收藏本站
《武汉大学》 2018年
收藏 | 手机打开
二维码
手机客户端打开本文

云计算环境下跨虚拟机侧信道的攻击、检测与防御

刘维杰  
【摘要】:云计算的概念自提出以来,已经过去十多年。目前,国内外的商用云计算业务都己进入蓬勃发展的重要时期,云计算也越来越多地被视为存储数据和部署服务的IT基础设施。然而,由于云计算的商业服务模式,导致云平台天生就难以抵抗共享计算资源所带来的安全威胁。其中,跨虚拟机侧信道威胁首当其冲。由于云环境具有虚拟隔离、边界模糊、租户共享等特点,允许其上的同驻虚拟机共享物理主机的大部分资源,因此恶意的虚拟机可通过侧信道攻击破坏云平台中数据的机密性和资源的可用性,导致严重的安全问题,对大规模企业用户和普通云租户都会造成极大危害。本文以保护云平台虚拟机不受时间信道攻击为主线,阐述了相关研究背景和基础知识;重点从跨虚拟机侧信道攻击出发,研究商用云平台中虚拟机同驻方案,以指导之后的避免同驻的研究;利用虚拟化技术与事件关联算法对平台中存在的时间信道进行检测;利用虚拟机自省技术和CPU硬件特性对侧信道威胁进行定位;最后利用CPU硬件特性对跨虚拟机的时间信道进行防御。本文包含跨虚拟机侧信道一系列问题的充分阐述,是对云计算、虚拟化安全领域进行了重要补充。具体内容包括:(1)本文提出了适用于云环境的侧信道攻击构建和优化方案。基于微处理器架构的时间侧信道在多用户计算机系统中十分常见。不过在嘈杂的生产云环境中,虚拟机迁移、虚拟处理器的调度以及虚拟化管理器的活动对时间侧信道增加了许多噪声,对信道构建和精确同步带来挑战。本文研究了两种典型的跨虚拟机时间信道:基于最外层缓存的和基于内存总线的侧信道,并给出其构建与优化方案。此方案能够克服这两种虚拟化环境中信道构建的困难,将信道载体所具备的特性充分利用,大大提升了信道传输正确率,在实际云环境中可以用于攻击。(2)本文提出了一种普适的虚拟机同驻方案。如果外部攻击者意图实施针对远程云平台的攻击,则它必须首先完成与目标虚拟机的同驻。通过深入研究某云的商业策略和服务协议和一系列实验,本文对某云的内部部署结构进行了探测,提出了一种基于后验概率的自动化虚拟机洪泛策略。通过该策略能够得出洪泛虚拟机群的同驻情况与目标虚拟机分布到各台物理主机的概率,以便于减少之后所需同驻攻击的实验成本和开销,能够对攻击者的下一步攻击作出指导。本同驻方案结合基于隐蔽信道的虚拟机同驻检测方法和自动化虚拟机洪泛策略,在国内知名商业云平台上进行了实验验证。作为一种典型的针对云平台的恶意行为,本方案通用性强,误检率不超过0.5%,同时鲁棒性强,潜在威胁极大,亟需各大云服务提供商重视与防范。(3)本文从资源共享的角度,提出了一种云计算环境下的隐蔽信道通用检测方案。隐蔽信道是安全信息系统的重要威胁,且普遍存在于操作系统中。云计算环境中的隐蔽信道形式更加多样且难以被发现。因此本文构建了针对隐信道的普适性的隐蔽信道检测模型,使其既可检测系统级的隐蔽信道,也可以检测进程级的隐蔽信道。从时钟、事件和隐蔽信道之间的两两关系来看,事件显然具备作为传输秘密信息的能力,事件关联分析将是隐蔽信道检测本质上的有效解决方案。本文充分考虑了虚拟化架构与普通计算环境的区别,通过事件记录机制探寻云环境下隐蔽信道的特征,结合共享资源矩阵法遍历和搜索可能存在的隐蔽信道。同时,所设计的检测方案充分考虑了虚拟化环境的特点,在信息收集阶段采用了穿透性较强的方式来收集必要的事件日志信息和安全策略信息;改进了原有的共享资源矩阵法,对事件日志和安全配置文件进行预处理,减少了构建共享资源矩阵工作量;最后根据实际应用场景,设计了仿真实验,以此验证了本文所提方案的优势。(4)本文提出一种侧信道威胁定位方案。为了克服云环境跨虚拟机侧信道威胁定位方法匮乏、现有威胁定位技术不精确等挑战,本文设计了基于硬件特性和虚拟机自省的定位框架来实时的检测和定位云中存在的跨虚拟侧信道攻击。现有CPU中包含许多用于性能分析的硬件特性,本文将其利用,对大量侧信道威胁进行了学习。通过测量它们在性能方面(如Cache命中,分支转移,运行时间)的表现,多维度地分析了不同的侧信道,并定制了不同的策略来进行基于特征的检测。同时,利用分支记录器LBR的精确地址信息,通过引入虚拟机自省技术,本文能够将侧信道威胁的元数据获取并进行语义翻译。在此基础上,本文结合二进制内存分析技术,能够以最小的先验知识,还原出侧信道威胁的精确地址,从而进行攻击溯源。本方案将检测和定位有机结合,利用Hypervisor已有的信息传递机制,构建了信息分析和分发的快速通道,解决了云环境下虚拟机信息收集困难的挑战。