基于操作系統多樣性的虛擬機安全部署策略

張淼，季新生，艾健健，劉文彥，扈紅超，霍樹民

（國家數字交換系統工程技術研究中心，河南 鄭州 450002）

基于操作系統多樣性的虛擬機安全部署策略

張淼，季新生，艾健健，劉文彥，扈紅超，霍樹民

（國家數字交換系統工程技術研究中心，河南 鄭州 450002）

云計算的資源共享模式，在極大提高資源利用率的同時，也帶來了諸多安全問題，如虛擬機間的共存攻擊。特別是當用戶使用單一的操作系統時，攻擊者可以在較小的開銷下，攻破用戶的全部虛擬機，從而竊取隱私和數據。針對這一安全威脅，利用不同操作系統漏洞存在差異的特點，提出一種基于操作系統多樣性的虛擬機安全部署策略。該方法首先為申請虛擬機的用戶推薦一種多樣性程度最高的操作系統配置選擇；然后通過一種安全的部署策略，最大化地發揮多樣性的特點，使攻擊者需要付出更大的開銷。實驗結果表明，與單一操作系統配置的方法相比，該方法至少可以降低33.46%的攻擊效益。

虛擬機；共存攻擊；操作系統；多樣性；云安全

1 引言

云計算是一種新型的模式，它向廣大用戶提供透明的分布式服務，使用戶可以共享各種底層物理資源。作為能夠高效提供大規模存儲和計算能力的技術，云計算得到了廣泛的關注，其中，虛擬化是云計算的一個重要特征。虛擬化技術將底層的物理資源抽象化，可以根據用戶需求動態分配資源，不僅提高了計算能力，同時可以降低能耗。

為了支持以上的特征，研究人員提出以虛擬機作為云環境的原生構件。為了最大化底層物理平臺的使用效率，通常不同用戶的虛擬機需要運行在同一服務器上，且彼此之間邏輯隔離開來，共享底層物理資源。虛擬機還可以方便地部署于不同的物理主機或者整合到同一主機上以實現負載均衡或提高使用率。此外，利用虛擬機的固有特性，還可以在進程不中斷的情況下實現對虛擬機的遷移。

云計算引入了多租戶模式，為資源的高利用率帶來了可能。然而，不同用戶共享底層物理資源，也會帶來一些安全隱患。例如，用戶由于個人習慣等其他因素，可能會在申請虛擬機實例時，要求使用同一類型的操作系統（OS，operating system），如Windows系統。這樣的做法方便了用戶處理數據和加載應用，然而帶來的問題是，如果用戶虛擬機所在的服務器上有共存的惡意攻擊者，并且鎖定了目標用戶，同時知道目標虛擬機的位置，那么攻擊者只需要發起一次探測和漏洞挖掘過程，就可以利用漏洞攻擊用戶的虛擬機，這是一種典型的共存攻擊。即使用戶的虛擬機分布在云環境中不同的物理主機上，如果所有虛擬機采用相同的操作系統，這樣的配置也會給攻擊者創造極為便利的攻擊條件，導致攻擊者很容易獲取該用戶所有存儲的數據和隱私信息，這是非常嚴重的后果。即使是Windows的不同版本（如Windows7、Windows8），由于大量共同漏洞的存在，仍然給攻擊者節省了大量的成本和時間開銷，對于正常用戶的數據安全形成威脅。事實上，很多操作系統之間由于編程語言、運行環境等差別，是沒有共同漏洞存在的。因此，如果在虛擬機的操作系統中引入多樣性，必然使攻擊者需要付出更大的代價才能竊取信息。本文考慮利用多樣性的思想來緩解共存攻擊問題。

2 相關工作

云環境中的共存攻擊問題自被提出以來，就不斷有研究者從攻、防兩方面進行研究；而多樣性由于其安全屬性，被廣泛應用于加強系統可靠性。本節分別介紹先前對這2個內容的相關研究工作。

