多租户云中内存共享型隐蔽信道的检测防御机制研究

摘要

为了提高资源利用率，减少重复内存占用，多租户云平台中引入了各种形式的内存共享机制。在该机制的作用下，不同虚拟机之间内容相同的内存页在物理内存中以同一个COW（Copy-On-Write）页形式存在。然而，一种基于共享内存的隐蔽信道可以通过跨虚拟机的共享内存页编码并传递信息，破坏多租户云中虚拟机之间的隔离，进而窃取客户虚拟机中的隐私数据。由于该类型隐蔽信道恶意程序能够以普通用户权限在客户虚拟机中运行，并且没有典型的病毒特征，传统的安全检测手段很难检测并防御该类型攻击。
　　基于虚拟机管理器的隐蔽信道检测系统 CovertInspector可以解决传统检测手段无法检测该类型隐蔽信道的问题。通过拦截高精度时钟指令并识别特殊的COW页错误序列，CovertInspector可以识别该类型隐蔽信道的活动特征，并进一步通过虚拟机进程遍历技术取得对应的恶意进程信息，达到检测并消除该类型隐蔽信道攻击的目的。同时，CovertInspector可以在保留内存共享机制的前提下，避免模糊时钟法对所有合法应用都产生影响的弊端，实现对目标恶意程序的精准防御。
　　系列功能测试和性能测试实验表明，CovertInspector能够以零误检率和零漏检率完成内存共享型隐蔽信道的检测。这种方法屏蔽了VMM（Virtual Machine Manager）和客户虚拟机的语义鸿沟，无需对上层客户虚拟机进行任何修改，具有较强的实用价值。

目录

声明

1 绪论

1.1研究背景

1.2国内外研究现状

1.3论文研究内容

1.4论文组织结构

2 内存共享型隐蔽信道的检测和防御系统的设计

2.1系统设计目标

2.2攻击模型

2.3系统架构

2.4小结

3 内存共享型隐蔽信道的检测和防御系统的实现技术

3.1云平台内存共享动态监控

3.2高精度时钟指令拦截

3.3 COW页错误识别

3.4虚拟机进程动态遍历

3.5隐蔽信道消除

3.6小结

4 系统测试与分析

4.1系统测试环境

4.2系统功能测试

4.3系统性能测试

4.4小结

5 总结及展望

致谢

参考文献

附录1 攻读硕士期间发表的论文

附录2 攻读硕士期间参与的项目

附录3 攻读硕士期间申请的专利