金鑫
- 作品数:12 被引量:25H指数:3
- 供职机构:四川大学计算机学院更多>>
- 发文基金:国家自然科学基金中央高校基本科研业务费专项资金更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于影子内存的无代理虚拟机进程防护被引量:3
- 2018年
- 为了提高虚拟机中进程的安全性,避免系统调用表SSDT和系统调用执行流被恶意挂钩,提出一种基于影子内存的无代理虚拟机进程防护方案。首先利用VMM的高特权级在虚拟机的非换页内存区透明构建一块影子内存,通过向影子内存透明注入SSDT和跳转函数,构建全新SSDT和系统调用执行流,保证SSDT和系统调用执行流的完整性。通过主动挂钩影子内存中的SSDT,利用硬件虚拟化的自动陷入机制检测进程的敏感行为,在VMM中过滤针对受保护进程的非法操作,实现无代理的进程防护。实验结果表明,该方案可以有效地对虚拟机中指定进程进行防护并过滤大部分的rootkit攻击,对虚拟机性能的影响在3%以下。
- 陈兴蜀陈蒙蒙金鑫
- 关键词:虚拟机VMM
- 云环境基于系统调用向量空间的进程异常检测被引量:2
- 2019年
- 传统主机领域下基于系统调用的入侵检测方案,往往针对单一特权进程的运行行为进行监控,而在云计算环境下引入了更多的安全风险,采用主机入侵检测方案难以有效检测虚拟机进程异常行为,对此,提出了一种基于系统调用向量空间的虚拟机进程行为检测模型.模型采用了无代理监控技术透明的采集虚拟机进程系统调用数据,引入了TF-IDF(term frequency-inverse document frequency)算法思想为进程系统调用数据进行加权,用于区分租户虚拟机中运行的不同服务,识别异常进程行为.此外,为优化检测算法效率,设计了行格式存储法(compressed sparse row,CSR)稀疏矩阵与KD树(k-dimension tree)相结合的存储策略.最后在KVM(kernel-based virtual machine)虚拟化平台下设计并实现了VMPBD(virtual machine process behavior detecting)原型系统,针对Linux与Windows虚拟机进行了功能测试和性能测试.实验结果表明:VMPBD能有效检出虚拟机进程异常行为,检测误报率与系统性能开销在可接受范围以内.
- 陈兴蜀陈兴蜀金鑫金鑫
- 关键词:虚拟化异常检测向量空间
- KVM Hypervisor安全能力增强技术研究被引量:1
- 2017年
- 为了增强基于内核的虚拟机(kernal-based virtual Machine,KVM)Hypervisor的安全能力,提出一种基于多脆弱点的多层次安全能力增强技术,采用Hypervisor类型隐藏、VMX扩展指令监控、ioctl系统调用交互接口防护、KVM完整性动态度量以及防卸载技术增强KVM Hypervisor的安全能力,并及时发现基于接口的未知攻击。在KVM全虚拟化环境下实现了Hypervisor安全加固的原型系统安全KVM(Security-KVM,Sec-KVM)。实验结果表明:Se-KVM能够隐藏Hypervisor的类型,增强KVM Hypervisor的抗攻击能力,保护KVM和ioctl系统调用接口的完整性,防止攻击扩展,并且能够及时发现基于KVM服务接口的未知攻击。
- 赵丹丹陈兴蜀金鑫
- 关键词:虚拟机监视器KVM
- 可信链跨物理主机迁移及快速恢复方法被引量:3
- 2016年
- 针对现有TPM-vTPM PCR映射技术方案的缺点,提出了一种新的从TPM到vTPM的可信映射方法.在此基础上,建立从硬件TPM到vTPM再到客户机操作系统和客户机应用程序的可信链,提出可信虚拟机跨物理主机迁移及可信链快速恢复的方法,分析了可信链迁移方案中的关键技术,开发了原型系统对该方案进行了技术实现.与现有方案相比,本文方案具有易于实现,易于扩展及适应可信链跨物理主机迁移及快速恢复的特点.最后,分析了实现该原型系统时涉及到的关键技术,并分析了该方法的应用前景.
