云数据中心安全监控技术研究

发布时间：2020-08-25 11:35

【摘要】：当前的信息技术已经逐渐迈入以云计算、物联网、大数据、移动互联网为主要代表的时代,其中云计算作为其他应用的基础平台,其安全性在新的信息技术时代显得尤为重要。当前的云计算还面临着诸如虚拟机逃逸、云数据中心内部东西向流量监控困难等安全问题。为了有效保护云数据中心的安全,本文首先基于开源软件实现了虚拟机综合监控验证系统,在此基础上分别从主机、网络两个层面出发,分析和研究了在上述层面中对云数据中心实施安全监控面临的难点问题,并就关键技术进行了改进。同时,基于来自互联网的多个真实数据集,对本文中提出的新监控模型和方法进行了充分的实验评估,实验结果验证了所提出模型和方法在各个研究层面的合理性和准确性。具体内容描述如下:(1)基于开源软件实现了虚拟机综合监控验证系统本文首先利用已有的成熟方案构建了云数据中心虚拟机监控的基础框架,针对已有方案存在的问题,通过将虚拟机自省技术跟其他安全监控技术有机结合,本文实现的监控验证系统具备对虚拟机内存、网络和文件的实时监控能力。相比于已有的成熟方案,新的监控验证系统在两个地方有显著改进:首先可以在物理主机层监控虚拟机文件系统的创建、删除和修改;其次,相比于传统的监控方法,新的监控验证系统无需在虚拟机中安装代理,安全工具的隐蔽性很高,难以被攻击者探测。(2)基于虚拟机自省的API调用监控技术虚拟机层面,利用虚拟机自省技术实现隐匿的虚拟机监控,可达到系统调用级别的细粒度,具有隐蔽性高的优势,但是其性能开销较大,尤其是监控系统调用时,CPU在虚拟机和主机之间切换频繁,无法有效实现实时监控。为此,本文改进了相关工作,提出了一种进程级的虚拟机执行监控系统,一方面缩小了系统调用的监控范围,另一方面支持对用户层API调用的监控,使得结果更加全面。此外,还设计了样本注入和快照方法,可以无痕地将待分析样本注入到虚拟机中运行,并在运行完成后恢复初始状态,从而提高分析过程的自动化水平。(3)基于嵌套虚拟化的超级调用攻击检测方法针对云平台本身可能不可信的问题,提出了基于嵌套虚拟化的超级调用攻击检测方法,可以检测从虚拟机监控器层面发起的攻击和非法行为。利用硬件特性支持,包括嵌套虚拟化、扩展页表保护和中断异常实现对虚拟机监控器本身的监控,即使在虚拟机监控器被控制的情况下,我们依然能够监视属于一个虚拟机监控器上的所有虚拟机的超级调用,从而及时发现攻击行为。此外,我们还通过超级调用注入来模拟基于超级调用的攻击,并评估了该方法的性能。实验结果表明,该方法可以有效地检测出基于超级调用的攻击。(4)云数据中心的可疑流采样方法基于软件定义网络转发控制分离以及可编程的特点,实现了多层次的网络流量采样和检测模型。一方面利用正常业务流历史统计信息指导云内部的流量采样,在构建分类模型的基础上实现流的实时分类和采样,极大地提高了采样的针对性和对未知攻击的捕获能力,降低了采样的带宽开销。另一方面基于入侵检测系统的反馈实时调整采样方案,进一步提高了采样的全面性,降低了已知攻击流被漏采的概率。两者结合起来可以有效地解决云内部东西向流量的监控难题。(5)基于可疑流采样的云僵尸网络检测方法在上述采样方法的基础上针对云内P2P僵尸网络的特点提出了一种两阶段云僵尸网络检测方法,首先通过openflow控制器实时收集流统计信息检测可疑流,然后通过为可疑流分配相应的采样率实施采样,导流给深度报文检测工具进行僵尸主机的检测。实验表明其可以快速准确定位潜在的P2P僵尸主机,具有准确率高、误报率低的特点,且性能消耗在可以接受的范围内。
【学位授予单位】：国防科技大学
【学位级别】：博士
【学位授予年份】：2018
【分类号】：TP308;TP309
【图文】：