其原型系统尽可能地借助已有架构,将虚拟机自省工具和内存分析工具集成在一起,能够快速透明地找到内存中的关键恶意代码。本方案率先解决了虚拟机中侧信道攻击定位困难的问题,对虚拟机审计提供了帮助。(5)本文提出了一种侧信道防护方法。随着新的虚拟机侧信道的出现,研究人员提出了一些针对性强的方法来缓解侧信道威胁。非随机地将敏感操作的运行时间填充成固定时间或固定时间的倍数也许是一种较好的方式。然而,现有的缓解方法引入了很多刻意的时间延迟,并且要求用户始终忍受这种性能损失。这些方法一方面会篡改时钟,影响许多依赖于细粒度时钟源的应用程序的运行。另一方面,长时间的修改系统时钟也会对系统性能造成极大影响。本文利用硬件虚拟化扩展技术,提出一种轻量而有效的方法,以实现云平台的整体侧信道防护。根据客户虚拟机所提出的要求,允许虚拟机动态地请求模糊时钟源;通过Intel VT-X提供的RDTSC指令截获功能,来模拟虚拟的时钟源并提供给用户;通过新颖的方式重载了 Intel CPU中的VMFUNC指令接口,允许虚拟机上的应用程序向Hypervisor发送按需的请求,以“恰到好处”地程度来模糊TSC的最低n位,以阻止其他恶意的同驻虚拟机对时间进行精确测量。本方案同样具有通用性与极强的可用性。本文以所实现的侧信道攻击为例,展示了本方案对多个隐蔽信道的防御效果,同时得出了在这些攻击场景中客户虚拟机的TSC值应该被模糊的程度。在性能分析方面,本文对三种不同工作负载的实验表明,本方案在加密应用中的额外开销很小;并且在云环境中最为普遍的Web服务器应用中,具有比现有其他防御方法更低的性能开销。总而言之,本文从跨虚拟机侧信道的攻击、检测和防御等多个方面对这一云环境中的新型威胁作了系统性的研究,对攻防两端的方法均作出了创新性的贡献。通过结合处理器硬件特性与虚拟化技术,以通用性和透明性为出发点,提出了对跨虚拟机侧信道检测、定位和防御方案,为该方面问题的解决提供了新思路。本文是对现阶段云计算安全和虚拟化安全研究的进一步丰富和创新,对增强云平台的安全性有重要意义。
【学位授予单位】:武汉大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP309;TP302

手机知网App
【参考文献】
中国期刊全文数据库 前4条
1 沈晴霓;李卿;;云计算环境中的虚拟机同驻安全问题综述[J];集成技术;2015年05期
2 余思;桂小林;张学军;林建财;王君飞;;云环境中基于cache共享的虚拟机同驻检测方法[J];计算机研究与发展;2013年12期
3 林闯;苏文博;孟坤;刘渠;刘卫东;;云计算安全:架构、机制与模型评价[J];计算机学报;2013年09期
4 王丽娜;高汉军;刘炜;彭洋;;利用虚拟机监视器检测及管理隐藏进程[J];计算机研究与发展;2011年08期
【共引文献】
中国期刊全文数据库 前10条
1 许勇;鹿传国;杨剑伟;张磊;;基于云计算的后勤安全风险管理信息系统的构建[J];军事经济研究;2016年10期
2 袁荣成;;技工院校计算机教学开设云计算安全机制研究[J];河南科技;2015年21期
3 许捷;;云计算的安全架构、机制和模型评价[J];电脑知识与技术;2015年23期
4 王希哲;崔萌;;云服务支持下学习云空间的构建策略及系统实现[J];教育信息技术;2015年12期
5 姚文彪;;论“云X”新词族特征、词典收录及其形成机制[J];贵州工程应用技术学院学报;2015年06期
6 钟猛;;基于任务聚类策略的云计算资源调度研究[J];科技广场;2015年11期
7 唐国纯;;基于多层次模糊集的云安全评估模型[J];信息技术;2015年11期
8 章国材;;气象云建设的研究与思考[J];气象与环境科学;2015年04期
9 吴蕾;张进军;;基于云计算的计算机教学实训平台设计与研究[J];江汉大学学报(自然科学版);2015年05期
10 张巍巍;;基于SOA的高可消费性商业分析平台研究[J];电子世界;2015年20期
【二级参考文献】
中国期刊全文数据库 前10条
1 王于丁;杨家海;徐聪;凌晓;杨洋;;云计算访问控制技术研究综述[J];软件学报;2015年05期
2 余思;桂小林;张学军;林建财;王君飞;;云环境中基于cache共享的虚拟机同驻检测方法[J];计算机研究与发展;2013年12期
3 俞能海;郝卓;徐甲甲;张卫明;张驰;;云安全研究进展综述[J];电子学报;2013年02期
4 黄汝维;桂小林;余思;庄威;;云环境中支持隐私保护的可计算加密方法[J];计算机学报;2011年12期
