本文關(guān)鍵詞： 虛擬機(jī)自省技術(shù) 虛擬機(jī) 系統(tǒng)安全　出處：《南京大學(xué)》2014年碩士論文　論文類型：學(xué)位論文

【摘要】：隨著云計算的普及,越來越多的服務(wù)器使用了虛擬化技術(shù)。云平臺服務(wù)商的數(shù)據(jù)中心通過使用虛擬化技術(shù)實現(xiàn)了彈性計算,不同的用戶或者任務(wù)可以共享物理資源,如CPU和硬盤。許多企業(yè)也將服務(wù)遷移到了服務(wù)商提供的云平臺上。這使得云平臺的安全得到了廣泛的關(guān)注。作為云平臺的基石之一,虛擬化也為安全領(lǐng)域帶來了新的機(jī)遇與挑戰(zhàn)。為了解決如何在云平臺上對客戶機(jī)進(jìn)行監(jiān)控與進(jìn)行安全防護(hù)的需要,研究人員提出了虛擬機(jī)自省技術(shù)。虛擬機(jī)自省技術(shù)可以幫助自省工具從客戶機(jī)外部來監(jiān)控客戶機(jī)的狀態(tài),并做出安全決策。實現(xiàn)虛擬機(jī)自省技術(shù)的一個主要問題是如何解決語義鴻溝問題。語義鴻溝是指如何將虛擬機(jī)監(jiān)控器能夠訪問的客戶機(jī)底層信息,如內(nèi)存數(shù)據(jù),轉(zhuǎn)化為安全工具所需的高層語義信息,如進(jìn)程控制塊。安全工具需要高層的語義信息來進(jìn)行安全決策,如遍歷客戶機(jī)中的進(jìn)程來檢測異常進(jìn)程。虛擬機(jī)自省技術(shù)可以應(yīng)用于云平臺相關(guān)的安全領(lǐng)域中的許多問題,如惡意軟件分析和內(nèi)存取證等等。目前已有的虛擬機(jī)自省技術(shù)有著比較高的性能開銷,并且要求用戶為不同的客戶機(jī)操作系統(tǒng)版本定制出不同的自省工具。這樣的虛擬機(jī)自省技術(shù)缺乏通用性和實用性。本文提出了一種新的虛擬機(jī)自省技術(shù),ShadowContexto ShadowContext是一種接近實時的,無需人工干預(yù)的自省技術(shù)。ShadowContext能夠滿足將自省技術(shù)進(jìn)行實際運(yùn)用的三個重要條件：低性能開銷,通用性與自動化。而目前的虛擬機(jī)自省技術(shù)都無法在這三個條件上完全滿足要求。相對于其他已有的自省技術(shù),ShadowContext有兩個主要優(yōu)勢：(1) ShadowContext有著明顯較低的性能開銷。因此,ShadowContext能夠?qū)崿F(xiàn)接近實時的自省技術(shù)。(2)通過允許一個自省工具對多個不同的客戶機(jī)操作系統(tǒng)版本進(jìn)行監(jiān)控,ShadowContext能夠大大地提高自省工具的實用性。這些優(yōu)勢都來自于一個新的概念,“影子上下文”。在影子上下文中,自省工具能夠復(fù)用客戶機(jī)中的系統(tǒng)調(diào)用代碼來解決語義鴻溝問題�？蛻魴C(jī)中的系統(tǒng)調(diào)用代碼會自動地將底層信息轉(zhuǎn)化為有用的高層語義信息。除此之外,ShadowContext具有良好的安全性,能夠防御許多實際存在的惡意攻擊。我們設(shè)計,并且實現(xiàn)了一個ShadowContext的原型系統(tǒng)。我們也對ShadowContext進(jìn)行了系統(tǒng)的評估。實驗數(shù)據(jù)表明,ShadowContext平均帶來的性能開銷為75%,并且其初始化空殼進(jìn)程的時間的中位數(shù)為0.117毫秒。并且在ShadowContext上運(yùn)行的自省工具可以同時對多個客戶機(jī)進(jìn)行監(jiān)控。ShadowContext對于自省工具和客戶機(jī)來說是完全透明的。
[Abstract]:With the popularity of cloud computing, more and more servers are using virtualization technology. Cloud platform service providers' data centers use virtualization technology to achieve flexible computing, and different users or tasks can share physical resources. For example, CPU and hard disk. Many enterprises have also migrated their services to the cloud platform provided by service providers. This has made the security of cloud platform receive wide attention. As one of the cornerstones of cloud platform, Virtualization also brings new opportunities and challenges to the security field. Researchers have proposed virtual machine introspection, which can help introspection tools monitor client state from outside. One of the main problems in realizing virtual machine introspection technology is how to solve the semantic gap problem. Semantic divide refers to how to access the client underlying information, such as memory data, which the virtual machine monitor can access. Security tools need high-level semantic information, such as process control blocks. Security tools need high-level semantic information to make security decisions. Such as traversing processes in the client to detect abnormal processes. Virtual machine introspection can be applied to many problems in the cloud platform-related security realm, Such as malware analysis and memory forensics, etc. The existing virtual machine introspection technology has a relatively high performance overhead, And users are required to customize different introspection tools for different client operating system versions. This kind of virtual machine introspection technology lacks versatility and practicability. In this paper, a new virtual machine introspection technology, Shadow Contexto ShadowContext, is proposed, which is nearly real-time. The introspection technique. ShadowContext, which does not require human intervention, can satisfy three important conditions for the practical use of the introspection technique: low performance overhead, Generality and automation. The current introspection technology of virtual machine can not fully meet the requirements of these three conditions. Compared with other existing introspection technology, ShadowContext has two main advantages: 1) ShadowContext has significantly lower performance overhead. So ShadowContext can achieve near-real-time introspection technology. 2) by allowing a single introspection tool to monitor multiple versions of the client operating system, ShadowContext can greatly improve the utility of the introspection tool. In a new concept, "shadow context." in shadow context, The introspection tool can reuse the system call code in the client to solve the semantic gap problem. The system call code in the client automatically converts the underlying information into useful high-level semantic information. Can defend against many actual malicious attacks. We design, A prototype system of ShadowContext is implemented. We also evaluate ShadowContext systematically. The experimental data show that the average performance cost of ShadowContext is 755.The median time to initialize the empty shell process is 0.117 milliseconds. The introspection tool running on ShadowContext can monitor multiple clients simultaneously. ShadowContext is completely transparent to both the introspection tool and the client.
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP302

