云平臺下基于虛擬機技術的隔離運行模型研究

許陸丹 翟紅

摘 要：針對云計算的分布式特征，文章在分析虛擬機技術的基礎上構建了IMCPBVMT隔離模型。該模型在云服務集群中引入異常行為分析系統，并在異常行為分析系統加載了本地異常分析器和云間異常行為交換器，在保障云服務系統正常運行的情況下實現了對異常行為進行隔離分析的目的。

關鍵詞：云計算；虛擬機；隔離模型

中圖分類號：TP309 文獻標識碼：A 文章編號：1006-8937（2015）20-0001-03

虛擬化技術是云計算的核心技術之一，但多個虛擬資源很可能會被映射到相同的物理資源上，一旦惡意用戶利用云平臺的漏洞實施攻擊，就可能獲取同一個物理資源上其他用戶的信息。

為了對增強云平臺的安全性，文獻采用蜜罐技術收集攻擊者信息，利用VMware快照構建惡意代碼行為分析系統；文獻者利用windbg和VMware構建雙機調試來分析惡意代碼；文獻通過在虛擬機監控器層添加分析工具，實現對惡意行為的監控分析。

上述方法雖然可以檢測到惡意行為，但是由于沒有分離檢測系統和云服務系統，因此不能很好地保障云平臺的性能。針對云平臺的分布式特征，本文構建一種云平臺下基于虛擬機技術的隔離運行模型（IMCPBVMT）。

該模型綜合考慮云計算平臺的分布式特點和惡意行為的攻擊特征，能夠在一定程度上實現惡意行為的隔離檢測。

1 虛擬機技術

虛擬機技術利用虛擬機監視器（Virtual Machine Monitor，VMM）作為隔離代碼運行環境的中間層，虛擬機監視器提供了一個物理計算機系統的抽象，并為其上運行的客戶操作系統提供硬件設備映射。

根據虛擬機監視器在整個物理系統中的實現位置和方法的不同，可以分為Type I VMM和Type II VMM兩種虛擬機監視器模型，如圖1和圖2所示。

Type I VMM直接運行在物理計算機系統上，它必須先于操作系統安裝，然后在此虛擬機監視器創建的虛擬機之上安裝客戶操作系統。

Type I VMM可以在硬件支持下擁有最佳性能，如IBM VM/370、VMware ESX Server、Xen等均屬于這樣的虛擬機。

Type II VMM則是安裝在已有的操作系統（宿主操作系統）之上，它通過宿主操作系統來管理和訪問各類系統資源（如文件和各類I/O設備等），如VMware Workstation、Parallel Workstation等。

2 云平臺下基于虛擬機技術的隔離運行模型框架

提高云計算的數據安全性，最基本的還是提高云服務器端數據的安全性，本節結合虛擬隔離技術，構建了一種云平臺下基于虛擬機技術的隔離運行模型（IMCPBVMT），如圖3所示。

該模型通過在各服務器集群中心加載異常行為分析系統，在不影響云集群服務中心正常工作的情況下，對異常行為進行隔離分析。

云服務系統一旦發現異常行為，把其提交到異常行為分析系統，而云服務系統繼續執行下一個任務。

異常行為分析子系統模擬云服務系統的運行環境對惡意性進行執行，同時本地異常行為分析器對異常行為進行監控和分，當異常運行結束，則根據分析結果，對異常行為進惡意性行判定，如果為惡意性行為，則將其行為序列添加到本地云服務器的惡意行為庫；否則，則認為為可信性行為。

云間異常行為交換器，用于定期交換不同云層間云計算服務中心的惡意行為庫信息，以實現云間惡意行為庫信息共享，提高系統的性能。

2.1 異常行為析系統體系框架構建

在各種虛擬隔離機制中，基于硬件層抽象虛擬機平臺下，虛擬機監控器在系統中具有最高權限，能夠很好地監控系統內各種行為的運行狀態，本文借助虛擬機技術，在每個服務集群中心引入異常行為分析系統，如圖4所示。