云计算具有弹性可扩展、按需使用和付费、集中管理和动态调度等优点。这对于提高计算资源的使用效率、增强可管理性具有显著效果。正因为此，企业和机构正不断的将业务往云端迁移。图1.1中的 Gatner统计数据显示，2015 年以 IaaS、PaaS 和 SaaS 为代表的典型公有云服务市场规模达到 522.4 亿美元，增速 20.6%，预计 2020 年将达到 1435.3 亿美元，年复合增长率达 22%。图 1.1 全球公有云计算市场规模1图 1.2 中国私有云计算市场规模2虽然公有云一直以较快速度发展，但是由于公有云属于托管性质，租户缺乏1 http://www.cac.gov.cn/files/pdf/baipishu/cloudcomputing2016.pdf2 http://www.caict.ac.cn/kxyj/qwfb/ztbg/201704/t20170418_2192062.htm

第 1 页图 1.2 中国私有云计算市场规模2然公有云一直以较快速度发展，但是由于公有云属于托管性质，租/www.cac.gov.cn/files/pdf/baipishu/cloudcomputing2016.pdf/www.caict.ac.cn/kxyj/qwfb/ztbg/201704/t20170418_2192062.htm

图 1.3 虚拟机安全威胁数量3.1.2.2 虚拟化软件的安全问题 2015 年发现的毒液漏洞4为代表的一系列虚拟化软件的漏洞对于云务的破坏作用非常大，可导致虚拟机逃逸（特权提升）、拒绝服务等1.4 所示，根据 CVE 漏洞库的检索，虚拟化软件的漏洞呈现出动态增近两年呈现出爆发的趋势。

