發(fā)布時(shí)間：2020-08-25 11:35

【摘要】：當(dāng)前的信息技術(shù)已經(jīng)逐漸邁入以云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)為主要代表的時(shí)代,其中云計(jì)算作為其他應(yīng)用的基礎(chǔ)平臺(tái),其安全性在新的信息技術(shù)時(shí)代顯得尤為重要。當(dāng)前的云計(jì)算還面臨著諸如虛擬機(jī)逃逸、云數(shù)據(jù)中心內(nèi)部東西向流量監(jiān)控困難等安全問題。為了有效保護(hù)云數(shù)據(jù)中心的安全,本文首先基于開源軟件實(shí)現(xiàn)了虛擬機(jī)綜合監(jiān)控驗(yàn)證系統(tǒng),在此基礎(chǔ)上分別從主機(jī)、網(wǎng)絡(luò)兩個(gè)層面出發(fā),分析和研究了在上述層面中對云數(shù)據(jù)中心實(shí)施安全監(jiān)控面臨的難點(diǎn)問題,并就關(guān)鍵技術(shù)進(jìn)行了改進(jìn)。同時(shí),基于來自互聯(lián)網(wǎng)的多個(gè)真實(shí)數(shù)據(jù)集,對本文中提出的新監(jiān)控模型和方法進(jìn)行了充分的實(shí)驗(yàn)評估,實(shí)驗(yàn)結(jié)果驗(yàn)證了所提出模型和方法在各個(gè)研究層面的合理性和準(zhǔn)確性。具體內(nèi)容描述如下:(1)基于開源軟件實(shí)現(xiàn)了虛擬機(jī)綜合監(jiān)控驗(yàn)證系統(tǒng)本文首先利用已有的成熟方案構(gòu)建了云數(shù)據(jù)中心虛擬機(jī)監(jiān)控的基礎(chǔ)框架,針對已有方案存在的問題,通過將虛擬機(jī)自省技術(shù)跟其他安全監(jiān)控技術(shù)有機(jī)結(jié)合,本文實(shí)現(xiàn)的監(jiān)控驗(yàn)證系統(tǒng)具備對虛擬機(jī)內(nèi)存、網(wǎng)絡(luò)和文件的實(shí)時(shí)監(jiān)控能力。相比于已有的成熟方案,新的監(jiān)控驗(yàn)證系統(tǒng)在兩個(gè)地方有顯著改進(jìn):首先可以在物理主機(jī)層監(jiān)控虛擬機(jī)文件系統(tǒng)的創(chuàng)建、刪除和修改;其次,相比于傳統(tǒng)的監(jiān)控方法,新的監(jiān)控驗(yàn)證系統(tǒng)無需在虛擬機(jī)中安裝代理,安全工具的隱蔽性很高,難以被攻擊者探測。(2)基于虛擬機(jī)自省的API調(diào)用監(jiān)控技術(shù)虛擬機(jī)層面,利用虛擬機(jī)自省技術(shù)實(shí)現(xiàn)隱匿的虛擬機(jī)監(jiān)控,可達(dá)到系統(tǒng)調(diào)用級別的細(xì)粒度,具有隱蔽性高的優(yōu)勢,但是其性能開銷較大,尤其是監(jiān)控系統(tǒng)調(diào)用時(shí),CPU在虛擬機(jī)和主機(jī)之間切換頻繁,無法有效實(shí)現(xiàn)實(shí)時(shí)監(jiān)控。為此,本文改進(jìn)了相關(guān)工作,提出了一種進(jìn)程級的虛擬機(jī)執(zhí)行監(jiān)控系統(tǒng),一方面縮小了系統(tǒng)調(diào)用的監(jiān)控范圍,另一方面支持對用戶層API調(diào)用的監(jiān)控,使得結(jié)果更加全面。此外,還設(shè)計(jì)了樣本注入和快照方法,可以無痕地將待分析樣本注入到虛擬機(jī)中運(yùn)行,并在運(yùn)行完成后恢復(fù)初始狀態(tài),從而提高分析過程的自動(dòng)化水平。(3)基于嵌套虛擬化的超級調(diào)用攻擊檢測方法針對云平臺(tái)本身可能不可信的問題,提出了基于嵌套虛擬化的超級調(diào)用攻擊檢測方法,可以檢測從虛擬機(jī)監(jiān)控器層面發(fā)起的攻擊和非法行為。利用硬件特性支持,包括嵌套虛擬化、擴(kuò)展頁表保護(hù)和中斷異常實(shí)現(xiàn)對虛擬機(jī)監(jiān)控器本身的監(jiān)控,即使在虛擬機(jī)監(jiān)控器被控制的情況下,我們依然能夠監(jiān)視屬于一個(gè)虛擬機(jī)監(jiān)控器上的所有虛擬機(jī)的超級調(diào)用,從而及時(shí)發(fā)現(xiàn)攻擊行為。此外,我們還通過超級調(diào)用注入來模擬基于超級調(diào)用的攻擊,并評估了該方法的性能。實(shí)驗(yàn)結(jié)果表明,該方法可以有效地檢測出基于超級調(diào)用的攻擊。(4)云數(shù)據(jù)中心的可疑流采樣方法基于軟件定義網(wǎng)絡(luò)轉(zhuǎn)發(fā)控制分離以及可編程的特點(diǎn),實(shí)現(xiàn)了多層次的網(wǎng)絡(luò)流量采樣和檢測模型。一方面利用正常業(yè)務(wù)流歷史統(tǒng)計(jì)信息指導(dǎo)云內(nèi)部的流量采樣,在構(gòu)建分類模型的基礎(chǔ)上實(shí)現(xiàn)流的實(shí)時(shí)分類和采樣,極大地提高了采樣的針對性和對未知攻擊的捕獲能力,降低了采樣的帶寬開銷。另一方面基于入侵檢測系統(tǒng)的反饋實(shí)時(shí)調(diào)整采樣方案,進(jìn)一步提高了采樣的全面性,降低了已知攻擊流被漏采的概率。兩者結(jié)合起來可以有效地解決云內(nèi)部東西向流量的監(jiān)控難題。(5)基于可疑流采樣的云僵尸網(wǎng)絡(luò)檢測方法在上述采樣方法的基礎(chǔ)上針對云內(nèi)P2P僵尸網(wǎng)絡(luò)的特點(diǎn)提出了一種兩階段云僵尸網(wǎng)絡(luò)檢測方法,首先通過openflow控制器實(shí)時(shí)收集流統(tǒng)計(jì)信息檢測可疑流,然后通過為可疑流分配相應(yīng)的采樣率實(shí)施采樣,導(dǎo)流給深度報(bào)文檢測工具進(jìn)行僵尸主機(jī)的檢測。實(shí)驗(yàn)表明其可以快速準(zhǔn)確定位潛在的P2P僵尸主機(jī),具有準(zhǔn)確率高、誤報(bào)率低的特點(diǎn),且性能消耗在可以接受的范圍內(nèi)。
【學(xué)位授予單位】：國防科技大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP308;TP309
【圖文】：