2.1 共存攻擊及其防御方法

為了最大化資源的利用率，云服務提供商（CSP，cloud service provider）通常會將不同用戶的虛擬機部署在同一物理主機上，這樣的虛擬機之間會形成一種共存（或稱之為同駐）關系。2009年，Ristenpart等[1]提出了共存虛擬機存在的安全問題，即攻擊者可以通過發起側信道攻擊從目標虛擬機中竊取信息，如緩存使用和負載信息等。后續對于共存攻擊的研究逐漸增多，Apecechea等[2]在Xen和VMware這樣主流的虛擬化工具上實現了細粒度的攻擊手段，從目標虛擬機中獲取了AES加密密鑰。而探測信息的方法也在不斷完善，如Osvik等[3]提出的Prime-Probe方法、Yarom等[4]提出的 Flush-Reload方法等，都可以在不同層面發起攻擊，對用戶隱私及數據安全造成嚴重威脅。

針對這種攻擊形式，研究者提出了一系列防御方法。例如，文獻[5]表明，在操作系統層可以在受保護的進程中加入噪音進行防御；文獻[6]提出可以在硬件設計時采用接入隨機化和資源分割進行防御。然而這些方法只能夠防御特定類型的共存攻擊，且需要對底層軟硬件進行修改。文獻[7]提出，通過虛擬機遷移，減少共存的時間，從而導致攻擊者無法成功竊取目標信息。該方法不需要修改底層的軟硬件，但隨著虛擬機數量的增多，遷移開銷也將增大，難以適用于大規模的云數據中心。

2.2 多樣性

早在20世紀70年代，就有文獻提到利用N版本編程技術創建多樣性軟件組件[8]。隨著網絡安全得到越來越多的關注，利用多樣性思想解決這類問題也得到廣泛研究。Forrest等[9,10]將生物學中的概念應用于計算機安全，提出多樣性是一種重要的減輕攻擊效果的機制；文獻[11]在 SQL服務器上應用多樣性進行實驗研究，證明多樣性可以提高系統可靠性；Newell等[12]研究在路由節點上如何分配多樣化變體，以增加網絡彈性；Garcia等[13]在入侵容忍系統中引入操作系統多樣性，提升系統健壯性。事實上，在軟硬件、平臺、數據等各個層面都可以利用多樣性提升系統的安全性，實現特定的安全需求。

基于已有研究可知，系統多樣性程度越高，整體的可靠性和安全性也越高。

3 威脅模型和本文目標

3.1 攻擊者威脅模型

本文假定CSP及其設施和平臺都是可信的，也就是說本文不考慮攻擊者通過云管理系統的漏洞來破壞云環境的基本功能，從而竊取信息。結合實際情況，在本文的威脅模型中，對攻擊者做如下假設。

1) 目標鑒定：攻擊者可以判斷感興趣的目標用戶是否以及何時與自己的虛擬機共存，如研究用戶行為模式或利用外部的探測。即這部分行為對于攻擊者的開銷較小，可以忽略不計。

2) 完整攻擊的能力：一次完整的攻擊包括對目標操作系統的識別、系統漏洞或預裝軟件后門的挖掘以及后續的嗅探和劫持攻擊等。攻擊者有能力對任何一種操作系統發起完整攻擊，但攻擊過程會受到資源、開銷的約束，即攻擊者無法對所有目標虛擬機都實行完整的攻擊。

3) 不可預知：用戶或 CSP無法預先認定某一特定用戶是否是惡意的攻擊者，即無法保證部署的服務器上沒有攻擊者預先啟動的虛擬機。

4) 針對虛擬機的攻擊：攻擊者每次都直接對用戶的虛擬機發起攻擊，不考慮攻陷 hypervisor后，獲取所有虛擬機控制權限的情形。

攻擊者具備目標鑒定的能力在較多研究中已經提到[14,15]，而發起針對虛擬機的攻擊是當前研究的熱點[1,16]，成本約束和不可預知性則是云環境的基本特點決定的。因此，上述對于攻擊者的假設具有合理性和可研究性。