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 曹曉剛;;Java虛擬機(jī)的10年[J];程序員;2005年07期

2 宋韜;盤細(xì)平;羅元柯;倪國軍;;Java虛擬機(jī)在嵌入式DSP系統(tǒng)上的實現(xiàn)[J];計算機(jī)應(yīng)用與軟件;2007年04期

3 劉黎波;;Java虛擬機(jī)攔截原理研究[J];科技風(fēng);2008年21期

4 劉治波;;Java虛擬機(jī)簡析[J];濟(jì)南職業(yè)學(xué)院學(xué)報;2008年01期

5 郝帥;;Java虛擬機(jī)中相關(guān)技術(shù)的探討[J];成功(教育);2008年08期

6 李霞;;系統(tǒng)虛擬機(jī)關(guān)鍵技術(shù)研究[J];微型電腦應(yīng)用;2010年03期

7 鄭曉瓏;孔挺;;虛擬機(jī)的安全風(fēng)險與管理[J];硅谷;2010年16期

8 李學(xué)昌;平淡;;為速度而戰(zhàn),虛擬機(jī)內(nèi)外兼修[J];電腦愛好者;2010年18期

9 王惠萍;張海龍;馮帆;王建華;;Java虛擬機(jī)使用及優(yōu)化[J];計算機(jī)與網(wǎng)絡(luò);2010年21期

10 鄭婷婷;武延軍;賀也平;;云計算環(huán)境下的虛擬機(jī)快速克隆技術(shù)[J];計算機(jī)工程與應(yīng)用;2011年13期

相關(guān)會議論文 前10條

1 孟廣平;;虛擬機(jī)漂移網(wǎng)絡(luò)連接方法探討[A];中國計量協(xié)會冶金分會2011年會論文集[C];2011年

2 段翼真;王曉程;;可信安全虛擬機(jī)平臺的研究[A];第26次全國計算機(jī)安全學(xué)術(shù)交流會論文集[C];2011年

3 李明宇;張倩;呂品;;網(wǎng)絡(luò)流量感知的虛擬機(jī)高可用動態(tài)部署研究[A];2014第二屆中國指揮控制大會論文集（上）[C];2014年

4 林紅;;Java虛擬機(jī)面向數(shù)字媒體的應(yīng)用研究[A];計算機(jī)技術(shù)與應(yīng)用進(jìn)展——全國第17屆計算機(jī)科學(xué)與技術(shù)應(yīng)用（CACIS）學(xué)術(shù)會議論文集（上冊）[C];2006年

5 楊旭;彭一明;刑承杰;李若淼;;基于VMware vSphere 5虛擬機(jī)的備份系統(tǒng)實現(xiàn)[A];中國高等教育學(xué)會教育信息化分會第十二次學(xué)術(shù)年會論文集[C];2014年

6 沈敏虎;查德平;劉百祥;趙澤宇;;虛擬機(jī)網(wǎng)絡(luò)部署與管理研究[A];中國高等教育學(xué)會教育信息化分會第十次學(xué)術(shù)年會論文集[C];2010年

