基于硬件辅助安全增强的无先验知识的虚拟化平台内核层恶意行为深度检测与动态防御研究

The operation mode of cloud computing service causes the internal and external environment of the system to be complex. Multi-tier management and internal threats make the users on it walk on thin ice. Its virtual isolation, the coexistence of physical nature also makes cloud computing platform security more and more complex, its virtual kernel security become the core problem to be solved in information security field. With the new features of the existing processor, this project first proposes a unified virtual kernel security protection model. As theoretical basis, in view of the existing research has failed to solve the hidden danger of computing resources sharing between the virtual machine, the project from the angle of no prior knowledge, an virtual machine introspection scheme is put forward based on IPT, which is towards the depth detection of the malicious behavior of the virtual machine’s kernel; In view of the defects that the kernel of virtual machine are vulnerable to be compromised, we put forward a dynamic virtual machine kernel integrity verification plan based on LBR, which ensures the key calls when the virtual machine to perform the fidelity of strategy. To prevent covert channel of communication between different security level virtual machines, a virtual kernel side channel detection and protection scheme is proposed based on virtualization hardware extension mechanism, protecting from malicious programs bypass the security mechanisms through the side channel and access to sensitive data; Finally, a prototype system for cloud computing virtual kernel protection is built to demonstrate the reasonable feasibility of the proposed model and methods. This project seeks to some related breakthroughs on virtual machine kernel security in a cloud environment, and the theory and methods are to further enrich the field of cloud computing security.

云计算服务运营模式导致其系统内外环境复杂，其虚拟隔离、物理共存的本质也使得云计算平台安全的防范工作越来越复杂，致使其虚拟内核安全成为信息安全领域亟待解决的核心问题。本项目借助现有处理器新特性，首先提出统一的虚拟内核安全防护模型。并以此为理论依据，针对现有研究未能很好的解决虚拟机之间共享计算资源带来的安全隐患，项目从无先验知识的角度，提出基于IPT的深度虚拟机自省方案，检测虚拟机内核中的恶意行为；针对虚拟机内核易遭受污染的缺陷，提出基于LBR的动态虚拟机内核完整性验证方案，研究能够保证虚拟机执行时的关键调用的保真性策略。为了防止不同安全等级虚拟机之间的隐蔽信道通信，提出基于虚拟化硬件扩展机制的虚拟内核侧信道检测与防护方案，避免恶意同驻虚拟机通过侧信道绕过内核安全机制而获取敏感数据；最后，搭建云计算虚拟内核防护原型系统来实证所提模型与方法机制的合理可行性。

云计算服务模式引入的软件隔离、物理共享的模式使得云计算基础设施平台的安全防范工作面临着挑战。虚拟化内核安全主要威胁可以分为内存安全威胁和侧信道安全威胁两方面。为此，本项目重点研究内存安全不同阶段的防护与检测方法，侧信道的防护与检测方法。针对内存安全威胁的漏洞发现阶段，本项目研究了针对可信内核的模糊测试方法、基于概率路径优先的混合模糊测试和针对固件的模糊测试方法，提高了模糊测试时测试用例的执行速度、寄存器类型的推测精度和一段时间内代码的覆盖率和漏洞的发现数量；针对内存安全威胁的漏洞利用阶段，本项目研究了基于约束数据的代码指针保护方法和基于最近分支记录的控制流劫持检测方法，能够识别并隔离和控制流相关的数据并防止被攻击者篡改；针对内存安全威胁的补丁修复阶段，本项目研究了基于内存对象访问序列的补丁差异性分析方案，利用对象访问序列表示补丁前后程序语义的差别，使得分析者能更好地理解补丁细节并定位到相关漏洞。针对侧信道安全威胁中的硬件层，本项目研究了针对内存行锤击攻击的优化方案，将页面缓存排出和系统的非特权API结合，可以在短时间内达到更大的内存覆盖率；针对侧信道安全威胁中的物理共享层，本项目研究了基于洪泛的虚拟机同驻方案，同驻检测的方案误检度不超过5‰；针对侧信道安全威胁中的内核层，本项目研究了受控侧信道的检测方案，能够在虚拟机监视器中记录操作系统的相关操作并做关联分析；针对侧信道安全威胁中的应用层，本项目研究了针对浏览器JavaScript 模板攻击的防护扩展，首先识别模板攻击中用到的相关属性，经过自动化筛选和人工语义分析的结果得出敏感特征集之后，使用浏览器扩展的方式对其包装、固定或者替换，实现对网站访问的自定义限制，同时不影响正常使用。本项目提出的研究方案着力于攻击过程中的不同的阶段与层次，构建了更加立体且统一的防护体系。

内容获取失败，请点击重试