云平台可信监控框架研究

摘要

在云计算环境中,通常提供虚拟机监控功能获取虚拟机的运行状态和资源使用情况。然而,现有的虚拟机监控机制着重于对虚拟机进行粗粒度监控或仅针对特定类型的虚拟机进行监控,难以侦测虚拟机内部的恶意行为、不支持多种虚拟机共存的运行环境。随着管理域日趋庞大,传统的以管理域安全可信为前提的监控机制无法保证监控信息的真实性,有必要将管理域排除在可信基之外以保证云服务的可信性。
　　基于特权分离的思想,云平台可信监控框架将管理域排除在可信基之外,解决了云用户与云服务提供商之间的不信任问题。采用可信启动技术与内存保护技术从启动时完整性和运行时完整性两方面对监控域进行保护;综合运用系统调用截获技术与语义重构技术对客户虚拟机进行通用细粒度监控,获取虚拟机内部的进程、网络、文件操作等监控信息;结合特权管理操作截获技术与管理操作解析技术,监控管理域针对客户虚拟机的管理操作;通过在完整可信的监控域中部署监控工具,用户能够获取真实的虚拟机运行状态和资源使用情况。
　　测试结果表明:(1)云平台可信监控框架能够对不同操作系统类型的虚拟机进行安全监控,并且能够拦截管理域针对客户虚拟机的管理操作;(2)云平台可信监控框架的IO性能损耗通常保持在10％以内,对于频繁进行系统调用的应用程序,CPU性能损耗不超过20%。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1研究背景

1.2国内外研究现状

1.3论文研究内容

1.4文章组织结构

2 云平台可信监控框架的设计

2.1云平台可信监控框架的设计目标

2.2云平台可信监控框架的系统架构

2.3云平台可信监控框架的工作流程

2.4小结

3 云平台可信监控框架的关键技术

3.1可信监控域的构建

3.2跨域内存拷贝与跨域事件通信

3.3事件截获

3.4内核态超级调用

3.5语义重构

3.6小结

4 云平台可信监控框架的测试与分析

4.1系统测试环境

4.2系统功能测试

4.3系统性能测试

4.4小结

5 总结与展望

致谢

参考文献

附录1 攻读硕士学位期间发表的论文

附录2 攻读硕士学位期间申请的国家发明专利

附录3 攻读硕士学位期间参与的项目