云计算环境下跨虚拟机侧信道的攻击、检测与防御
发布时间:2020-08-14 16:33
【摘要】:云计算的概念自提出以来,已经过去十多年。目前,国内外的商用云计算业务都己进入蓬勃发展的重要时期,云计算也越来越多地被视为存储数据和部署服务的IT基础设施。然而,由于云计算的商业服务模式,导致云平台天生就难以抵抗共享计算资源所带来的安全威胁。其中,跨虚拟机侧信道威胁首当其冲。由于云环境具有虚拟隔离、边界模糊、租户共享等特点,允许其上的同驻虚拟机共享物理主机的大部分资源,因此恶意的虚拟机可通过侧信道攻击破坏云平台中数据的机密性和资源的可用性,导致严重的安全问题,对大规模企业用户和普通云租户都会造成极大危害。本文以保护云平台虚拟机不受时间信道攻击为主线,阐述了相关研究背景和基础知识;重点从跨虚拟机侧信道攻击出发,研究商用云平台中虚拟机同驻方案,以指导之后的避免同驻的研究;利用虚拟化技术与事件关联算法对平台中存在的时间信道进行检测;利用虚拟机自省技术和CPU硬件特性对侧信道威胁进行定位;最后利用CPU硬件特性对跨虚拟机的时间信道进行防御。本文包含跨虚拟机侧信道一系列问题的充分阐述,是对云计算、虚拟化安全领域进行了重要补充。具体内容包括:(1)本文提出了适用于云环境的侧信道攻击构建和优化方案。基于微处理器架构的时间侧信道在多用户计算机系统中十分常见。不过在嘈杂的生产云环境中,虚拟机迁移、虚拟处理器的调度以及虚拟化管理器的活动对时间侧信道增加了许多噪声,对信道构建和精确同步带来挑战。本文研究了两种典型的跨虚拟机时间信道:基于最外层缓存的和基于内存总线的侧信道,并给出其构建与优化方案。此方案能够克服这两种虚拟化环境中信道构建的困难,将信道载体所具备的特性充分利用,大大提升了信道传输正确率,在实际云环境中可以用于攻击。(2)本文提出了一种普适的虚拟机同驻方案。如果外部攻击者意图实施针对远程云平台的攻击,则它必须首先完成与目标虚拟机的同驻。通过深入研究某云的商业策略和服务协议和一系列实验,本文对某云的内部部署结构进行了探测,提出了一种基于后验概率的自动化虚拟机洪泛策略。通过该策略能够得出洪泛虚拟机群的同驻情况与目标虚拟机分布到各台物理主机的概率,以便于减少之后所需同驻攻击的实验成本和开销,能够对攻击者的下一步攻击作出指导。本同驻方案结合基于隐蔽信道的虚拟机同驻检测方法和自动化虚拟机洪泛策略,在国内知名商业云平台上进行了实验验证。作为一种典型的针对云平台的恶意行为,本方案通用性强,误检率不超过0.5%,同时鲁棒性强,潜在威胁极大,亟需各大云服务提供商重视与防范。(3)本文从资源共享的角度,提出了一种云计算环境下的隐蔽信道通用检测方案。隐蔽信道是安全信息系统的重要威胁,且普遍存在于操作系统中。云计算环境中的隐蔽信道形式更加多样且难以被发现。因此本文构建了针对隐信道的普适性的隐蔽信道检测模型,使其既可检测系统级的隐蔽信道,也可以检测进程级的隐蔽信道。从时钟、事件和隐蔽信道之间的两两关系来看,事件显然具备作为传输秘密信息的能力,事件关联分析将是隐蔽信道检测本质上的有效解决方案。本文充分考虑了虚拟化架构与普通计算环境的区别,通过事件记录机制探寻云环境下隐蔽信道的特征,结合共享资源矩阵法遍历和搜索可能存在的隐蔽信道。同时,所设计的检测方案充分考虑了虚拟化环境的特点,在信息收集阶段采用了穿透性较强的方式来收集必要的事件日志信息和安全策略信息;改进了原有的共享资源矩阵法,对事件日志和安全配置文件进行预处理,减少了构建共享资源矩阵工作量;最后根据实际应用场景,设计了仿真实验,以此验证了本文所提方案的优势。(4)本文提出一种侧信道威胁定位方案。为了克服云环境跨虚拟机侧信道威胁定位方法匮乏、现有威胁定位技术不精确等挑战,本文设计了基于硬件特性和虚拟机自省的定位框架来实时的检测和定位云中存在的跨虚拟侧信道攻击。