【相似文献】

相关期刊论文 前10条

1 陈佳昕;;虚拟机隐藏进程检测系统设计与实现[J];现代计算机(专业版);2019年01期

2 尹学渊;陈兴蜀;陶术松;陈林;;一种无代理虚拟机进程监控方法[J];南京大学学报(自然科学);2019年02期

3 郭建伟;;灵活管理虚拟机[J];网络安全和信息化;2019年05期

4 关长杰;;巧用虚拟机维护多媒体教室计算机之我见[J];信息记录材料;2019年04期

5 王瑞宗;;浅析云计算虚拟机部署方案[J];电子世界;2019年15期

6 甘娜;;一种基于服务次数的云虚拟机资源部署算法[J];中国新通信;2017年23期

7 石岳;王春海;;快速克隆千台虚拟机[J];网络安全和信息化;2017年06期

8 顾武雄;;创建虚拟机与远程管理[J];网络安全和信息化;2017年05期

9 顾武雄;;虚拟机复制管理[J];网络安全和信息化;2018年06期

10 赵艳;王春海;;虚拟机“句柄无效”无法开机[J];网络安全和信息化;2018年09期

相关会议论文 前10条

1 陆彦琦;伍华凤;高毅;;云计算环境下虚拟机安全性分析与研究[A];中国造船工程学会电子技术学术委员会2017年装备技术发展论坛论文集[C];2017年

2 段翼真;王晓程;;可信安全虚拟机平台的研究[A];第26次全国计算机安全学术交流会论文集[C];2011年

3 沈敏虎;查德平;刘百祥;赵泽宇;;虚拟机网络部署与管理研究[A];中国高等教育学会教育信息化分会第十次学术年会论文集[C];2010年

4 陈援非;朱珍民;叶剑;;一种基于多量级虚拟机的可扩展普适计算架构[A];第四届和谐人机环境联合学术会议论文集[C];2008年

5 张健;高铖;宫良一;顾兆军;;虚拟机自省技术研究[A];第32次全国计算机安全学术交流会论文集[C];2017年

6 邓小林;;虚拟机系统资源动态分配策略[A];浙江省信号处理学会2013学术年会论文集——信号处理在海洋[C];2013年

7 丁涛;郝沁汾;张冰;;内核虚拟机调度策略的研究与分析[A];'2010系统仿真技术及其应用学术会议论文集[C];2010年

8 管庆华;叶力旋;刘凯;明月;;一种基于资源池分布式部署虚拟机的方法[A];2010电力行业信息化年会优秀论文专辑[C];2010年

9 ;瑞星研制出全球最快反病毒虚拟机[A];2010电力行业信息化年会优秀论文专辑[C];2010年

10 陈乃刚;李健;李龙;;云计算数据中心的网络带宽保证方案[A];2016电力行业信息化年会论文集[C];2016年

相关重要报纸文章 前10条

1 本报记者 冯霄霞;容器引领云计算2.0时代[N];中国信息化周报;2016年

2 南方日报驻京记者 王腾腾;网络空间安全攻防战[N];南方日报;2017年

3 冯志鹏 黄文雯 胡宇;引领架构提升 打造“云”上服务[N];国家电网报;2017年

4 刘荻 编译;虚拟机真比容器安全吗？[N];中国计算机报;2017年

5 邹铮 编译;云计算充满“僵尸”虚拟机?没什么大不了![N];网络世界;2015年

6 ;首批通过云计算产品虚拟机管理测评名单[N];中国电子报;2014年

7 本报记者 邱燕娜;如何告别虚拟机管理烦恼[N];中国计算机报;2012年

8 本报记者 李旭阳;Azul“抢滩”国内Java虚拟机市场[N];计算机世界;2012年

9 《网络世界》记者 周源;3:0!Power虚拟机完胜x86虚拟机[N];网络世界;2012年

10 本报记者 邹大斌;VMware推出新虚拟机管理工具[N];计算机世界;2011年

相关博士学位论文 前10条

1 施江勇;云数据中心安全监控技术研究[D];国防科技大学;2018年

2 张涵翠;云平台中面向虚拟机的自适应异常检测关键技术研究[D];重庆大学;2018年

3 魏亮;面向云网融合的资源调度算法及实验平台研究[D];北京邮电大学;2018年

4 张鑫彦;数据中心虚拟机放置方法的研究[D];大连理工大学;2018年

5 张留美;面向绿色云计算的虚拟机评估研究[D];西安电子科技大学;2016年

6 徐骁麟;面向多虚拟机应用的基础设施云服务性能优化机制研究[D];华中科技大学;2016年

7 丁有伟;云环境下能量高效的任务调度方法研究与应用[D];南京航空航天大学;2016年

8 胡荣东;面向能效的云计算虚拟化资源提供方法研究[D];国防科学技术大学;2015年

9 叶枫;QoS-Aware的云服务可信增强机制的研究[D];南京航空航天大学;2016年

10 郭芬;面向虚拟机的云平台资源部署与调度研究[D];华南理工大学;2015年

相关硕士学位论文 前10条

1 汪澄;基于IDEFO模型的云计算服务安全监测平台研究[D];华北电力大学(北京);2019年

2 谢海疆;代码虚拟化的反混淆技术研究[D];上海交通大学;2016年

3 孙新越;云计算环境下的动态虚拟机整合算法研究[D];东北林业大学;2019年

4 李子钰;基于KVM的虚拟机在线迁移策略研究[D];上海交通大学;2016年

5 张望;基于Paravirtual I/O解决方案的高性能I/O虚拟化研究与优化[D];上海交通大学;2018年

6 石培涛;虚拟化环境下针对Rowhammer攻击的隔离防护[D];上海交通大学;2018年

7 刘孝东;vSimilar：基于cpupool机制的高适应性虚拟机调度器增强方案[D];上海交通大学;2018年

8 雷天洋;面向数据密集计算的Java虚拟机性能分析与优化[D];上海交通大学;2016年

9 陈超;提升用户感知的容器热迁移机制研究与实现[D];华南理工大学;2019年

10 陈荣;虚拟机级别容错机制的性能分析与优化[D];上海交通大学;2018年

本文编号：2803647