- 金鑫陈兴蜀
- 关键词:可信计算云计算
- 基于进程生命周期的虚拟机隐藏进程检测技术
- 2017年
- 为了解决目前虚拟机隐藏进程检测方案高能耗、检测不全的问题,提出一种基于进程生命周期的隐藏进程检测系统(HPro Dectector)。首先利用虚拟机监视器(VMM)的高特权级和系统自身的回调机制在虚拟机非换页内存区构建一份透明内存区并注入回调函数硬编码,通过回调函数注册模块对进程创建、终止过程注册回调。虚拟机内部进程的创建/终止事件会触发回调函数执行,利用硬件虚拟化的超级调用机制下发目标进程相关信息至事件处理模块,维护真实进程视图。视图分析模块结合真实视图和当前视图进行交叉分析,获取当前隐藏的进程信息。利用多种样本对系统进行实验CART:HPro Dectector在检测功能上优于传统基于线程调度和基于遍历进程链表方案。实验结果表明HPro Dectector可以准确地分析出当前隐藏进程,且具有更低的性能损耗。
- 陈蒙蒙陈兴蜀金鑫
- 关键词:回调函数虚拟机监视器生命周期
- 基于虚拟机IO序列与Markov模型的异常行为检测被引量:6
- 2018年
- 为检测虚拟机内部的IO异常行为,及时发现已知和未知的虚拟机逃逸攻击,基于硬件辅助虚拟化技术,该文提出了一种基于虚拟机IO序列的异常检测方法,包括:提出了一种异步采集技术高效采集虚拟机IO序列;建立了虚拟机IO序列与虚拟机内部进程的映射关联关系,以细粒度描述虚拟机自身IO行为;提出了一种基于双层Hash表的虚拟机IO短序列生成算法,并采用Markov链模型检测异常虚拟机IO序列。在KVM(Kernel-based virtual machine)虚拟化环境下设计并实现原型系统VMDec(virtual machine detecting),通过实验评测了VMDec系统的功能和性能。实验结果表明:VMDec能有效检测出虚拟机内部基于IO的恶意攻击以及已知和未知的虚拟机逃逸攻击,且检测误报率和性能开销在可接受范围内。
- 陈兴蜀陈佳昕赵丹丹金鑫
- 关键词:MARKOV链
- 基于硬件虚拟化的虚拟机进程代码分页式度量方法被引量:3
- 2018年
- 云环境下恶意软件可利用多种手段篡改虚拟机(VM)中关键业务代码,威胁其运行的稳定性。传统的基于主机的度量系统易被绕过或攻击而失效,针对在虚拟机监视器(VMM)层难以获取虚拟机中运行进程完整代码段并对其进行完整性验证的问题,提出基于硬件虚拟化的虚拟机进程代码分页式度量方法。该方法以基于内核的虚拟机(KVM)作为虚拟机监视器,在VMM层捕获虚拟机进程的系统调用作为度量流程的触发点,基于相对地址偏移解决了不同版本虚拟机之间的语义差异,实现了分页式度量方法在VMM层透明地验证虚拟机中运行进程代码段的完整性。实现的原型系统——虚拟机分页式度量系统(VMPMS)能有效度量虚拟机中进程,性能损耗在可接受范围内。
- 蔡梦娟陈兴蜀金鑫赵成殷明勇
- 基于VMI的虚拟机远程证明方案被引量:3
- 2018年
- 可信计算组织(TCG,trusted computing group)提出的虚拟机远程证明方案可以为云计算平台提供虚拟机完整性验证服务,而直接使用TCG提出的方案性能较低,并且会受到布谷鸟攻击的威胁。利用虚拟机自省技术(VMI,virtual machine introspection)设计了新的虚拟机远程证明方案。通过在虚拟机监视器(VMM,virtual machine monitor)中获取虚拟机远程验证证据的方法消除在虚拟机内执行布谷鸟攻击的路径,利用物理可信平台模块(TPM,trusted platform module)保证虚拟机远程验证证据的完整性,减少了身份证明密钥(AIK,attestation identity key)证书的产生数量,降低了私有证书颁发机构的负载。实验表明,方案可以有效验证虚拟机的完整性状态,在虚拟机数量较多的情况下,性能优于TCG提出的虚拟机远程证明方案。
- 王伟陈兴蜀兰晓金鑫
- 关键词:可信平台模块
- 基于硬件虚拟化的虚拟机文件完整性监控
- 2017年
- 为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控(OFM)系统。该系统以基于内核的虚拟机(KVM)作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。
- 赵成陈兴蜀金鑫
- 关键词:完整性硬件虚拟化
- 针对虚拟可信平台模块的国密算法扩展技术研究被引量:4
- 2020年
- 为了规避使用外国密码算法带来的法律风险,满足中国《商用密码管理条例》的合规性要求,响应网络空间安全的自主可控要求,促进虚拟可信计算技术在国内云计算业务的大规模应用,本文对虚拟可信平台模块(virtual trusted platform module,vTPM)和虚拟机信任链相关组件添加了对中国国家商用密码算法(国密算法)的支持。首先,在vTPM中添加对密码算法工具包GmSSL(GM/T secure sockets layer)中散列密码算法(SM3)和对称密码算法(SM4)的调用接口,并利用GmSSL的大数运算模块实现国密算法中的非对称密码算法(SM2)的调用接口,从而为上层应用提供基于国密算法的可信计算功能。其次,在虚拟机信任链相关组件中添加SM3算法的实现代码,达成建立基于国密算法的虚拟机信任链的目标。最后,验证vTPM中调用接口的正确性和建立的虚拟机信任链的有效性,对比基于SM3算法和SHA-1算法虚拟机信任链的虚拟机开机时间。实验结果表明,添加的调用接口正确且有效,并且和基于SHA-1算法虚拟机信任链的虚拟机相比,基于SM3算法虚拟机信任链的虚拟机开机时间只增加3%,在安全性提升的同时其性能损耗在可接受范围。
- 陈兴蜀蒋超王伟王伟兰晓
- 关键词:云计算可信计算
