云计算环境中侧通道攻击检测与防御技术研究

项目介绍

AI项目解读

基本信息

批准号：
61472316
项目类别：
面上项目
资助金额：
83.0万
负责人：
桂小林
依托单位：
西安交通大学
学科分类：
F0205.网络与系统安全
结题年份：
2018
批准年份：
2014
项目状态：
已结题
起止时间：
2015-01-01 至2018-12-31

项目参与者：
李虎群；安健；张学军；夏新文；蒋精华；姚婧；李刘强；余思；梁鑫；
关键词：
主动防御侧通道攻击云安全虚拟化攻击检测

项目摘要

Due to resource sharing, multi-tenant cross-domain sharing and platform opening in cloud computing, Cloud security problems is becoming more complex. The existing research has shown that side channel attacks (SCA) are becoming a new security challenge in cloud computing. Using side channel attacks, malicious users can break the isolation mechanism and extract private information from other users by probing the responses of shared resource and establishing the leakage model. To solve the security threats introduced by SCA, this project make the research from three aspects. First, the attack patterns and attack schemes of side channel attacks are investigated, which include probing side information, virtual machines (VMs) co-residency detection scheme and attack features analysis, etc. Second, side channel attacks detection schemes are investigated, which include formalizing SCA features, perceiving, converging and analyzing the SCA features and designing on-line detection algorithm, etc. Third, the SCA defense scheme is investigated from the perspective of enhancing isolation between Virtual Machines(VMs), which include analyzing and formalizing users constraint relations, making isolation rules, designing VMs placement algorithm and VMs migration algorithm, etc. This project has significant theoretical and practical value in in-depth analyzing mechanism of SCA, improving defense ability for SCA, promoting the healthy and rapid development of cloud computing, and reaching the international advanced level of the cloud security field.

由于资源共享、多租户跨域共享和平台开放等特征，使得云计算面临的安全问题更加复杂。已有研究表明侧通道攻击是云计算面临的一种新型安全挑战。攻击者通过探测云共享资源的状态信息，建立泄漏模型，便可绕过虚拟化隔离性，盗取其他用户的私密信息。针对侧通道攻击引入的安全威胁，本项目将从以下三个方面展开研究：1）研究侧通道攻击的攻击模式与攻击方法，包括侧通道信息探测、虚拟机同驻检测和侧通道攻击特征分析等；2）研究侧通道攻击检测方法，包括攻击特征形式化、攻击特征感知、汇聚与分析、在线检测算法等；3）研究虚拟化隔离加固技术，实现侧通道攻击防御，包括用户约束关系分析与形式化、隔离策略制定、虚拟机部署算法和虚拟机迁移算法等。本项目研究成果对于深入分析侧通道攻击机理，增强侧通道攻击防御能力，推动云计算健康快速发展，占领云计算安全领域的国际制高点，都具有重要的理论意义和实用价值。

结项摘要

侧通道攻击已成为云环境中威胁用户隐私安全的重要挑战，现有的云安全防护机制很难发现和应对这种非入侵式的攻击方式。针对上述问题，本项目围绕云计算环境中的侧通道攻击机理、侧通道攻击检测与防御以及云服务安全与隐私保护等问题展开了系统化研究。.针对虚拟机安全监控问题，提出了一种基于应用感知的虚拟机安全监控方案，设计了一种基于事件驱动的应用感知服务自动配置方法，并通过扩展Ceilometer实现了对应用感知数据的收集与存储；针对侧通道攻击检测问题，提出一种基于级联模型的cache侧通道攻击检测方法，采用形状检测方法和规律性检测方法计算检测指标，完成cache侧通道攻击检测；针对虚拟机同驻检测问题，提出了一种基于响应时间序列数据分析的虚拟机同驻检测方法，基于云滴模型设计了一种虚拟机同驻概率计算方法，对虚拟机之间同驻的可能性进行量化。针对现有虚拟机分配方法没有考虑安全性的问题，提出了一种抵御侧通道攻击的虚拟机部署方案，通过引入分组选择策略，将虚拟机部署过程划分为分组选择和主机选择，消除了现有虚拟机分配方法中存在的并行放置局部性漏洞；针对同驻虚拟机之间资源争用导致相互干扰的问题，提出了一种基于应用感知的冲突虚拟机迁移方法，设计了一种基于协方差的应用差异性量化方法，以预测虚拟机之间在某个时间邻域内的冲突概率。针对云服务中明文图片编辑计算时的隐私泄露问题，提出了一种支持密文编辑的图片加密方案，可以在不解密图片的情况下直接对加密后的图片进行编辑；针对云环境下的移动广告安全定向投放问题，提出一种支持隐私保护和精准投放的移动广告定向投放架构；针对云环境下的息票安全定向投放问题，提出了一个针对第三方平台的定向息票安全投放架构以及一种能平衡隐私与权益安全的移动息票定向投放方法；针对虚拟机的隐私数据保护和分析需要，提出了一种高效的支持密文四则算术运算的同态加密方案以及一种利用贝叶斯原理在扰动数据上进行分类的方法。.本项目研究成果对保障云计算的服务安全具有重要价值。