本文關鍵詞：面向服務監(jiān)控的可控云關鍵技術研究，，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著云計算的不斷發(fā)展,云安全問題變得越來越重要。在云計算為租戶和一般用戶帶來好處的同時,也引發(fā)了安全問題。這種安全問題不僅會威脅到各方的利益,也使得云計算的推廣受阻。云計算環(huán)境下面臨的威脅可能來自兩個方面,一方是服務提供商,一方是普通用戶。云計算多租戶的特點可能引入不可信的租戶,這類租戶會利用云平臺提供虛假服務,如釣魚網(wǎng)站,以竊取用戶的一些隱私信息或賬戶信息。用戶一旦訪問這些服務,即將個人信息透露給了惡意租戶�；ヂ�(lián)網(wǎng)上有大量未知的用戶,這些用戶中存在著惡意的用戶。他們可能會攻擊租戶的服務,構成安全威脅。攻擊者會通過各種手段攻擊租戶提供的服務,如利用租戶未發(fā)現(xiàn)的漏洞。在成功入侵租戶的系統(tǒng)時,攻擊者在租戶的環(huán)境中運行惡意程序,刪除或修改一些重要的文件等。更危險的是,攻擊者利用租戶的服務作惡,如利用租戶的郵件服務濫發(fā)垃圾郵件�；A設施云提供的服務是虛擬化服務,而從云平臺的可擴展性來看,攻擊者如果控制了多臺虛擬化服務器,那么就有可能發(fā)動大規(guī)模的攻擊行為,如DDoS攻擊、傳播惡意程序,這些攻擊行為也就會波及到最終用戶。因此,研究如何構建一個面向服務監(jiān)控的可控云十分必要。云服務提供商擁有對云平臺的最高控制權。他們不會希望自己的平臺受到惡意攻擊,也不會希望平臺被用來做惡。因此需要有效的方法來構建一個可以控制的云平臺。當威脅發(fā)生時,云服務提供商能夠及時作出反應。虛擬化技術是基礎設施云中的核心技術,租戶的服務駐留在虛擬機中。一種有效的監(jiān)控方法就是采用虛擬機自省(Virtual Machine Introspection,VMI)的方式對服務進行監(jiān)控。這里的服務是廣義上的服務,既可以指云服務提供商提供的服務,也可以指服務提供商提供的服務。因為不論是哪種服務,最終都是運行在虛擬機中。對虛擬機的監(jiān)控是為了防止租戶或者用戶在云上運行惡意代碼。本文采用虛擬機自省的方式進行服務監(jiān)控。本文研究了基于Linux的虛擬機自省技術及基礎設施云環(huán)境。該環(huán)境能夠滿足不同Linux主機操作系統(tǒng)的要求,虛擬機操作系統(tǒng)以Linux和Windows為主。以Xen虛擬機監(jiān)視器為研究對象,分析并設計虛擬機監(jiān)控架構,包括不同的監(jiān)控粒度,如進程監(jiān)控、模塊監(jiān)控、內存操作監(jiān)控以及其他虛擬機狀態(tài)的監(jiān)控。進程監(jiān)控要能顯示進程號、進程名稱等與進程相關的信息。模塊監(jiān)控要能顯示模塊名稱及與模塊相關的信息。內存操作監(jiān)控要能顯示對內存頁的讀寫操作。其他虛擬機狀態(tài)的監(jiān)控要能顯示諸如虛擬處理器狀態(tài)等信息。輸出的監(jiān)控內容以合適的表達形式展現(xiàn),同時作為日志保存在磁盤中。日志記錄對虛擬機的運行不會造成太大的影響。本文對監(jiān)控軟件進行測試,包括性能測試,如時間消耗,和有效性測試,如監(jiān)控的準確性,并對其進行理論分析。將虛擬機監(jiān)視器和監(jiān)控軟件集成到基礎設施云平臺當中,實現(xiàn)面向服務監(jiān)控的可控云平臺原型系統(tǒng),并能夠進行實際部署。本文的研究內容主要關注于虛擬機自省技術,從虛擬機外部對虛擬機進行監(jiān)控。與傳統(tǒng)的監(jiān)控方法相比,特色與新穎之處如下：監(jiān)控軟件不容易受到攻擊。傳統(tǒng)的服務監(jiān)控大多是基于主機的監(jiān)控,基于主機的監(jiān)控通常把監(jiān)控軟件安裝在被監(jiān)控的操作系統(tǒng)中。如果惡意租戶和用戶取得了系統(tǒng)的控制權,那么監(jiān)控軟件就暴露在不安全的環(huán)境中,很容易被租戶或用戶發(fā)現(xiàn)。這種情況下,他們要對監(jiān)控軟件實施破壞也相對容易些。而將監(jiān)控軟件安裝在虛擬機外部,則不容易被攻擊者發(fā)現(xiàn)。由于虛擬機監(jiān)視器將虛擬機隔離成不同的域,每個虛擬機在自己的域中運行,相互不會影響。即使攻擊者破壞了虛擬機的操作系統(tǒng),也不容易破壞監(jiān)控軟件,更不用說威脅到整個云平臺。