發(fā)布時(shí)間：2017-05-12 13:00

  本文關(guān)鍵詞：面向服務(wù)監(jiān)控的可控云關(guān)鍵技術(shù)研究，，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著云計(jì)算的不斷發(fā)展,云安全問題變得越來越重要。在云計(jì)算為租戶和一般用戶帶來好處的同時(shí),也引發(fā)了安全問題。這種安全問題不僅會(huì)威脅到各方的利益,也使得云計(jì)算的推廣受阻。云計(jì)算環(huán)境下面臨的威脅可能來自兩個(gè)方面,一方是服務(wù)提供商,一方是普通用戶。云計(jì)算多租戶的特點(diǎn)可能引入不可信的租戶,這類租戶會(huì)利用云平臺提供虛假服務(wù),如釣魚網(wǎng)站,以竊取用戶的一些隱私信息或賬戶信息。用戶一旦訪問這些服務(wù),即將個(gè)人信息透露給了惡意租戶�；ヂ�(lián)網(wǎng)上有大量未知的用戶,這些用戶中存在著惡意的用戶。他們可能會(huì)攻擊租戶的服務(wù),構(gòu)成安全威脅。攻擊者會(huì)通過各種手段攻擊租戶提供的服務(wù),如利用租戶未發(fā)現(xiàn)的漏洞。在成功入侵租戶的系統(tǒng)時(shí),攻擊者在租戶的環(huán)境中運(yùn)行惡意程序,刪除或修改一些重要的文件等。更危險(xiǎn)的是,攻擊者利用租戶的服務(wù)作惡,如利用租戶的郵件服務(wù)濫發(fā)垃圾郵件�；A(chǔ)設(shè)施云提供的服務(wù)是虛擬化服務(wù),而從云平臺的可擴(kuò)展性來看,攻擊者如果控制了多臺虛擬化服務(wù)器,那么就有可能發(fā)動(dòng)大規(guī)模的攻擊行為,如DDoS攻擊、傳播惡意程序,這些攻擊行為也就會(huì)波及到最終用戶。因此,研究如何構(gòu)建一個(gè)面向服務(wù)監(jiān)控的可控云十分必要。云服務(wù)提供商擁有對云平臺的最高控制權(quán)。他們不會(huì)希望自己的平臺受到惡意攻擊,也不會(huì)希望平臺被用來做惡。因此需要有效的方法來構(gòu)建一個(gè)可以控制的云平臺。當(dāng)威脅發(fā)生時(shí),云服務(wù)提供商能夠及時(shí)作出反應(yīng)。虛擬化技術(shù)是基礎(chǔ)設(shè)施云中的核心技術(shù),租戶的服務(wù)駐留在虛擬機(jī)中。一種有效的監(jiān)控方法就是采用虛擬機(jī)自省(Virtual Machine Introspection,VMI)的方式對服務(wù)進(jìn)行監(jiān)控。這里的服務(wù)是廣義上的服務(wù),既可以指云服務(wù)提供商提供的服務(wù),也可以指服務(wù)提供商提供的服務(wù)。因?yàn)椴徽撌悄姆N服務(wù),最終都是運(yùn)行在虛擬機(jī)中。對虛擬機(jī)的監(jiān)控是為了防止租戶或者用戶在云上運(yùn)行惡意代碼。本文采用虛擬機(jī)自省的方式進(jìn)行服務(wù)監(jiān)控。本文研究了基于Linux的虛擬機(jī)自省技術(shù)及基礎(chǔ)設(shè)施云環(huán)境。該環(huán)境能夠滿足不同Linux主機(jī)操作系統(tǒng)的要求,虛擬機(jī)操作系統(tǒng)以Linux和Windows為主。以Xen虛擬機(jī)監(jiān)視器為研究對象,分析并設(shè)計(jì)虛擬機(jī)監(jiān)控架構(gòu),包括不同的監(jiān)控粒度,如進(jìn)程監(jiān)控、模塊監(jiān)控、內(nèi)存操作監(jiān)控以及其他虛擬機(jī)狀態(tài)的監(jiān)控。進(jìn)程監(jiān)控要能顯示進(jìn)程號、進(jìn)程名稱等與進(jìn)程相關(guān)的信息。模塊監(jiān)控要能顯示模塊名稱及與模塊相關(guān)的信息。內(nèi)存操作監(jiān)控要能顯示對內(nèi)存頁的讀寫操作。其他虛擬機(jī)狀態(tài)的監(jiān)控要能顯示諸如虛擬處理器狀態(tài)等信息。輸出的監(jiān)控內(nèi)容以合適的表達(dá)形式展現(xiàn),同時(shí)作為日志保存在磁盤中。日志記錄對虛擬機(jī)的運(yùn)行不會(huì)造成太大的影響。