3.2 本文目標

基于上述對攻擊者能力的設定，可以發現，攻擊者在開銷的約束下，有可能采取只識別、挖掘一次漏洞，而利用該漏洞攻擊所有目標的策略，如果沒有多樣性的操作系統，攻擊者就可以以較小的成本竊取信息并迅速將攻擊范圍擴大。因此，本文的工作目標是希望能解決以下2個具體的現實問題。

1) 正常用戶申請若干虛擬機實例時，如何配置這些虛擬機的操作系統，可以使其多樣性程度最高，從而帶來最高的安全收益。

2) 這些虛擬機在物理主機上如何部署，可以在資源約束下盡可能提高用戶虛擬機整體的可靠性和安全性。

4 基于多樣性最優的操作系統配置方法

4.1 基本描述

顯然，一個虛擬機從創建到銷毀的時間段內只能采用一種操作系統，因此存在唯一性約束。

由于m是遠小于N的，為了盡可能使所有虛擬機包含的操作系統種類更多，要求每種操作系統至少被使用一次，即

定義操作系統類型j的頻率為

4.2 多樣性模型

對于m種操作系統，由于操作系統之間共同漏洞的存在，定義一個相關性矩陣X，xab表示a、b這2種操作系統之間的關聯程度，即攻破操作系統a后，操作系統b被攻破的概率，且本文定義關聯程度只由共同漏洞數刻畫，共同漏洞數越大，則關聯程度越高，對應的元素值更大。設a、b間共同漏洞數為Kab，a本身漏洞數為Va，其中令

本文借鑒生物多樣性中基于物種相似度的多樣性度量方法[17]，來評價操作系統之間的多樣性。首先，對于任意操作系統j，令

則定義操作系統的多樣性度量為

式(5)中u代表某種操作系統配置方法。本文的目標即可轉化為尋求多樣性度量E( u)取最大值時的操作系統配置方法。即

例如，在特殊情況下，當操作系統之間關聯程度都為0時，即全部的操作系統間不存在共同漏洞，有

證明取即

設

則有

4.3 多樣性操作系統配置算法

新用戶申請虛擬機時，只需要提供可以使用的操作系統類型以及所需虛擬機數量，CSP就可以通過求解上述模型為用戶推薦一個多樣性最優的操作系統分配方案，如算法1所示。如果是老用戶申請，CSP可以調用hypervisor的日志記錄，根據用戶此前使用的操作系統記錄，以及當前的虛擬機狀態，計算出當前狀態下的最優推薦策略。

算法1多樣性操作系統配置算法

輸入：N, m

輸出：assignmentMap

1) for each{N, m} from user in CSP do

2) whilem＞1amp;amp;N＞m

3) foreach

4) get E(u) //對于不同的OS種類、數量組合，計算多樣性度量值

//為每個VM配置OS

7) return assignmentMap

8) end

4.4 理論分析

本文的威脅模型中，認為攻擊者發起一次完整的攻擊過程后，攻破虛擬機的概率為 1，即可以對該虛擬機造成安全威脅，如信息竊取或種植木馬，設定這一收益為固定值b1，且完整的攻擊過程付出的成本代價為c1。定義一個攻擊效益e( s)表示攻擊者獲得收益的總和與總成本的比值。例如，攻擊者對一個虛擬機進行完整攻擊的攻擊效益為

其中，δ為一個定值，s1為某種攻擊策略。

攻擊者由于受到成本的約束，不可能對每一個虛擬機都進行完整攻擊，因此其選擇的策略必然是利用某次完整攻擊獲取的信息，且默認該服務器上用戶虛擬機屬于同一類型，從而利用完整攻擊中挖掘的漏洞對其他虛擬機發起攻擊。假設攻擊者對操作系統a發起一次完整攻擊后，對其他虛擬機利用相同漏洞繼續攻擊，那么顯然，攻擊操作系統b成功的概率為xab。另外，假設攻擊者對單個虛擬機不進行預先探測和挖掘，直接利用共同漏洞進行攻擊的成本為c2，不妨令由于完整攻擊的成本高于直接攻擊，所以有α＞1成立。對于攻擊者，存在如下成本約束。