對于虛擬機內部來說,監(jiān)控完全是透明的。因為監(jiān)控軟件處于虛擬機之外,而且不需要對虛擬機操作系統(tǒng)進行修改,所以虛擬機內部程序的運行就像在物理機上一樣。監(jiān)控軟件利用虛擬機監(jiān)視器對外提供的接口獲取虛擬機中的信息,不影響虛擬機內部程序的運行。由于虛擬機監(jiān)視器提供的隔離性,虛擬機內部程序也不會影響到監(jiān)控程序。監(jiān)控得到的數(shù)據(jù)可以為數(shù)字取證提供更準確的證據(jù)。數(shù)字取證的一個重要手段就是獲取系統(tǒng)的內存鏡像,內存鏡像能夠反映出機器完整的運行狀態(tài)。在傳統(tǒng)的監(jiān)控方法中,監(jiān)控軟件的運行需要占用內存空間,得到的內存鏡像中也就存有監(jiān)控軟件的信息。而虛擬機自省的監(jiān)控方法是從虛擬機外部來監(jiān)控虛擬機,虛擬機中的內存是虛擬機獨立使用的。所以在獲取的內存鏡像中只會有虛擬機內部的信息,而不會有其他無關信息。監(jiān)控內容采用多種監(jiān)控粒度相結合。目前的監(jiān)控研究存在監(jiān)控內容的單一化,即只關注于監(jiān)控的某一方面,如只對進程進行監(jiān)控。這種監(jiān)控沒有把相關的一系列動作聯(lián)系起來,不利于推斷服務的行為。本文結合進程監(jiān)控、模塊監(jiān)控、內存操作監(jiān)控等,盡可能完整地重現(xiàn)服務事件。對虛擬機監(jiān)視器不需要做過多修改。大多數(shù)虛擬機監(jiān)控的研究對虛擬機監(jiān)視器本身有很大的改動。這種改動對于虛擬機監(jiān)視器的依賴過高,將不利于虛擬機監(jiān)視器的升級。所以本文的研究不需要對虛擬機監(jiān)視器做過多的修改,而是利用虛擬機監(jiān)視器本身具有的接口,以保持低的耦合性。本文研究了構建面向服務監(jiān)控的可控云中涉及到的關鍵技術,具體工作主要有以下幾個方面。本文對虛擬機的運行時環(huán)境進行完整性度量。檢測程序或者文件是否遭到篡改的方法是通過完整性來進行的。傳統(tǒng)的完整性度量方法是在被度量系統(tǒng)中安裝度量軟件。當程序或文件被加載到內存中時度量軟件對其進行完整性度量。但是攻擊者一旦成功入侵系統(tǒng)后,可能破壞系統(tǒng)里的完整性度量軟件。針對這個問題,本文提出了基于虛擬機自省的完整性度量方法,從虛擬機外部對虛擬機中的程序進行完整性度量,達到度量軟件與被度量系統(tǒng)隔離的效果。而且該方法采用的是掃描的方式,有別于采用系統(tǒng)調用攔截的方式,避免帶來較大的性能開銷。實驗結果表明該方法在性能方面優(yōu)于采用系統(tǒng)調用攔截的方式。在UnixBench測試中,本文的完整性度量在Execl Throughput測試、Process Creation測試、Shell Scripts(8 concurrent)測試引入負載分別是0.22%、3.62%、1.30%,均低于HIMA引入的負載值。本文對虛擬機的非篡改型攻擊進行檢測。完整性度量能夠檢測程序是否遭到篡改,但是還有一些攻擊是不會篡改程序的。本文研究了這類非篡改型攻擊,具體針對二進制代碼注入攻擊、數(shù)據(jù)操縱攻擊、命令注入攻擊,并設計了檢測該類攻擊的方法。針對二進制代碼注入,本文采用系統(tǒng)調用的檢測方式。針對數(shù)據(jù)操縱,本文采用內存寫操作的監(jiān)控方式。針對命令注入,本文采用特殊字符串掃描的方式。實驗結果表明該方法能夠有效檢測出非篡改型攻擊,而且引入的性能代價較低。如數(shù)據(jù)庫測試中,系統(tǒng)調用監(jiān)控引入的性能代價在2%以下,數(shù)據(jù)寫監(jiān)控引入的性能代價在3%以下。本文對虛擬機的行為進行記錄與重放。惡意軟件分析方法將可疑軟件放入分析系統(tǒng)中,通過細粒度的監(jiān)控方式記錄下惡意軟件的行為,如系統(tǒng)調用級別的記錄、指令級別的記錄。但是對于某些具有非確定性事件發(fā)生的行為,這種分析方法則不夠精確。本文設計了虛擬機行為的記錄與重放架構,結合硬件虛擬化功能,避免采用動態(tài)二進制轉換所引入的性能代價。記錄軟件設置在虛擬機監(jiān)視器中,以降低頻繁的系統(tǒng)切換引入的性能代價。在記錄時,該架構只記錄重放所需的信息和非確定性事件,不記錄確定性事件。