基于共享内存和气球驱动的云平台跨虚拟机隐蔽信道攻击研究

发布时间：2017-04-28 22:02

  本文关键词：基于共享内存和气球驱动的云平台跨虚拟机隐蔽信道攻击研究，，由笔耕文化传播整理发布。

【摘要】：随着信息技术的发展和成熟,计算机在人类社会生活中扮演着越来越重要的角色。计算机硬件技术的发展,不仅使高性能计算机得到了普及,也推动了许多新兴软件和技术的兴起,例如云计算。在云计算环境中,服务提供商通常使用虚拟化来最大化地利用他们的计算资源,例如：许多虚拟机运行在一个共享的物理架构上。然而,与其他虚拟机并存的特点将引发很严重的安全风险,例如：隐蔽信道攻击。这种攻击利用正常的物理资源进行信息传输并且隐藏了信息传递行为本身,所以非常难以被检测和防御。最近,攻击者能够通过搭建跨虚拟机的隐蔽信道来窃取隐私数据已经被证实。但是,由于共享资源(如：CPU缓存)的特点,现有这类攻击所窃取到的隐私数据通常是受到限制并且是粗粒度的。本文将会提出并模拟实现一种新型的隐蔽信道,该隐蔽信道基于共享内存,并且利用了IaaS云平台上流行的Balloon驱动的弱点来进行数据传输。因此,其成功率更高、传输数据量更大、危害也更严重。对于云平台上的虚拟机来说,共享内存已经成为了获取高性能可配置资源的必要手段,本文这种隐蔽信道就是利用了共享内存作为信息传递的介质。同一个物理主机上的不同虚拟机之间的内存通常是由虚拟机管理器来调控的,也就是说,在VMM管理下的内存资源通常是在不同虚拟机之间流动的。这种共享内存的流动特性再加上Balloon驱动的帮助,使得本文的这种新型隐蔽信道攻击成为可能。与目前其他跨虚拟机隐蔽信道相比,本文这种新型隐蔽信道攻击能够传递更细粒度的数据。为验证这种攻击,我们使用Xen平台进行了攻击的模拟实现,并且从三个可能影响到传输成功率的因素出发,进行了性能实验。最后,还提出了一些防御思路来抵御这种攻击。
【关键词】：隐蔽信道攻击 云计算 IaaS云服务 云安全
【学位授予单位】：南京大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.09;TP302
【目录】：

• 摘要5-6
• Abstract6-11
• 第一章 绪论11-16
• 1.1 研究背景及意义11-12
• 1.2 隐蔽信道攻击的研究现状12-13
• 1.3 本文主要工作13-15
• 1.4 本文的组织结构15-16
• 第二章 隐蔽信道攻击研究现状16-22
• 2.1 存储隐蔽信道攻击16-19
• 2.1.1 基于CPU缓存的隐蔽信道攻击17-18
• 2.1.2 基于应用或模块的隐蔽信道攻击18-19
• 2.2 时间隐蔽信道19-21
• 2.2.1 基于计算时间的隐蔽信道攻击19-20
• 2.2.2 基于CPU负载的隐蔽信道攻击20-21
• 2.3 不同隐蔽信道攻击的分析21
• 2.4 本章小结21-22
• 第三章 基于共享内存和气球驱动的跨虚拟机隐蔽信道攻击原理22-38
• 3.1 背景22-25
• 3.2 攻击模型25-26
• 3.3 基于共享内存和气球驱动的隐蔽信道攻击的设计和实现26-37
• 3.3.1 发送模块28-33
• 3.3.2 接收模块33-36
• 3.3.3 自调整模块36-37
• 3.4 本章小结37-38
• 第四章 基于共享内存和气球驱动的跨虚拟机隐蔽信道攻击模拟38-46
• 4.1 应用环境39-40
• 4.2 应用场景1：隐私数据窃取40-42
• 4.3 应用场景2：恶意数据植入42-44
• 4.4 本章小结44-46
• 第五章 基于共享内存和气球驱动的跨虚拟机隐蔽信道攻击测试和防御46-53
• 5.1 性能测试46-49
• 5.1.1 传递数据的内存占用率47
• 5.1.2 调整规则的下限47-48
• 5.1.3 除监控和客户虚拟机外的其他虚拟机实例48-49
• 5.2 防御思路49-52
• 5.2.1 删除数据源50
• 5.2.2 更改调整规则50-51
• 5.2.3 最小化可控内存范围51
• 5.2.4 采用新的安全机制51-52
• 5.3 本章小结52-53
• 第六章 总结与展望53-55
• 6.1 论文总结53-54
• 6.2 进一步工作展望54-55
• 参考文献55-59
• 致谢59-60
• 攻读硕士学位期间成果列表60-62

【相似文献】

中国期刊全文数据库 前10条

1 王永吉;吴敬征;曾海涛;丁丽萍;廖晓锋;;隐蔽信道研究[J];软件学报;2010年09期

2 张树勇;万厚冲;;基于模型的时间隐蔽信道的一种算法[J];科技风;2010年05期

3 汪婧;高能;林t燂

本文编号：333612