其中，N1為完整攻擊的次數，而C為總的成本。那么當操作系統不存在多樣性時，攻擊者只需要一次完整攻擊，就可以攻破所有虛擬機，此時攻擊效益

當利用多樣性操作系統，如a、b、c這3種異構的操作系統時，假設攻擊者對使用操作系統a的虛擬機發起完整攻擊，那么攻擊效益為

5 虛擬機安全部署策略

對于CSP來說，來自同一用戶虛擬機的部署方式是一個值得權衡的博弈問題，其原因如下。

1) 將實例集中于少數服務器的話，可以提高資源利用效率，然而一旦服務器需要維護升級，而此時某些關鍵服務又無法中斷，那么同時在線遷移這些虛擬機需要保證足夠的帶寬和CPU，產生的開銷是巨大的；另外，集中部署的方式給攻擊者提供了更廣泛的攻擊思路，如通過攻陷hypervisor直接獲取所有虛擬機的權限，或者對服務器發起攻擊，造成DoS。

2) 將虛擬機分散到云環境中不同的主機上是一種負載均衡的有效方法，可以減輕虛擬機資源需求迅速增加時引起的性能降低問題，但是增加了用戶的管理成本，大量工作狀態的主機也會消耗很多電力資源。因此，以不同的方式部署虛擬機，對于能耗、資源利用率和用戶數據安全將產生不同的影響。

首先，本文認為將虛擬機分散到各個服務器中的策略降低了系統的安全性。由于CSP無法預先判斷攻擊者的存在，即攻擊者有可能已經存在于云環境中。文獻[18]提到，對于同一用戶而言，個人擁有的虛擬機實例如果分散在不同的物理主機上，實際上增大了攻擊者的攻擊面，因為虛擬機有更大的概率暴露在攻擊者的攻擊環境下。因此，本文傾向于集中虛擬機的策略。

其次，之前已經提到，從用戶的角度來看，過度的集中一定程度上影響了系統的頑健性，即服務器的失效會影響該服務器上用戶所有的虛擬機。對此，本文設定一個閾值Tm，服務器上屬于同一用戶的實例數量不能超過該閾值。而在本文的應用場景中，還將對服務器上使用同一操作系統的虛擬機數量進行限制。

當云環境中已經存在該用戶VM時，根據上述2個原則可以部署新的虛擬機。而如果虛擬機都被掛起，但有服務器部署過這些虛擬機時，顯然應該首先在這些服務器上部署新的虛擬機，這仍然是從減小攻擊面的角度出發。算法2為所提的安全部署算法。

算法 2基于操作系統多樣性的虛擬機安全部署策略算法

3) for eachserversi∈W

4) if（si上正在運行的虛擬機或曾經部署過該用戶的虛擬機）

5)amp;amp;（si上屬于且處于啟動狀態的虛擬機數量少于Tm）

7)else

9) end if

10) end for

19)elsej++；//不滿足資源需求，則考慮下一個服務器作為備選

20) end if

21) end for

24) update physical resources；//更新物理資源信息

25) update W andSd；

26) end if

27) end for

28) end while

6 仿真結果

6.1 實驗設置

首先，本文利用CVE（common vulnerabilitiesamp; exposures）網站提供的數據，統計了一些常用操作系統的漏洞數及其與其他系統的共同漏洞數。需要指出的是，考慮到不同操作系統的發行時間和發行商存在差異，只統計了2015年～2017年期間發現的漏洞數量，如表1所示，即由漏洞數得到的相關性矩陣X并不具有唯一性。