云計(jì)算具有彈性可擴(kuò)展、按需使用和付費(fèi)、集中管理和動(dòng)態(tài)調(diào)度等優(yōu)點(diǎn)。這對于提高計(jì)算資源的使用效率、增強(qiáng)可管理性具有顯著效果。正因?yàn)榇�，企業(yè)和機(jī)構(gòu)正不斷的將業(yè)務(wù)往云端遷移。圖1.1中的 Gatner統(tǒng)計(jì)數(shù)據(jù)顯示，2015 年以 IaaS、PaaS 和 SaaS 為代表的典型公有云服務(wù)市場規(guī)模達(dá)到 522.4 億美元，增速 20.6%，預(yù)計(jì) 2020 年將達(dá)到 1435.3 億美元，年復(fù)合增長率達(dá) 22%。圖 1.1 全球公有云計(jì)算市場規(guī)模1圖 1.2 中國私有云計(jì)算市場規(guī)模2雖然公有云一直以較快速度發(fā)展，但是由于公有云屬于托管性質(zhì)，租戶缺乏1 http://www.cac.gov.cn/files/pdf/baipishu/cloudcomputing2016.pdf2 http://www.caict.ac.cn/kxyj/qwfb/ztbg/201704/t20170418_2192062.htm

第 1 頁圖 1.2 中國私有云計(jì)算市場規(guī)模2然公有云一直以較快速度發(fā)展，但是由于公有云屬于托管性質(zhì)，租/www.cac.gov.cn/files/pdf/baipishu/cloudcomputing2016.pdf/www.caict.ac.cn/kxyj/qwfb/ztbg/201704/t20170418_2192062.htm

