控系统性能提高73%.     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

跨域虚拟网络环境下虚拟机Live的迁移机制

针对跨域虚拟网络环境下虚拟机的在线迁移机制, 设计了支持虚拟机跨域通信的虚拟网络路由协议和控制虚拟机在线迁移的路由更新协议, 以支持虚拟机的跨域动态管理, 并基于流行虚拟化环境Xen, 完成了原型实现, 从而解决了虚拟机跨域的在线迁移问题, 实现了利用广域网络环境搭建动态虚拟化平台.     

虚拟机内存虚拟化技术浅析

近几年虚拟机的研究很受关注,虚拟化为整个机器提供虚拟的设备,它既可以通过隐藏细节方便使用,又可以进一步开发细节保证扩展性和性能.使得我们的机器更易于实现和管理.虚拟化内存技术的研究是虚拟化技术中很重要的一部分.本文对内存虚拟化技术作了简要概述,提出了一般内存虚拟化所要做的工作.     

云计算环境下虚拟机服务质量保证和评估方法:研究综述

云计算是一种按需付费的资源使用模式.它通过虚拟化技术,向用户提供具有服务质量保证的计算、存储以及网络资源.然而,与物理服务器相比,虚拟化环境的特点使得虚拟机的服务质量(Quality of Service,Qo S)难以保证,例如,虚拟化技术本身的限制、虚拟机上所运行的应用的行为难以被准确预测、虚拟机性能评估困难、以及虚拟机行为监控困难等.分析上述困难,阐述学界对虚拟机服务质量保证的研究现状,总结对易于量化的Qo S指标及难以量化的Qo S指标的评估和保证方法.最后,总结与虚拟机Qo S相关的问题,并展望未来的研究方向和亟待解决的问题.     

虚拟机内存轻量级检查点研究

针对传统的虚拟机检查点粒度大和做检查点时停机时间长的问题,采用空闲内存页面排空、写时复制和增量检查点来解决传统虚拟机检查点的问题,通过这三项技术使检查点技术轻量化.空闲内存页面排空通过在检查点中排除空闲页面,可以减少虚拟机检查点文件的大小;写时复制通过在虚拟机内存写入时进行内存页面复制,可以减少做检查点的时间;增量检查点通过内存增量页面的计算,检查点只包含增量信息,可以减少虚拟机检查点文件的大小.在虚拟化平台Xen上的实验结果表明:采用写时复制技术减少了做检查点过程中虚拟机的停机时间,停机时间不超过300ms,并可使检查点这一过程对上层应用透明;采用内存排空技术和增量技术来做检查点,使得检查点文件的大小减少20%.     

云计算中虚拟化技术的安全问题及对策研究

虚拟化技术在云计算中发挥着重要作用,云计算通过虚拟化技术提供灵活高效的应用服务.在分析云计算中虚拟化技术体系结构的基础上,本文分别从虚拟机硬件设备、虚拟机监控软件和虚拟化操作系统三个方面,阐述了虚拟化技术所面临的安全威胁,最后提出了相应的安全防护对策.     

云计算中虚拟机管理系统的研究与开发

如何有效地监控云计算中多个物理计算节点以及部署在物理计算节点上的大量虚拟机是一个非常重要的问题.本文设计并开发了一个透明、相容、一致、易查的虚拟机管理系统.该系统实现了查看主机和虚拟机的简要信息或者XML格式的详细信息,能够对虚拟机进行开机、关机、暂停、恢复、重启、强制关闭、远程操控,系统还实现了日志记录的功能.测试运行表明该系统能有效地监控云计算中物理节点以及虚拟机的运行状态,方便了对虚拟机的管理.     

使用缓存的虚拟机内存扩展

针对虚拟机内存需求预测困难及内存分配不足时性能严重下降的问题, 提出在虚拟机监视器中加入一个缓存 HECache。HECache 预先保留部分内存, 运行在同一台物理主机上的所有虚拟机共享该部分内存, 且对 HECache中内存的使用申请都可以立即得到满足。通过预先牺牲少量内存的方法, 所有的虚拟机都获得了更多的可用内存。实验结果表明, 将内存保留在 HECache 中与直接分配给虚拟机相比开销很低。HECache 对应用程序透明, 与现有的其他内存机制( 例如 ballooning, page-sharing, hotplug) 等兼容。     

基于硬件虚拟化的虚拟机内核完整性保护

虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击机会.针对虚拟机内核完整性面临的安全威胁,提出了一种基于硬件虚拟化的虚拟机内核完整性主动保护方法,通过硬件虚拟化扩展机制从2方面保护内核数据、代码以及关键寄存器:一方面为关键的内核数据与代码创建独立的页表并设置访问权限,使其运行在隔离的地址空间内;一方面利用硬件虚拟化的"陷入"机制使得关键寄存器一旦被篡改便下陷到VMM(virtual machine monitor).实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在7%以内,在提升安全性的同时,不会对性能产生明显的影响.     