本文對監(jiān)控軟件進(jìn)行測試,包括性能測試,如時(shí)間消耗,和有效性測試,如監(jiān)控的準(zhǔn)確性,并對其進(jìn)行理論分析。將虛擬機(jī)監(jiān)視器和監(jiān)控軟件集成到基礎(chǔ)設(shè)施云平臺當(dāng)中,實(shí)現(xiàn)面向服務(wù)監(jiān)控的可控云平臺原型系統(tǒng),并能夠進(jìn)行實(shí)際部署。本文的研究內(nèi)容主要關(guān)注于虛擬機(jī)自省技術(shù),從虛擬機(jī)外部對虛擬機(jī)進(jìn)行監(jiān)控。與傳統(tǒng)的監(jiān)控方法相比,特色與新穎之處如下：監(jiān)控軟件不容易受到攻擊。傳統(tǒng)的服務(wù)監(jiān)控大多是基于主機(jī)的監(jiān)控,基于主機(jī)的監(jiān)控通常把監(jiān)控軟件安裝在被監(jiān)控的操作系統(tǒng)中。如果惡意租戶和用戶取得了系統(tǒng)的控制權(quán),那么監(jiān)控軟件就暴露在不安全的環(huán)境中,很容易被租戶或用戶發(fā)現(xiàn)。這種情況下,他們要對監(jiān)控軟件實(shí)施破壞也相對容易些。而將監(jiān)控軟件安裝在虛擬機(jī)外部,則不容易被攻擊者發(fā)現(xiàn)。由于虛擬機(jī)監(jiān)視器將虛擬機(jī)隔離成不同的域,每個(gè)虛擬機(jī)在自己的域中運(yùn)行,相互不會(huì)影響。即使攻擊者破壞了虛擬機(jī)的操作系統(tǒng),也不容易破壞監(jiān)控軟件,更不用說威脅到整個(gè)云平臺。對于虛擬機(jī)內(nèi)部來說,監(jiān)控完全是透明的。因?yàn)楸O(jiān)控軟件處于虛擬機(jī)之外,而且不需要對虛擬機(jī)操作系統(tǒng)進(jìn)行修改,所以虛擬機(jī)內(nèi)部程序的運(yùn)行就像在物理機(jī)上一樣。監(jiān)控軟件利用虛擬機(jī)監(jiān)視器對外提供的接口獲取虛擬機(jī)中的信息,不影響虛擬機(jī)內(nèi)部程序的運(yùn)行。由于虛擬機(jī)監(jiān)視器提供的隔離性,虛擬機(jī)內(nèi)部程序也不會(huì)影響到監(jiān)控程序。監(jiān)控得到的數(shù)據(jù)可以為數(shù)字取證提供更準(zhǔn)確的證據(jù)。數(shù)字取證的一個(gè)重要手段就是獲取系統(tǒng)的內(nèi)存鏡像,內(nèi)存鏡像能夠反映出機(jī)器完整的運(yùn)行狀態(tài)。在傳統(tǒng)的監(jiān)控方法中,監(jiān)控軟件的運(yùn)行需要占用內(nèi)存空間,得到的內(nèi)存鏡像中也就存有監(jiān)控軟件的信息。而虛擬機(jī)自省的監(jiān)控方法是從虛擬機(jī)外部來監(jiān)控虛擬機(jī),虛擬機(jī)中的內(nèi)存是虛擬機(jī)獨(dú)立使用的。所以在獲取的內(nèi)存鏡像中只會(huì)有虛擬機(jī)內(nèi)部的信息,而不會(huì)有其他無關(guān)信息。監(jiān)控內(nèi)容采用多種監(jiān)控粒度相結(jié)合。目前的監(jiān)控研究存在監(jiān)控內(nèi)容的單一化,即只關(guān)注于監(jiān)控的某一方面,如只對進(jìn)程進(jìn)行監(jiān)控。這種監(jiān)控沒有把相關(guān)的一系列動(dòng)作聯(lián)系起來,不利于推斷服務(wù)的行為。本文結(jié)合進(jìn)程監(jiān)控、模塊監(jiān)控、內(nèi)存操作監(jiān)控等,盡可能完整地重現(xiàn)服務(wù)事件。對虛擬機(jī)監(jiān)視器不需要做過多修改。大多數(shù)虛擬機(jī)監(jiān)控的研究對虛擬機(jī)監(jiān)視器本身有很大的改動(dòng)。這種改動(dòng)對于虛擬機(jī)監(jiān)視器的依賴過高,將不利于虛擬機(jī)監(jiān)視器的升級。所以本文的研究不需要對虛擬機(jī)監(jiān)視器做過多的修改,而是利用虛擬機(jī)監(jiān)視器本身具有的接口,以保持低的耦合性。本文研究了構(gòu)建面向服務(wù)監(jiān)控的可控云中涉及到的關(guān)鍵技術(shù),具體工作主要有以下幾個(gè)方面。本文對虛擬機(jī)的運(yùn)行時(shí)環(huán)境進(jìn)行完整性度量。