在該系統中，虛擬機直接安裝在硬件資源層之上，在系統中具有最高權限，同時為了實現對異常行為執行過程的監控和分析，在虛擬機中加載了本地異常行為分析。本地異常行為分析由異常行為監控模塊、異常行為分析模塊、日志模塊、預警模塊和系統恢復模塊五部分組成。

該框架下異常行為分析的過程為：

①異常行為分析系統一旦接受云服務器系統發送的異常行為，就在本地操作系統上運行異常行為，同時啟動本地異常行為監控器。

②本地異常行為監控器加載異常行為監控模塊，監控異常行為的運行過程，并把獲取的運行過程同時提交給異常行為分析模塊和日志模塊。

③異常行為分析模塊對接收到的異常行為序列依據給定的行為分析方法，分析序列的惡意性，并把分析結果傳送給預警模塊。

④預警模塊依據預定的判斷規則對惡意性信息進行評判，并最終確定異常行為的惡意性，如果認為不是惡意行為，則云服務器系統返回執行結果，并提示行為可信；否則，把其惡意序列添加到本地惡意行為庫中，同時調用系統恢復模塊，對系統進行恢復。

⑤系統恢復模塊依據日志模塊中的信息對系統進行恢復。

2.2 本地異常行為分析器及其功能模塊設計

2.2.1 異常行為監控模塊

異常行為監控的目的是為了實現對異常行為執行過程的實時監控和獲取異常行為的行為序列，因此為了確保異常行為中的攻擊行為被觸發和系統文件的安全，系統設置了一個虛擬文件系統。

異常行為在執行過程中，對系統中的文件只有讀權限，當需要對文件進行寫操作時，系統通過調用虛擬文件系統會為其創建對應文件的一個影像文件，只有當異常行為執行完畢且被系統確認為可信時，才把影像文件對源文件進行覆蓋。

異常行為對系統的攻擊并非通過某一簡單攻擊序列實現，往往是通過一個或多個進程調用一系列看似無害的系統調用來實現其攻擊目的。

針對惡意行為的這種行為特征，異常行為監控模塊從進程監控和系統調用監控兩個方面來獲取用戶行為。

①進程監控。

異常行為在執行過程中，可能會以生成多個進程，而這些進程也會衍生出新的進程，為了增強監測的可靠性，本文以組的形式來管理進程。

同一異常的所有衍生進程放在同一組中，可以共享相同的系統資源。為了有效地監控用戶行為，需要對每一組的進程進行跟蹤監控。

CR3寄存器用來存儲頁表基址，對CR3的一次寫操作就等同于進行了一次進程切換，FS寄存器內核模式下指向KPCR（處理器狀態塊），通過該結構可以追溯到當前運行進程的進程名。因此通過捕獲CR3寄存器的寫操作可以獲取進程間的調用關系，通過分析FS寄存器數據可以獲取當前運行進程的id號。

②系統調用行為的監控。

SYSENTER/SYSEXIT是Intel提供的一對快速系統調用指令，YSENTER和SYSEXIT執行之前必須將需要的參數存入相關MSRS寄存器和通用寄存器中。

通過監控SYSENTER指令，一旦有該指令執行，可捕獲當前的系統調用，通過分析相關MSRS寄存器和通用寄存器的數據及CR3寄存器的值，可獲得當前調用的系統調用號以及當前線程或者進程的id號。

2.2.2 異常行為分析模塊

異常行為分析模塊是系統的重要模塊，該模塊在異常行為監控的基礎上，對各種惡意行為序列進行提取和分析，并依據預定的方法構建惡意行為模型，獲取異常行為的惡意信息。

該模塊主要包括注冊表修改、文件系統破壞、內存區域攻擊、系統虛擬環境檢測、進程隱藏等行為的分析。

注冊表修的分析改主要分析文件關聯性修改、與IE配置相關的注冊表鍵值修改及自啟動項修改；文件系統破壞行為分析包括系統文件的非法讀寫、多個目錄下重復拷貝以及日志文件的非法修改。