實驗結果表明本文的方法能夠對I/O事件進行記錄和重放,而且性能測試中引入的代價較低。在UnixBench測試中,總體上記錄過程引入的性能開銷還是比較小的,負載最高的兩項是Execl吞吐率和進程創(chuàng)建,引入負載分別是2.55%和2.62%。本文對分布式虛擬機的狀態(tài)進行檢測。Rootkit攻擊使得攻擊者能夠隱藏于系統(tǒng)之中,并且在系統(tǒng)中安裝后門。攻擊者使用Rootkit能夠修改內核數(shù)據(jù),對系統(tǒng)造成嚴重威脅。另外,云平臺具有大規(guī)模的特性,運行著許多虛擬服務器。單一的檢測方式滿足不了大規(guī)模的檢測需求,需要一個統(tǒng)一的檢測平臺來監(jiān)控云平臺的服務。針對以上問題,本文設計了分布式的虛擬機狀態(tài)檢測架構。在日志記錄時,分別設計了用戶態(tài)日志記錄程序和內核態(tài)用戶記錄程序。
【關鍵詞】：云計算 虛擬機 監(jiān)控 安全 入侵檢測 運行環(huán)境
【學位授予單位】：北京郵電大學
【學位級別】：博士
【學位授予年份】：2015
【分類號】：TP309;TP302
【目錄】：

• 摘要4-9
• ABSTRACT9-19
• 第一章 綜述19-33
• 1.1 研究目的及意義19-20
• 1.2 相關工作20-23
• 1.3 主要研究內容23-30
• 1.4 本文主要貢獻30-32
• 1.5 本文結構安排32-33
• 第二章 基于虛擬機自省的運行環(huán)境完整性度量技術33-55
• 2.1 引言33-35
• 2.2 相關工作35-38
• 2.3 系統(tǒng)設計38-44
• 2.3.1 完整性分析38
• 2.3.2 威脅模型38-39
• 2.3.3 體系結構39-41
• 2.3.4 地址轉換41-42
• 2.3.5 完整性度量42-44
• 2.4 實現(xiàn)44-45
• 2.5 實驗及評價45-54
• 2.5.1 有效性實驗46-47
• 2.5.2 性能實驗47-54
• 2.6 結論54-55
• 第三章 針對虛擬機的非篡改型攻擊檢測技術55-78
• 3.1 引言55-57
• 3.2 相關工作57-58
• 3.3 系統(tǒng)設計58-68
• 3.3.1 威脅模型58-59
• 3.3.2 攻擊分析59-63
• 3.3.3 現(xiàn)有檢測方式63-64
• 3.3.4 架構64-67
• 3.3.5 數(shù)據(jù)記錄67-68
• 3.3.6 數(shù)據(jù)分析68
• 3.4 實現(xiàn)68
• 3.5 實驗及評價68-77
• 3.5.1 有效性實驗69-73
• 3.5.2 性能實驗73-77
• 3.6 結論77-78
• 第四章 虛擬化惡意行為記錄與重放技術78-93
• 4.1 引言78-81
• 4.2 相關工作81-83
• 4.3 系統(tǒng)設計83-88
• 4.3.1 威脅模型83
• 4.3.2 鎖定考慮83-84
• 4.3.3 硬件支持84
• 4.3.4 架構84-86
• 4.3.5 中斷記錄和重放86-87
• 4.3.6 I/O記錄和重放87-88
• 4.4 實現(xiàn)88-89
• 4.5 實驗及評價89-92
• 4.5.1 有效性實驗89-90
• 4.5.2 性能實驗90-92
• 4.6 結論92-93
• 第五章 分布式虛擬機狀態(tài)檢測與監(jiān)控分析技術93-109
• 5.1 引言93-95
• 5.2 相關工作95-97
• 5.3 系統(tǒng)設計97-103
• 5.3.1 威脅模型97-98
• 5.3.2 虛擬機日志記錄架構98
• 5.3.3 用戶空間日志記錄98-100
• 5.3.4 內核空間記錄100-102
• 5.3.5 云平臺日志收集與分析架構102-103
• 5.4 實現(xiàn)103-104
• 5.5 實驗及評價104-108
• 5.5.1 有效性實驗105-107
• 5.5.2 性能實驗107-108
• 5.6 結論108-109
• 第六章 總結與展望109-112
• 6.1 工作總結109-110
• 6.2 研究展望110-112
• 參考文獻112-120
• 致謝120-121
• 攻讀學位期間發(fā)表的學術論文目錄121-122
• 攻讀學位期間參與的科研項目122

  本文關鍵詞：面向服務監(jiān)控的可控云關鍵技術研究，由筆耕文化傳播整理發(fā)布。

本文編號：359804