5 王永吉;吴敬征;丁丽萍;曾海涛;;一种基于并发冲突间隔时间的隐蔽信道检测方法[J];计算机研究与发展;2011年08期
6 钱玉文;赵邦信;孔建寿;王执铨;;一种基于Web的可靠网络隐蔽时间信道的研究[J];计算机研究与发展;2011年03期
7 冯登国;张敏;张妍;徐震;;云计算安全研究[J];软件学报;2011年01期
8 傅建明;乔伟;高德斌;;一种基于签名和属性的可执行文件比较[J];计算机研究与发展;2009年11期
9 白光冬;郭耀;陈向群;;一种基于交叉视图的Windows Rootkit检测方法[J];计算机科学;2009年08期
10 陈康;郑纬民;;云计算:系统实例与研究现状[J];软件学报;2009年05期
【相似文献】
中国期刊全文数据库 前10条
1 ;瑞萨电子虚拟机软件包助力集成式驾驶舱和联网汽车设备[J];世界电子元器件;2018年06期
2 王来丽;;运用VMware虚拟机实现windows2008网络服务的课堂教学[J];数码世界;2017年09期
3 钮立辉;陈颖;;虚拟机软件在中职网络教学和实训中的应用[J];吉林工程技术师范学院学报;2012年04期
4 虚拟人;;神奇的虚拟机软件[J];软件;2002年12期
5 阮多;杨英奎;历超;;浅谈在虚拟机上配置闪电服务器的方法[J];现代化农业;2018年01期
6 武仁杰;黄荣盛;;虚拟机和多媒体教学软件的综合应用研究[J];河北北方学院学报(自然科学版);2005年06期
7 吴放;虚拟机软件专题测试 运筹帷幄之间[J];新电脑;2003年03期
8 李广智;;引入虚拟机软件构建计算机实训环境的尝试[J];安徽教育;2008年09期
9 贾林可;熊文渝;;基于云平台的虚拟机实验室建设研究[J];技术与市场;2019年03期
10 江平;;虚拟机及其在计算机教学中的应用[J];四川工程职业技术学院学报;2006年05期
中国重要会议论文全文数据库 前3条
1 钱凌;;虚拟机在高中网络教学实验中的应用[A];中学教育科研2018年第1期(总第224期)[C];2018年
2 李文远;;虚拟机在世界技能大赛竞赛环境中的搭建[A];中国职协2016年度优秀科研成果获奖论文集(学校二等奖)[C];2016年
3 王轶;陈俊辉;;使用VPC2007搭建企业应用和测试平台[A];2007第二届全国广播电视技术论文集2(下)[C];2007年
中国重要报纸全文数据库 前9条
1 黄树;实战虚拟机软件[N];中国电脑教育报;2004年
2 ;虚拟化市场增长近五成[N];网络世界;2006年
3 区阳;微软推出首款虚拟机软件[N];中国计算机报;2003年
4 梁志平;烦人的Windows Installer[N];中国电脑教育报;2003年
5 田梦 秦钢;桌面虚拟化:又一个必争之地[N];计算机世界;2007年
6 文/PC 百年 纵横江湖;WinXP时代,重拾老游戏的回忆[N];中国计算机报;2005年
7 山东招远一中 牟晓东;让数字实验“嫁”进Win10平台[N];电子报;2018年
8 卿晨;虚拟机为网络教学收紧成本口袋[N];中国电脑教育报;2007年
9 刘丽丽;虚拟化技术:增长势头迅猛[N];计算机世界;2006年
中国博士学位论文全文数据库 前1条
1 刘维杰;云计算环境下跨虚拟机侧信道的攻击、检测与防御[D];武汉大学;2018年
中国硕士学位论文全文数据库 前10条
1 王欣;基于云平台的虚拟机部署优化问题研究[D];东北大学;2017年
2 张宇;KVM虚拟机风险评估的研究与仿真实现[D];东北大学;2015年
3 范成龙;基于QEMU的虚拟机逃逸关键技术研究[D];郑州大学;2018年
4 何延彰;弹性云平台的虚拟资源调度技术研究[D];浙江大学;2018年
5 宋畅达;云计算中虚拟机安全与数据保护研究[D];东北师范大学;2018年
6 杨瑞;云环境中基于虚拟机自省的虚拟机数字取证技术研究与实现[D];国防科学技术大学;2017年
7 姜巍;基于OpenStack云虚拟机的灾备技术研究与实现[D];湖南大学;2015年
8 贾坤荥;云计算中基于软件定义网络的虚拟机迁移研究[D];合肥工业大学;2018年
9 闫映东;云平台中的虚拟机异常检测技术研究与应用[D];成都信息工程大学;2018年
10 陈昊;OpenStack云平台的虚拟机资源调度技术的研究[D];成都信息工程大学;2018年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026