檢測程序或者文件是否遭到篡改的方法是通過完整性來進(jìn)行的。傳統(tǒng)的完整性度量方法是在被度量系統(tǒng)中安裝度量軟件。當(dāng)程序或文件被加載到內(nèi)存中時(shí)度量軟件對其進(jìn)行完整性度量。但是攻擊者一旦成功入侵系統(tǒng)后,可能破壞系統(tǒng)里的完整性度量軟件。針對這個(gè)問題,本文提出了基于虛擬機(jī)自省的完整性度量方法,從虛擬機(jī)外部對虛擬機(jī)中的程序進(jìn)行完整性度量,達(dá)到度量軟件與被度量系統(tǒng)隔離的效果。而且該方法采用的是掃描的方式,有別于采用系統(tǒng)調(diào)用攔截的方式,避免帶來較大的性能開銷。實(shí)驗(yàn)結(jié)果表明該方法在性能方面優(yōu)于采用系統(tǒng)調(diào)用攔截的方式。在UnixBench測試中,本文的完整性度量在Execl Throughput測試、Process Creation測試、Shell Scripts(8 concurrent)測試引入負(fù)載分別是0.22%、3.62%、1.30%,均低于HIMA引入的負(fù)載值。本文對虛擬機(jī)的非篡改型攻擊進(jìn)行檢測。完整性度量能夠檢測程序是否遭到篡改,但是還有一些攻擊是不會(huì)篡改程序的。本文研究了這類非篡改型攻擊,具體針對二進(jìn)制代碼注入攻擊、數(shù)據(jù)操縱攻擊、命令注入攻擊,并設(shè)計(jì)了檢測該類攻擊的方法。針對二進(jìn)制代碼注入,本文采用系統(tǒng)調(diào)用的檢測方式。針對數(shù)據(jù)操縱,本文采用內(nèi)存寫操作的監(jiān)控方式。針對命令注入,本文采用特殊字符串掃描的方式。實(shí)驗(yàn)結(jié)果表明該方法能夠有效檢測出非篡改型攻擊,而且引入的性能代價(jià)較低。如數(shù)據(jù)庫測試中,系統(tǒng)調(diào)用監(jiān)控引入的性能代價(jià)在2%以下,數(shù)據(jù)寫監(jiān)控引入的性能代價(jià)在3%以下。本文對虛擬機(jī)的行為進(jìn)行記錄與重放。惡意軟件分析方法將可疑軟件放入分析系統(tǒng)中,通過細(xì)粒度的監(jiān)控方式記錄下惡意軟件的行為,如系統(tǒng)調(diào)用級別的記錄、指令級別的記錄。但是對于某些具有非確定性事件發(fā)生的行為,這種分析方法則不夠精確。本文設(shè)計(jì)了虛擬機(jī)行為的記錄與重放架構(gòu),結(jié)合硬件虛擬化功能,避免采用動(dòng)態(tài)二進(jìn)制轉(zhuǎn)換所引入的性能代價(jià)。記錄軟件設(shè)置在虛擬機(jī)監(jiān)視器中,以降低頻繁的系統(tǒng)切換引入的性能代價(jià)。在記錄時(shí),該架構(gòu)只記錄重放所需的信息和非確定性事件,不記錄確定性事件。實(shí)驗(yàn)結(jié)果表明本文的方法能夠?qū)/O事件進(jìn)行記錄和重放,而且性能測試中引入的代價(jià)較低。在UnixBench測試中,總體上記錄過程引入的性能開銷還是比較小的,負(fù)載最高的兩項(xiàng)是Execl吞吐率和進(jìn)程創(chuàng)建,引入負(fù)載分別是2.55%和2.62%。本文對分布式虛擬機(jī)的狀態(tài)進(jìn)行檢測。Rootkit攻擊使得攻擊者能夠隱藏于系統(tǒng)之中,并且在系統(tǒng)中安裝后門。攻擊者使用Rootkit能夠修改內(nèi)核數(shù)據(jù),對系統(tǒng)造成嚴(yán)重威脅。另外,云平臺具有大規(guī)模的特性,運(yùn)行著許多虛擬服務(wù)器。單一的檢測方式滿足不了大規(guī)模的檢測需求,需要一個(gè)統(tǒng)一的檢測平臺來監(jiān)控云平臺的服務(wù)。針對以上問題,本文設(shè)計(jì)了分布式的虛擬機(jī)狀態(tài)檢測架構(gòu)。在日志記錄時(shí),分別設(shè)計(jì)了用戶態(tài)日志記錄程序和內(nèi)核態(tài)用戶記錄程序。
【關(guān)鍵詞】：云計(jì)算 虛擬機(jī) 監(jiān)控 安全 入侵檢測 運(yùn)行環(huán)境
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2015