现有CPU中包含许多用于性能分析的硬件特性,本文将其利用,对大量侧信道威胁进行了学习。通过测量它们在性能方面(如Cache命中,分支转移,运行时间)的表现,多维度地分析了不同的侧信道,并定制了不同的策略来进行基于特征的检测。同时,利用分支记录器LBR的精确地址信息,通过引入虚拟机自省技术,本文能够将侧信道威胁的元数据获取并进行语义翻译。在此基础上,本文结合二进制内存分析技术,能够以最小的先验知识,还原出侧信道威胁的精确地址,从而进行攻击溯源。本方案将检测和定位有机结合,利用Hypervisor已有的信息传递机制,构建了信息分析和分发的快速通道,解决了云环境下虚拟机信息收集困难的挑战。其原型系统尽可能地借助已有架构,将虚拟机自省工具和内存分析工具集成在一起,能够快速透明地找到内存中的关键恶意代码。本方案率先解决了虚拟机中侧信道攻击定位困难的问题,对虚拟机审计提供了帮助。(5)本文提出了一种侧信道防护方法。随着新的虚拟机侧信道的出现,研究人员提出了一些针对性强的方法来缓解侧信道威胁。非随机地将敏感操作的运行时间填充成固定时间或固定时间的倍数也许是一种较好的方式。然而,现有的缓解方法引入了很多刻意的时间延迟,并且要求用户始终忍受这种性能损失。这些方法一方面会篡改时钟,影响许多依赖于细粒度时钟源的应用程序的运行。另一方面,长时间的修改系统时钟也会对系统性能造成极大影响。本文利用硬件虚拟化扩展技术,提出一种轻量而有效的方法,以实现云平台的整体侧信道防护。根据客户虚拟机所提出的要求,允许虚拟机动态地请求模糊时钟源;通过Intel VT-X提供的RDTSC指令截获功能,来模拟虚拟的时钟源并提供给用户;通过新颖的方式重载了 Intel CPU中的VMFUNC指令接口,允许虚拟机上的应用程序向Hypervisor发送按需的请求,以“恰到好处”地程度来模糊TSC的最低n位,以阻止其他恶意的同驻虚拟机对时间进行精确测量。本方案同样具有通用性与极强的可用性。本文以所实现的侧信道攻击为例,展示了本方案对多个隐蔽信道的防御效果,同时得出了在这些攻击场景中客户虚拟机的TSC值应该被模糊的程度。在性能分析方面,本文对三种不同工作负载的实验表明,本方案在加密应用中的额外开销很小;并且在云环境中最为普遍的Web服务器应用中,具有比现有其他防御方法更低的性能开销。总而言之,本文从跨虚拟机侧信道的攻击、检测和防御等多个方面对这一云环境中的新型威胁作了系统性的研究,对攻防两端的方法均作出了创新性的贡献。通过结合处理器硬件特性与虚拟化技术,以通用性和透明性为出发点,提出了对跨虚拟机侧信道检测、定位和防御方案,为该方面问题的解决提供了新思路。本文是对现阶段云计算安全和虚拟化安全研究的进一步丰富和创新,对增强云平台的安全性有重要意义。
【学位授予单位】:武汉大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP309;TP302
【图文】:
使用RDMSR指令时,MSR邋read邋bitmap相应位为0值。逡逑⑵EPTP字段64位的EPTP字段提供EPT邋PMWT表的物理地址,它的结构逡逑如图2.1所示。逡逑63逦N邋N-1逦12邋11逦7逦6逦5逦3逦2逦0逡逑Resei-ved逦EPT邋PML4T邋address逦Reserved邋D逦Mcnioiy逡逑length邋type逡逑图2.1邋EPTP字段逡逑2.1.2.3内存硬件虚拟化技术逡逑在虚拟化平台中,每个VM有自己独立的物理内存,VM本身并不知道有其他逡逑VM的存在,只认为自己独占从0到MAXPHYADDR这个范围的物理地址空间。这逡逑个原理与OS下进程独占地址空间一般无异。譬如在windows系统下,一个进程认为逡逑自己占有独立的4G内存空间,然而这个地址空间实际上是虚拟地址空间,用来隔绝逡逑每个进程对物理地址空间的访问。逡逑VMAI在设计时就应将VM私有的物理地址空间隔离,并提供地址转换功能。VAI逡逑私有的物理地址空间被称为GPA(Guest-Physical邋Address)空间,而真实平台上的物逡逑理地址空间被称为HPA(Host-Pliysical邋Address)空间。而Intel提出的EPT扩展页表逡逑(Extended-Page邋Table)使用了硬件实现了上述功能