圖 1.3 虛擬機(jī)安全威脅數(shù)量3.1.2.2 虛擬化軟件的安全問題 2015 年發(fā)現(xiàn)的毒液漏洞4為代表的一系列虛擬化軟件的漏洞對于云務(wù)的破壞作用非常大，可導(dǎo)致虛擬機(jī)逃逸（特權(quán)提升）、拒絕服務(wù)等1.4 所示，根據(jù) CVE 漏洞庫的檢索，虛擬化軟件的漏洞呈現(xiàn)出動(dòng)態(tài)增近兩年呈現(xiàn)出爆發(fā)的趨勢。

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 陳佳昕;;虛擬機(jī)隱藏進(jìn)程檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];現(xiàn)代計(jì)算機(jī)(專業(yè)版);2019年01期

2 尹學(xué)淵;陳興蜀;陶術(shù)松;陳林;;一種無代理虛擬機(jī)進(jìn)程監(jiān)控方法[J];南京大學(xué)學(xué)報(bào)(自然科學(xué));2019年02期

3 郭建偉;;靈活管理虛擬機(jī)[J];網(wǎng)絡(luò)安全和信息化;2019年05期

4 關(guān)長杰;;巧用虛擬機(jī)維護(hù)多媒體教室計(jì)算機(jī)之我見[J];信息記錄材料;2019年04期

5 王瑞宗;;淺析云計(jì)算虛擬機(jī)部署方案[J];電子世界;2019年15期

6 甘娜;;一種基于服務(wù)次數(shù)的云虛擬機(jī)資源部署算法[J];中國新通信;2017年23期

7 石岳;王春海;;快速克隆千臺(tái)虛擬機(jī)[J];網(wǎng)絡(luò)安全和信息化;2017年06期

8 顧武雄;;創(chuàng)建虛擬機(jī)與遠(yuǎn)程管理[J];網(wǎng)絡(luò)安全和信息化;2017年05期

9 顧武雄;;虛擬機(jī)復(fù)制管理[J];網(wǎng)絡(luò)安全和信息化;2018年06期

10 趙艷;王春海;;虛擬機(jī)“句柄無效”無法開機(jī)[J];網(wǎng)絡(luò)安全和信息化;2018年09期

相關(guān)會(huì)議論文 前10條

1 陸彥琦;伍華鳳;高毅;;云計(jì)算環(huán)境下虛擬機(jī)安全性分析與研究[A];中國造船工程學(xué)會(huì)電子技術(shù)學(xué)術(shù)委員會(huì)2017年裝備技術(shù)發(fā)展論壇論文集[C];2017年

2 段翼真;王曉程;;可信安全虛擬機(jī)平臺(tái)的研究[A];第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

3 沈敏虎;查德平;劉百祥;趙澤宇;;虛擬機(jī)網(wǎng)絡(luò)部署與管理研究[A];中國高等教育學(xué)會(huì)教育信息化分會(huì)第十次學(xué)術(shù)年會(huì)論文集[C];2010年

4 陳援非;朱珍民;葉劍;;一種基于多量級虛擬機(jī)的可擴(kuò)展普適計(jì)算架構(gòu)[A];第四屆和諧人機(jī)環(huán)境聯(lián)合學(xué)術(shù)會(huì)議論文集[C];2008年

5 張健;高鋮;宮良一;顧兆軍;;虛擬機(jī)自省技術(shù)研究[A];第32次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2017年

6 鄧小林;;虛擬機(jī)系統(tǒng)資源動(dòng)態(tài)分配策略[A];浙江省信號(hào)處理學(xué)會(huì)2013學(xué)術(shù)年會(huì)論文集——信號(hào)處理在海洋[C];2013年

7 丁濤;郝沁汾;張冰;;內(nèi)核虛擬機(jī)調(diào)度策略的研究與分析[A];'2010系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2010年

8 管慶華;葉力旋;劉凱;明月;;一種基于資源池分布式部署虛擬機(jī)的方法[A];2010電力行業(yè)信息化年會(huì)優(yōu)秀論文專輯[C];2010年

9 ;瑞星研制出全球最快反病毒虛擬機(jī)[A];2010電力行業(yè)信息化年會(huì)優(yōu)秀論文專輯[C];2010年

10 陳乃剛;李健;李龍;;云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)帶寬保證方案[A];2016電力行業(yè)信息化年會(huì)論文集[C];2016年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 馮霄霞;容器引領(lǐng)云計(jì)算2.0時(shí)代[N];中國信息化周報(bào);2016年