顯然，共同漏洞數對應的矩陣是對稱矩陣，但值得注意的是，其對應的相關性矩陣并非對稱矩陣。

本文首先針對用戶申請虛擬機時，如何配置操作系統以得到最大的多樣性度量值進行實驗，分析操作系統種類、數量、相關性等以及虛擬機數量對多樣性的影響；然后在不同的多樣性度量下，比較攻擊者在進行一次完整攻擊時，攻擊效益的變化情況，并與單一的操作系統配置方法進行對比；最后研究在本文的安全部署策略下，攻擊者發起多次完整攻擊，探測到不同操作系統的概率與隨機策略下這一概率的關系。

6.2 仿真結果分析

實驗一在多樣性模型中，本文證明了當操作系統之間的關聯度為0時，多樣性度量值如何取得最大值。表1中有多種操作系統組合之間的共同漏洞數為0，因此實驗1首先研究3種操作系統，即 m=3時的分配方法。取 N=10，m=3進行仿真實驗，改變 3種操作系統的選擇，分別計算使多樣性度量指標最大時的分配方法，具體結果如表2中的實驗1～實驗4所示。

表1 常用操作系統的共同漏洞數

表2 虛擬機數量一定，使用不同操作系統組合時，可以得到的多樣性度量最大值

實驗1中漏洞數量最多的Windows 7分配的虛擬機最少，實驗2中OS X卻分配到最多。因此，多樣性的分配策略與操作系統具體漏洞數量無關，而是更容易受到與其他操作系統相關性的影響。

從實驗3、實驗4發現，由于Windows操作系統與其他系統的相關性都為 0，所以當其他操作系統確定后，選擇任何一種Windows系統不會對多樣性產生影響。此時，CSP可以結合用戶的個人喜好，為用戶推薦既保證安全性又滿足用戶需求的分配策略。

實驗二考慮增加一種操作系統類型時，多樣性度量值是否會發生變化。即取N=10，m=4，仿真結果如表2中實驗5～實驗8所示。

從實驗1、實驗5以及實驗2、實驗6看出，增加分配操作系統的種類，可以明顯提高虛擬機整體的多樣性，但是需要指出，并不是操作系統種類越多，多樣性程度就越高，如實驗 5與實驗2～實驗4的對比，盡管增加了一種操作系統，但多樣性卻不如其他情況。因此，盲目地配置多種操作系統，并不能實現最大的安全性需求。

圖1展示了使用m種操作系統，配置N個虛擬機時，多樣性度量值的最大值隨虛擬機數量的變化情況，其中m為表1中常用操作系統中的任意m種。容易發現，使用相同種類數量的操作系統時，多樣性隨著虛擬機數量增加呈現小幅度的增長；且m小于6時，配置相同數量的虛擬機，m越大多樣性程度越高。另外，m=6時，其多樣性度量略低于m=5時的結果，這個現象也符合上面提到的結論，即隨意增加操作系統的種類，并不一定會對多樣性產生積極的影響，只有當增加的操作系統與其他操作系統共同漏洞數少的情況下，增加m的大小，可以提高系統的安全性。

圖1 m不同時，多樣性度量值的最大值隨虛擬機數量的變化情況

當然，計算多樣性度量最大的操作系統配置方法，是以犧牲時間復雜度為代價的。例如，m=3時，需要計算的次數為，隨著虛擬機數量的增多，需要的計算時間將迅速增加。未來的工作中，可以使用模擬退火算法等優化算法來降低計算多樣性的時間復雜度。

實驗三假設攻擊者只發起一次完整攻擊，分析其攻擊效益在不同的多樣性度量值下的變化情況。取（事實上，δ和α的值對實驗結果不產生影響，此處為了定量分析的方便），對應表2中的操作系統分配策略，分別計算相應多樣性度量值下的攻擊效益。由于完整攻擊只能攻破一種操作系統，因此實驗計算出攻擊任一操作系統時的攻擊效益，并以最大值和最小值作為實驗數據進行分析。實驗結果如圖2所示。