Receiver逡逑Program邋covertly邋transfer邋information邋to邋Attacker邋(cross-platform)"逡逑图2.3云环境中的虚拟机合谋构建隐蔽信道逡逑调制信息的一方为发送方(Sender),称解调信息的一方为接收方(Receiver)。逡逑2.2.2.2侧信道威胁模型逡逑.逦Probe:逡逑*邋I?16*.逦Victim邋doing逦Attacker邋Ailing邋in邋cache逡逑Attacker邋filling邋in邋cache逦sensitive邋operations逦and邋timing邋again逡逑逦逦逦邋::逦0逡逑__疆_逦■___逡逑逦逦逦0逡逑逦^逦?逦B逡逑逦逦邋Tim']逦Caclic邋miss逡逑逦逦逦——_■邋>*—<逦Cache邋hit逡逑逦逦逦>—<逦■!逦Attacker's邋data逡逑_邋⑦□邋Victim's邋data逡逑图2.4侧信道攻击示例逡逑侧信道攻击模型相对与隐蔽信道模型更加严格。攻击者在此模型中只通过自己本逡逑身的访问时间来推断受害者对应的行为,并进一步得到一些关键信息,例如:在基于逡逑Cache的时间侧信道中,内存访问的部分地址信息,或历史内存访问的数据信息或指逡逑令信息。而这些信息之所以能够被攻击者获得都是因为侧信道与敏感操作或数据(如逡逑密钥丨之间存在极大的关联性。逡逑密码算法实现中的条件、分支语句会导致算法执行时与数据形成关联。换言之,相逡逑同算法在输入参数不同时
>—<逦■!逦Attacker's邋data逡逑_邋⑦□邋Victim's邋data逡逑图2.4侧信道攻击示例逡逑侧信道攻击模型相对与隐蔽信道模型更加严格。攻击者在此模型中只通过自己本逡逑身的访问时间来推断受害者对应的行为,并进一步得到一些关键信息,例如:在基于逡逑Cache的时间侧信道中,内存访问的部分地址信息,或历史内存访问的数据信息或指逡逑令信息。而这些信息之所以能够被攻击者获得都是因为侧信道与敏感操作或数据(如逡逑密钥丨之间存在极大的关联性。逡逑密码算法实现中的条件、分支语句会导致算法执行时与数据形成关联。换言之,相逡逑同算法在输入参数不同时,会进入不同的执行流,因此具有不同的访问时间。因此攻逡逑击者可以利用算法的执行特征推测数据。例如分组密码和公钥密码的执行通常都具有逡逑-21-逡逑
本文编号:2793274
【学位授予单位】:武汉大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP309;TP302
【图文】:
使用RDMSR指令时,MSR邋read邋bitmap相应位为0值。逡逑⑵EPTP字段64位的EPTP字段提供EPT邋PMWT表的物理地址,它的结构逡逑如图2.1所示。逡逑63逦N邋N-1逦12邋11逦7逦6逦5逦3逦2逦0逡逑Resei-ved逦EPT邋PML4T邋address逦Reserved邋D逦Mcnioiy逡逑length邋type逡逑图2.1邋EPTP字段逡逑2.1.2.3内存硬件虚拟化技术逡逑在虚拟化平台中,每个VM有自己独立的物理内存,VM本身并不知道有其他逡逑VM的存在,只认为自己独占从0到MAXPHYADDR这个范围的物理地址空间。