vTCM:一种基于物理可信计算环境虚拟化的虚拟可信密码模块

虚拟机的信任问题是虚拟机安全的关键问题之一,可信密码模块作为计算机信任的源头,其在虚拟机上的应用也引起了越来越多的关注。提出了虚拟可信密码模块(virtual trusted cryptography module, vTCM)方案,该方案将现有可信密码模块(trusted cryptography module, TCM)方案扩展为可切换vTCM场景的vTCM物理环境来支持少量物理vTCM场景,通过vTCM场景的虚拟化调度,从而支持多个虚拟机的TCM访问,为每个虚拟机分配一个绑定的vTCM实例,并使这些实例可以轮流在物理vTCM场景中运行,以使vTCM的安全性分析可以借助TCM结论,增强vTCM的安全性。这一方案在vTCM的管理,包括vTCM迁移等操作上,也体现出了其优势。给出了该方案在KVM虚拟化平台下的实现方法,实现结果表明,该方案不但可行,并且对现有的虚拟机机制有良好的兼容性。     

嵌入式虚拟机管理器内存虚拟化方法研究

随着计算机科学技术的快速发展,对于计算机硬件以及软件的应用更加多元化,嵌入式虚拟机管理技术就是其中一个比较典型的使用案例。客户操作系统顺畅运行离不开嵌入式虚拟机管理器,需应用嵌入式虚拟机管理器对硬件资源(3种硬件资源)虚拟化,而支持虚拟内存的客户操作系统则需要对CPU存储管理单元页表虚拟化。该文主要研究的是NXP公司的PowerPC架构处理器,以此为例来详细地说明CPU的存储管理单元以及管理方法,从而提出CPU的存储管理单元虚拟化的需求。从5个典型性虚拟机管理器软件的内存虚拟化研究方案中可得出虚拟化问题的有效解决方案,此方案包括软件影子页表、硬件支持特性,软硬件结合中的多种方案,能进一步解决CPU存储管理单元(MMU)页表虚拟化问题。     

基于VMware vSphere5虚拟机的备份系统实现

虚拟化在高校信息化建设中占据了越来越重要的地位.虚拟机已经可以在大多数应用中取代传统的物理服务器,极大地节省了成本,同时实现了简化管理、维护方便.VMware在高校虚拟机应用中占据多数,随着虚拟机数量的增加,传统的备份服务器加客户端的方式已经不能满足虚拟机备份的需求.本文主要介绍了基于VMware虚拟机整机备份系统的一种最简便的实现方式.并结合在北京大学的使用说明VDP是一套完整、高效的虚拟机备份解决方案.     

基于VMware vSphere5虚拟机的备份系统实现

虚拟化在高校信息化建设中占据了越来越重要的地位.虚拟机已经可以在大多数应用中取代传统的物理服务器,极大地节省了成本,同时实现了简化管理、维护方便.VMware在高校虚拟机应用中占据多数,随着虚拟机数量的增加,传统的备份服务器加客户端的方式已经不能满足虚拟机备份的需求.本文主要介绍了基于VMware虚拟机整机备份系统的一种最简便的实现方式.并结合在北京大学的使用说明VDP是一套完整、高效的虚拟机备份解决方案.     

一种支持在线迁移的虚拟机间快速通信方法

已有基于共享内存的虚拟机间通信方法不能在支持应用编程透明和虚拟机在线迁移的同时满足实现复杂度低的要求。针对该问题,面向同一物理计算机上多个虚拟机间的通信,提出了一种支持在线迁移的虚拟机间快速通信方法RLMCom,通过引入通信加速内核模块和改进已有虚拟机监控器,可构造出支持RLMCom的虚拟机系统。改进了连接建立、数据传输、连接关闭等关键流程以支持在线迁移。与现有基于共享内存的虚拟机间通信方法相比,该方法同时满足对用户和编程者透明、支持在线迁移且无需修改操作系统内核代码3个特点。分析表明,该方法可有效提高通信效率,保证虚拟机在线迁移时通信的正确性。     

基于VMware vSphere 5.0虚拟机的备份系统实现

虚拟化在高校信息化建设中占据了越来越重要的地位.虚拟机已经可以在大多数应用中取代传统的物理服务器,极大地节省了成本,同时实现了简化管理、维护方便.VMware在高校虚拟机应用中占据多数,随着虚拟机数量的增加,传统的备份服务器加客户端的方式已经不能满足虚拟机备份的需求.本文主要介绍了基于VMware虚拟机整机备份系统的一种最简便的实现方式.并结合在北京大学的使用说明VDP是一套完整、高效的虚拟机备份解决方案.