7 李英壯;廖培騰;孫夢;李先毅;;基于云計算的數(shù)據(jù)中心虛擬機(jī)管理平臺的設(shè)計[A];中國高等教育學(xué)會教育信息化分會第十次學(xué)術(shù)年會論文集[C];2010年

8 朱欣焰;蘇科華;毛繼國;龔健雅;;GIS符號虛擬機(jī)及實現(xiàn)方法研究[A];《測繪通報》測繪科學(xué)前沿技術(shù)論壇摘要集[C];2008年

9 于洋;陳曉東;俞承芳;李旦;;基于FPGA平臺的虛擬機(jī)建模與仿真[A];2007'儀表，，自動化及先進(jìn)集成技術(shù)大會論文集（一）[C];2007年

10 丁濤;郝沁汾;張冰;;內(nèi)核虛擬機(jī)調(diào)度策略的研究與分析[A];'2010系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會議論文集[C];2010年

相關(guān)重要報紙文章 前10條

1 ;虛擬機(jī)的生與死[N];網(wǎng)絡(luò)世界;2008年

2 本報記者 卜娜;高性能Java虛擬機(jī)將在中國云市場釋能[N];中國計算機(jī)報;2012年

3 本報記者 邱燕娜;如何告別虛擬機(jī)管理煩惱[N];中國計算機(jī)報;2012年

4 ;首批通過云計算產(chǎn)品虛擬機(jī)管理測評名單[N];中國電子報;2014年

5 申琳;虛擬機(jī)泛濫 系統(tǒng)安全怎么辦[N];中國計算機(jī)報;2008年

6 Tom Henderson邋沈建苗 編譯;虛擬機(jī)管理的五大問題[N];計算機(jī)世界;2008年

7 盆盆;真實的虛擬機(jī)[N];中國電腦教育報;2004年

8 本版編輯　綜合 編譯整理 田夢;管理好虛擬機(jī)的全生命周期[N];計算機(jī)世界;2008年

9 李婷;中國研制出全球最快反病毒虛擬機(jī)[N];人民郵電;2009年

10 張弛;虛擬機(jī)遷移走向真正自由[N];網(wǎng)絡(luò)世界;2010年

相關(guān)博士學(xué)位論文 前10條

1 宋翔;多核虛擬環(huán)境的性能及可伸縮性研究[D];復(fù)旦大學(xué);2014年

2 王桂平;云環(huán)境下面向可信的虛擬機(jī)異常檢測關(guān)鍵技術(shù)研究[D];重慶大學(xué);2015年

3 周真;云平臺下運(yùn)行環(huán)境感知的虛擬機(jī)異常檢測策略及算法研究[D];重慶大學(xué);2015年

4 郭芬;面向虛擬機(jī)的云平臺資源部署與調(diào)度研究[D];華南理工大學(xué);2015年

5 周傲;高可靠云服務(wù)供應(yīng)關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2015年

6 代煒琦;云計算執(zhí)行環(huán)境可信構(gòu)建關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2015年

7 劉圣卓;面向虛擬集群的鏡像存儲與傳輸優(yōu)化[D];清華大學(xué);2015年

8 陳彬;分布環(huán)境下虛擬機(jī)按需部署關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2010年

9 劉海坤;虛擬機(jī)在線遷移性能優(yōu)化關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2012年

10 劉謙;面向云計算的虛擬機(jī)系統(tǒng)安全研究[D];上海交通大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 潘飛;負(fù)載相關(guān)的虛擬機(jī)放置策略研究[D];杭州電子科技大學(xué);2011年

2 王建一;混合型桌面云高可用性研究與實現(xiàn)[D];華南理工大學(xué);2015年

3 周衡;云計算環(huán)境下虛擬機(jī)優(yōu)化調(diào)度策略研究[D];河北大學(xué);2015年

4 羅仲皓;基于OpenStack的私有云計算平臺的設(shè)計與實現(xiàn)[D];華南理工大學(xué);2015年

5 李子堂;面向負(fù)載均衡的虛擬機(jī)動態(tài)遷移優(yōu)化研究[D];遼寧大學(xué);2015年

6 張煜;基于OpenStack的“實驗云”平臺的研究與開發(fā)[D];西南交通大學(xué);2015年

7 曾文琦;面向應(yīng)用服務(wù)的云規(guī)模虛似機(jī)性能監(jiān)控與負(fù)載分析技術(shù)研究[D];復(fù)旦大學(xué);2013年

8 施繼成;面向多核處理器的虛擬機(jī)性能優(yōu)化[D];復(fù)旦大學(xué);2014年

9 游井輝;基于虛擬機(jī)動態(tài)遷移的資源調(diào)度策略研究[D];華南理工大學(xué);2015年

10 方良英;云平臺的資源優(yōu)化管理研究與實現(xiàn)[D];南京師范大學(xué);2015年

本文編號：1514024