【分類號】：TP309;TP302
【目錄】：

• 摘要4-9
• ABSTRACT9-19
• 第一章 綜述19-33
• 1.1 研究目的及意義19-20
• 1.2 相關(guān)工作20-23
• 1.3 主要研究內(nèi)容23-30
• 1.4 本文主要貢獻(xiàn)30-32
• 1.5 本文結(jié)構(gòu)安排32-33
• 第二章 基于虛擬機(jī)自省的運(yùn)行環(huán)境完整性度量技術(shù)33-55
• 2.1 引言33-35
• 2.2 相關(guān)工作35-38
• 2.3 系統(tǒng)設(shè)計(jì)38-44
• 2.3.1 完整性分析38
• 2.3.2 威脅模型38-39
• 2.3.3 體系結(jié)構(gòu)39-41
• 2.3.4 地址轉(zhuǎn)換41-42
• 2.3.5 完整性度量42-44
• 2.4 實(shí)現(xiàn)44-45
• 2.5 實(shí)驗(yàn)及評價(jià)45-54
• 2.5.1 有效性實(shí)驗(yàn)46-47
• 2.5.2 性能實(shí)驗(yàn)47-54
• 2.6 結(jié)論54-55
• 第三章 針對虛擬機(jī)的非篡改型攻擊檢測技術(shù)55-78
• 3.1 引言55-57
• 3.2 相關(guān)工作57-58
• 3.3 系統(tǒng)設(shè)計(jì)58-68
• 3.3.1 威脅模型58-59
• 3.3.2 攻擊分析59-63
• 3.3.3 現(xiàn)有檢測方式63-64
• 3.3.4 架構(gòu)64-67
• 3.3.5 數(shù)據(jù)記錄67-68
• 3.3.6 數(shù)據(jù)分析68
• 3.4 實(shí)現(xiàn)68
• 3.5 實(shí)驗(yàn)及評價(jià)68-77
• 3.5.1 有效性實(shí)驗(yàn)69-73
• 3.5.2 性能實(shí)驗(yàn)73-77
• 3.6 結(jié)論77-78
• 第四章 虛擬化惡意行為記錄與重放技術(shù)78-93
• 4.1 引言78-81
• 4.2 相關(guān)工作81-83
• 4.3 系統(tǒng)設(shè)計(jì)83-88
• 4.3.1 威脅模型83
• 4.3.2 鎖定考慮83-84
• 4.3.3 硬件支持84
• 4.3.4 架構(gòu)84-86
• 4.3.5 中斷記錄和重放86-87
• 4.3.6 I/O記錄和重放87-88
• 4.4 實(shí)現(xiàn)88-89
• 4.5 實(shí)驗(yàn)及評價(jià)89-92
• 4.5.1 有效性實(shí)驗(yàn)89-90
• 4.5.2 性能實(shí)驗(yàn)90-92
• 4.6 結(jié)論92-93
• 第五章 分布式虛擬機(jī)狀態(tài)檢測與監(jiān)控分析技術(shù)93-109
• 5.1 引言93-95
• 5.2 相關(guān)工作95-97
• 5.3 系統(tǒng)設(shè)計(jì)97-103
• 5.3.1 威脅模型97-98
• 5.3.2 虛擬機(jī)日志記錄架構(gòu)98
• 5.3.3 用戶空間日志記錄98-100
• 5.3.4 內(nèi)核空間記錄100-102
• 5.3.5 云平臺日志收集與分析架構(gòu)102-103
• 5.4 實(shí)現(xiàn)103-104
• 5.5 實(shí)驗(yàn)及評價(jià)104-108
• 5.5.1 有效性實(shí)驗(yàn)105-107
• 5.5.2 性能實(shí)驗(yàn)107-108
• 5.6 結(jié)論108-109
• 第六章 總結(jié)與展望109-112
• 6.1 工作總結(jié)109-110
• 6.2 研究展望110-112
• 參考文獻(xiàn)112-120
• 致謝120-121
• 攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文目錄121-122
• 攻讀學(xué)位期間參與的科研項(xiàng)目122

  本文關(guān)鍵詞：面向服務(wù)監(jiān)控的可控云關(guān)鍵技術(shù)研究，由筆耕文化傳播整理發(fā)布。

本文編號：359804