2.2.3 日志和預警模塊

預警模塊，該模塊在行為分析模塊分析的基礎上，對行為分析模塊的結果根據預定的方法進行判決，如果判定所執行的行為為可信行為，則向云服務系統返回行為執行的結果，并提示行為可信；否則，則向云服務系統做出預警提示，同時把所獲得的惡意序列存儲到本地惡意庫中。日志模塊，該模塊用于記錄異常行為的執行過程信息，存儲在異常行為分析系統的本地存儲器上，用以行為分析和系統恢復過程的依據。

2.2.4 系統恢復模塊

系統恢復模塊用于系統恢復工作。由于異常行為分析系統只是用來隔離運行異常行為的，因此，為了保障系統的性能，無論異常行為可信與否都要調用系統恢復模塊對本地系統進行恢復。由于系統在異常行為運行過程中設置了虛擬文件系統，所以異常行為實際修改的是虛擬目錄下的虛擬文件，對文件系統的恢復只需用真正系統的文件覆蓋被修改的虛擬文件就可以了。

同時，異常行為會對內存單元的信息進行修改，可以從外置存儲介質中重新調用相應文件對內存區域執行重寫操作。只有一些涉及系統配置的文件，才依據日志文件通過反向執行異常行為進行系統恢復。

2.3 云間異常行為交換器及其功能設計

構建云間異常行為交換器的目的是使分布于不同云層間服務器集群中心的惡意行為庫能夠互換共享信息。

互聯的服務器集群中心通過定時啟動異常行為分析系統上的云間異常行為交換器，依據預定規則對兩者的惡意行為庫進行歸并，并把歸并后的惡意行為庫作為新的本地惡意行為庫。

為了減少網絡間信息的流量，對不同異常行為分析系統間交換的惡意行為可以限定為新捕獲的異常行為序列。

3 模型性能分析

IMCPBVMT隔離模型通過在云服務集群中引入異常行為分析系統，實現了分析系統和云服務提供系統的分離，既提高了云服務系統的安全性，又能保障在云服務系統在不間斷提供服務的同時進行異常行為的分析。

IMCPBVMT隔離模型通過引入異常行為分析系統實現了分析系統與用戶運行環境物理上的隔離，同時又由于異常行為分析系統端引入云間異常行為交換器，可用于實現不同云間服務器集群中心的惡意信息的動態互換，有助于分析系統的信息共享，可以提高云平臺的性能。

4 結 語

針對當前云計算環境下面臨的多租戶安全隱患問題，為了實現既能對異常行為進行隔離分析又能保障云服務系統的不間斷運行的目的，本文結合云計算平臺的分布式特征，構建了IMCPBVMT隔離模型。

該模型借助虛擬機環境下，虛擬機監控器擁有最高權限的特性，在虛擬機層上加載本地異常行為監控器，來實現對異常行為的監控分析。

本地異常行為分析由異常行為監控模塊、異常行為分析模塊、日志模塊、預警模塊和系統恢復模塊五部分組成。

同時，異常行為分析系統又通過加載了云間異常行為監控器，實現云間不同服務器集群中心上的惡意行為庫的共享，增強云平臺的性能。

參考文獻：

[1] 沈昌祥.云計算安全與等級保護[A].第6屆內網安全技術論壇專題：信息安全與通信保密[C].2012.

[2] 余思，桂小林，張學軍，等.云環境中基于cache共享的虛擬機同駐檢測方法[J].計算機研究與發展，2013，（12）.

[3] 劉瀾，袁道華，童星，等.一種針對可信計算平臺的分布式可信驗證機制[J].計算機工程與應用，2012，（2）.

[4] 馬世敏.基于可信計算的內網監控系統的研究與實現[D].成都：電子科技大學，2011.

[5] 崔競松，張雅娜，郭遲，等.支持多種虛擬化技術的進程非代理監控方法[J].武漢：華中科技大學學報（自然科學版），2014，（11）.