这逡逑个原理与OS下进程独占地址空间一般无异。譬如在windows系统下,一个进程认为逡逑自己占有独立的4G内存空间,然而这个地址空间实际上是虚拟地址空间,用来隔绝逡逑每个进程对物理地址空间的访问。逡逑VMAI在设计时就应将VM私有的物理地址空间隔离,并提供地址转换功能。VAI逡逑私有的物理地址空间被称为GPA(Guest-Physical邋Address)空间,而真实平台上的物逡逑理地址空间被称为HPA(Host-Pliysical邋Address)空间。而Intel提出的EPT扩展页表逡逑(Extended-Page邋Table)使用了硬件实现了上述功能
Receiver逡逑Program邋covertly邋transfer邋information邋to邋Attacker邋(cross-platform)"逡逑图2.3云环境中的虚拟机合谋构建隐蔽信道逡逑调制信息的一方为发送方(Sender),称解调信息的一方为接收方(Receiver)。逡逑2.2.2.2侧信道威胁模型逡逑.逦Probe:逡逑*邋I?16*.逦Victim邋doing逦Attacker邋Ailing邋in邋cache逡逑Attacker邋filling邋in邋cache逦sensitive邋operations逦and邋timing邋again逡逑逦逦逦邋::逦0逡逑__疆_逦■___逡逑逦逦逦0逡逑逦^逦?逦B逡逑逦逦邋Tim']逦Caclic邋miss逡逑逦逦逦——_■邋>*—<逦Cache邋hit逡逑逦逦逦>—<逦■!逦Attacker's邋data逡逑_邋⑦□邋Victim's邋data逡逑图2.4侧信道攻击示例逡逑侧信道攻击模型相对与隐蔽信道模型更加严格。攻击者在此模型中只通过自己本逡逑身的访问时间来推断受害者对应的行为,并进一步得到一些关键信息,例如:在基于逡逑Cache的时间侧信道中,内存访问的部分地址信息,或历史内存访问的数据信息或指逡逑令信息。而这些信息之所以能够被攻击者获得都是因为侧信道与敏感操作或数据(如逡逑密钥丨之间存在极大的关联性。逡逑密码算法实现中的条件、分支语句会导致算法执行时与数据形成关联。换言之,相逡逑同算法在输入参数不同时
>—<逦■!逦Attacker's邋data逡逑_邋⑦□邋Victim's邋data逡逑图2.4侧信道攻击示例逡逑侧信道攻击模型相对与隐蔽信道模型更加严格。攻击者在此模型中只通过自己本逡逑身的访问时间来推断受害者对应的行为,并进一步得到一些关键信息,例如:在基于逡逑Cache的时间侧信道中,内存访问的部分地址信息,或历史内存访问的数据信息或指逡逑令信息。而这些信息之所以能够被攻击者获得都是因为侧信道与敏感操作或数据(如逡逑密钥丨之间存在极大的关联性。逡逑密码算法实现中的条件、分支语句会导致算法执行时与数据形成关联。换言之,相逡逑同算法在输入参数不同时,会进入不同的执行流,因此具有不同的访问时间。因此攻逡逑击者可以利用算法的执行特征推测数据。例如分组密码和公钥密码的执行通常都具有逡逑-21-逡逑
【参考文献】
相关期刊论文 前4条
1 沈晴霓;李卿;;云计算环境中的虚拟机同驻安全问题综述[J];集成技术;2015年05期
2 余思;桂小林;张学军;林建财;王君飞;;云环境中基于cache共享的虚拟机同驻检测方法[J];计算机研究与发展;2013年12期
3 林闯;苏文博;孟坤;刘渠;刘卫东;;云计算安全:架构、机制与模型评价[J];计算机学报;2013年09期
4 王丽娜;高汉军;刘炜;彭洋;;利用虚拟机监视器检测及管理隐藏进程[J];计算机研究与发展;2011年08期
本文编号:2793274
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/2793274.html