2 南方日報(bào)駐京記者 王騰騰;網(wǎng)絡(luò)空間安全攻防戰(zhàn)[N];南方日報(bào);2017年

3 馮志鵬 黃文雯 胡宇;引領(lǐng)架構(gòu)提升 打造“云”上服務(wù)[N];國家電網(wǎng)報(bào);2017年

4 劉荻 編譯;虛擬機(jī)真比容器安全嗎？[N];中國計(jì)算機(jī)報(bào);2017年

5 鄒錚 編譯;云計(jì)算充滿“僵尸”虛擬機(jī)?沒什么大不了![N];網(wǎng)絡(luò)世界;2015年

6 ;首批通過云計(jì)算產(chǎn)品虛擬機(jī)管理測評名單[N];中國電子報(bào);2014年

7 本報(bào)記者 邱燕娜;如何告別虛擬機(jī)管理煩惱[N];中國計(jì)算機(jī)報(bào);2012年

8 本報(bào)記者 李旭陽;Azul“搶灘”國內(nèi)Java虛擬機(jī)市場[N];計(jì)算機(jī)世界;2012年

9 《網(wǎng)絡(luò)世界》記者 周源;3:0!Power虛擬機(jī)完勝x86虛擬機(jī)[N];網(wǎng)絡(luò)世界;2012年

10 本報(bào)記者 鄒大斌;VMware推出新虛擬機(jī)管理工具[N];計(jì)算機(jī)世界;2011年

相關(guān)博士學(xué)位論文 前10條

1 施江勇;云數(shù)據(jù)中心安全監(jiān)控技術(shù)研究[D];國防科技大學(xué);2018年

2 張涵翠;云平臺(tái)中面向虛擬機(jī)的自適應(yīng)異常檢測關(guān)鍵技術(shù)研究[D];重慶大學(xué);2018年

3 魏亮;面向云網(wǎng)融合的資源調(diào)度算法及實(shí)驗(yàn)平臺(tái)研究[D];北京郵電大學(xué);2018年

4 張鑫彥;數(shù)據(jù)中心虛擬機(jī)放置方法的研究[D];大連理工大學(xué);2018年

5 張留美;面向綠色云計(jì)算的虛擬機(jī)評估研究[D];西安電子科技大學(xué);2016年

6 徐驍麟;面向多虛擬機(jī)應(yīng)用的基礎(chǔ)設(shè)施云服務(wù)性能優(yōu)化機(jī)制研究[D];華中科技大學(xué);2016年

7 丁有偉;云環(huán)境下能量高效的任務(wù)調(diào)度方法研究與應(yīng)用[D];南京航空航天大學(xué);2016年

8 胡榮東;面向能效的云計(jì)算虛擬化資源提供方法研究[D];國防科學(xué)技術(shù)大學(xué);2015年

9 葉楓;QoS-Aware的云服務(wù)可信增強(qiáng)機(jī)制的研究[D];南京航空航天大學(xué);2016年

10 郭芬;面向虛擬機(jī)的云平臺(tái)資源部署與調(diào)度研究[D];華南理工大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 汪澄;基于IDEFO模型的云計(jì)算服務(wù)安全監(jiān)測平臺(tái)研究[D];華北電力大學(xué)(北京);2019年

2 謝海疆;代碼虛擬化的反混淆技術(shù)研究[D];上海交通大學(xué);2016年

3 孫新越;云計(jì)算環(huán)境下的動(dòng)態(tài)虛擬機(jī)整合算法研究[D];東北林業(yè)大學(xué);2019年

4 李子鈺;基于KVM的虛擬機(jī)在線遷移策略研究[D];上海交通大學(xué);2016年

5 張望;基于Paravirtual I/O解決方案的高性能I/O虛擬化研究與優(yōu)化[D];上海交通大學(xué);2018年

6 石培濤;虛擬化環(huán)境下針對Rowhammer攻擊的隔離防護(hù)[D];上海交通大學(xué);2018年

7 劉孝東;vSimilar：基于cpupool機(jī)制的高適應(yīng)性虛擬機(jī)調(diào)度器增強(qiáng)方案[D];上海交通大學(xué);2018年

8 雷天洋;面向數(shù)據(jù)密集計(jì)算的Java虛擬機(jī)性能分析與優(yōu)化[D];上海交通大學(xué);2016年

9 陳超;提升用戶感知的容器熱遷移機(jī)制研究與實(shí)現(xiàn)[D];華南理工大學(xué);2019年

10 陳榮;虛擬機(jī)級別容錯(cuò)機(jī)制的性能分析與優(yōu)化[D];上海交通大學(xué);2018年

本文編號(hào)：2803647