基于VMI的带外监测研究与实现

发布时间：2020-06-02 08:57

【摘要】：随着云计算技术的广泛应用,政府、企业和个人已将自身的大量业务及其敏感数据逐渐转移到了云端,云计算安全问题日益受到学术界和工业界的关注。目前,虚拟机自省(Virtual Machine Introspection,VMI)是解决云安全问题的关键技术之一,该技术主要在用户云平台自身内部实现,如在客户虚拟机(Guest Virtual Machine,GVM)内部、特权域、虚拟机监视器或者硬件层对GVM的各类运行状态进行监测,发现恶意攻击或异常状态,确保云平台的安全。然而,这种方式存在以下不足:一是会增加云平台的负载,干扰正常的云服务;二是只能获取有限类别的状态信息,功能单一难于扩展;三是如果云平台已经遭受攻击破坏,还会造成获取虚假信息,影响云安全监测的有效性。针对以上问题,本文提出了一种采用云计算技术基于VMI的自省云带外监测架构Cloud I(Cloud Introspection),主要研究成果如下:(1)通过对虚拟化技术和虚拟化环境下监测方法的研究,提出一种基于云探针的多源异构云状态数据获取方法。在云平台的Hypervisor/VMM层中部署多种类别的轻量级云探针,获取GVM的CPU使用率、内存使用率、虚拟内存转储文件、网络数据包以及磁盘状态等系统运行状态信息。通过多种类别的云探针,多源头抓取多种结构的云安全状态数据,扩大了监测范围。(2)通过对现有VMI技术的分析和研究,提出一种基于多桥的语义重构方法。融合多种成熟的VMI技术,将底层原始数据重构为进程、模块、注册表以及网络等高级语义信息,并与GVM内部自检结果进行跨视图对比,判断其安全状态。该方法能够得到更加完整准确的语义信息,而且单一VMI技术的缺陷不会过多影响整个语义重构过程,使得语义鸿沟的跨越更加稳定可靠,鲁棒性更高。(3)依据上述研究成果,提出采用云计算技术基于VMI的自省云带外监测架构Cloud I,在用户云中实现基于云探针的多源异构云状态数据获取方法,在第三方自省云中实现基于多桥的语义重构方法。通过云探针多源头抓取用户云中GVM多种结构的语义信息,实时同步给独立部署的第三方自省云。CloudI超越现有VMI技术只在用户云中开展相关工作,从原有用户云跳出来,建立了自省云,以云治云,既重构出更加完整准确的系统运行状态信息,又有效降低用户云的负载。(4)基于上述方法获得的多源异构云状态数据,提出云安全事件关联分析方法。通过对CloudI监测获取的CPU、内存、网络通讯、磁盘状态等多源异构信息进行综合的关联分析,获得用户云中GVM的安全状态信息,有效提升了监测发现用户云安全事件的能力。
【图文】：

市场规模,全球

第一章绪论第一章绪论背景和意义来，随着计算机硬件性能的不断提高，特别是处理器多核化和冗余计及以用户为中心的服务计算模式的到来，全世界范围内兴起了“云计算平台拥有可配置的计算资源池（包括 CPU、内存、网络、磁盘存储、供按需弹性配置、按量付费、用完即走的虚拟化资源，降低了管理复利用率。著名信息技术咨询服务公司 Gartner 在 2006 年、2007 年连拟化技术预测为未来最关键的十大 IT 技术之首[1]。近年来，全球云计长，，预计 2020 年将达到 1435 亿美元，未来增速将持续维持在 20%左

数量分布,虚拟化,环境安全,漏洞

b）虚拟化环境安全漏洞图 3-3 传统环境与虚拟化环境安全漏洞数量对比术是云计算的关键技术，虚拟化环境的安全是云计算安全的基石。1 月至 2017 年 12 月主流虚拟化技术的安全漏洞数量，如图 3-4 所图 3-4 主流虚拟化技术安全漏洞数量分布2008 2009 2010 2011 2012 2013 2014 2015 2016 20172008 2009 2010 2011 2012 2013 2014 2015 2016 2017XenKVMVmwareHyper-V
【学位授予单位】：天津理工大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08;TP274

【参考文献】