圖2 攻擊者發起一次完整攻擊時，攻擊效益與多樣性度量值的關系

整體上，攻擊效益會隨著多樣性度量值的增大而減小，分配策略不同時攻擊效益可能出現相等的情況。多樣性操作系統的策略相比于單一的操作系統分配，至少可以降低33.46%的攻擊效益，且隨著多樣性度量值增加，降低效果更明顯。

最后，本文對虛擬機部署后，攻擊者針對不同的物理主機發起2次完整攻擊（假設攻擊者在成本約束下最多只能發起2次完整攻擊）的情形做了簡單分析。由于從完整攻擊獲取的信息對于直接攻擊至關重要，因此該實驗考慮攻擊者在2次完整攻擊中，是否能探測到2種不同的操作系統。取N=10，m=3的情況，比較本文部署策略與隨機策略下，探測到不同操作系統的概率，結果如圖3所示，橫軸括號中數字分別代表3種操作系統的數量。

可以發現，在本文部署策略下，攻擊者探測到2種不同操作系統的概率略小于隨機策略下的概率。隨機策略是一種比較安全的部署方法，但由于隨機策略并不考慮云環境中服務器的負載狀態，容易造成服務水平協議（SLA, service level agreements）隔離，也可能使休眠狀態的服務器重新啟動，策略的可行性差。而本文所提部署策略可以實現與隨機策略相當的安全性需求，同時，提高了服務器的資源利用率。

圖3 攻擊者發起2次完整攻擊時，2種不同操作系統的概率與部署情況的關系

7 結束語

本文提出一種基于操作系統多樣性的虛擬機安全部署策略。該方法考慮不同操作系統存在的漏洞數量和種類具有差異性，對虛擬機利用多樣性的配置方法可以使攻擊者無法以較小的開銷攻陷所有的虛擬機。同時，考慮虛擬機在部署過程中需要實現資源節約等限制條件，本文提出一種安全部署策略，既能發揮多樣性的優勢，又不影響云環境的資源利用效率。實驗結果表明，相比單一的操作系統配置方法，本文方法通過提升系統多樣性達到安全部署的目的，對于攻擊者的攻擊效益至少可以降低33.46%。

[1] RISTENPART T, TROMER E, SHACHAM H, et al. Hey, you, get off of my cloud: exploring information leakage in third-party compute clouds[C]//ACM Conference on Computer and Communications Security. 2009.

[2] APECECHEA G I, INCI M S, EISENBARTH T, et al. Fine grain cross-VM attacks on Xen and VMware are possible![J]. Ecewp.ece.wpi.edu, 2014.

[3] OSVIK D A, SHAMIR A, TROMER E. Cache attacks and countermeasures: the case of AES[J]. Lecture Notes in Computer Science, 2006, (2005):1-20.

[4] YAROM Y, FALKNER K. FLUSH+RELOAD: a high resolution,low noise, L3 cache side-channel attack[C]//Usenix Conference on Security Symposium. 2014:719-732.

[5] ZHANG Y, REITER M K. Düppel: retrofitting commodity operating systems to mitigate cache side channels in the cloud[C]//ACM Sigsac Conference on Computer amp; Communications Security. 2013.

[6] WANG Z, LEE R B. A novel cache architecture with enhanced performance and security[C]//IEEE/ACM International Symposium on Microarchitecture. 2008.

[7] MOON S J, SEKAR V, REITER M K. Nomad: mitigating arbitrary cloud side channels via provider-assisted migration[C]//The 22nd ACM SIGSAC Conference on Computer and Communications Security. 2015:1595-1606.

[8] AVIZIENIS A, CHEN L. On the implementation of N-version programming for software fault tolerance during program execution[J]. Proc of the Compsac, 1977, 6(1):25-37.

[9] FORREST S, SOMAYAJI A, ACKLEY D. Building diverse computer systems[C]//The Workshop on Hot Topics in Operating Systems.1997: 67-72.

[10] HOFMEYR S A, FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation, 2000, 8(4):443-473.

[11] GASHI I, POPOV P, STRIGINI L. Fault tolerance via diversity for off-the-shelf products: a study with SQL database servers[J]. IEEE Transactions on Dependable and Secure Computing, 2007, 4(4):280-294.

[12] NEWELL A, OBENSHAIN D, TANTILLO T, et al. Increasing network resiliency by optimally assigning diverse variants to routing nodes[C]//IEEE/IFIP International Conference on Dependable Systems and Networks. 2013.

[13] GARCIA M, BESSANI A, GASHI I, et al. Analysis of operating system diversity for intrusion tolerance[J]. Software-practice amp;Experience, 2014, 44(6): 735-770.

[14] BATES A, MOOD B, PLETCHER J, et al. Detecting co-residency with active traffic analysis techniques[C]//The 2012 ACM Workshop on Cloud Computing Security Workshop. 2012

[15] ZHANG Y, JUELS A, OPREA A, et al. HomeAlone: co-residency detection in the cloud via side-channel analysis[C]//IEEE Symposium on Security and Privacy. 2011.

[16] ZHANG Y, JUELS A, REITER M K, et al. Cross-VM side channels and their use to extract private keys[C]//ACM Conference on Computer and Communications Security. 2012

[17] LEINSTER T, COBBOLD C A. Measuring diversity: the importance of species similarity[J]. Ecology, 2012,93(3):477.

[18] HAN Y, CHAN J, ALPCAN T, et al. Using virtual machine allocation policies to defend against co-resident attacks in cloud computing[J]. IEEE Transactions on Dependable amp; Secure Computing, 2017, 14(1): 95-108.

Secure deployment strategy of virtual machines based on operating system diversity

ZHANG Miao, JI Xin-sheng, AI Jian-jian, LIU Wen-yan, HU Hong-chao, HUO Shu-min

(National Digital Switching Engineering amp; Technological Ramp;D Center, Zhengzhou 450002, China)

The resource-sharing model for cloud computing raises many security issues, such as co-resident of virtual machines, while greatly improving resource utilization. In particular, when a user adopts a single operating system, an attacker can steal privacy and data by compromising the user's entire virtual machine at a smaller cost. In view of this security threat, a strategy for the security deployment of virtual machine based on operating system diversity was presented. This method firstly recommended an operating system configuration options for users applying for virtual machines with the highest degree in diversity, and then through the secure deployment strategy, maximized the effect of diversity, thus making the attacker pay more cost. The experimental results show that compared with the method of single operating system, this method can reduce the attack efficiency by 33.46% at least.

virtual machine, co-resident attack, operating system, diversity, cloud security

s：The National Science Foundation for Distinguished Young Scholars of China (No.61602509), The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key Ramp;D Program of China (No.2016YFB0800100, No.2016YFB0800101)

TP302

A

10.11959/j.issn.2096-109x.2017.00201

2017-07-11；

2017-09-01。

張淼，1021380925@qq.com

國家自然科學基金青年基金資助項目（No.61602509）；國家自然科學基金創新研究群體基金資助項目（No.61521003）；國家重點研發計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）

張淼（1994-），男，湖北孝感人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為網絡安全防御。

季新生（1968-），男，江蘇南通人，國家數字交換系統工程技術中心教授、博士生導師，主要研究方向為網絡空間安全、擬態安全。

艾健健（1989-），男，山東廣饒人，國家數字交換系統工程技術研究中心博士生，主要研究方向為網絡安全、軟件定義網絡。

劉文彥（1986-），男，河南鹿邑人，博士，國家數字交換系統工程技術研究中心助理研究員，主要研究方向為網絡空間防御和云安全。

扈紅超（1982-），男，河南商丘人，博士，國家數字交換系統工程技術中心副研究員，主要研究方向為網絡空間安全、云數據中心。

霍樹民（1985-），山西長治人，博士，國家數字交換系統工程技術研究中心助理研究員，主要研究方向為網絡空間安全。