摘要:针对当前ERP(Enterprise Resource Plan)项目面临的海量数据处理问题,基于云计算平台的优势,开发了云计算环境下的ERP系统。然而,云计算面临的一个重要难题就是虚拟机系统安全问题。分析了影响虚拟机安全的系统因素,并给出新的虚拟机安全解决方案,实现了虚拟机动态监控下的安全系统。从而解决了传统虚拟机容易受网络攻击、系统安全性能差的问题。
关键词:云计算;虚拟机;安全性;动态框架
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4697-02
Virtual Machine Security Printing Industry Erp Cloud Computing Environment
SHEN Ke-qin, LI Yan-wei, YUAN Guo-jun
(Shaanxi Jinye Printing Co., Ltd. Shaanxi, Xi"an 710075,China)
Abstract: In view of the current ERP (Enterprise Resource Plan) the problem of enormous data processing project faces, cloud computing platform based on the advantages of cloud computing, developed under the environment of ERP system. However, an important problem facing the cloud computing is the virtual machine system security. Analysis of the factors affecting the safety of the virtual machine system, and provide solutions to the new virtual machine security, the security system of virtual machine dynamic monitoring. In order to solve the traditional virtual machine vulnerable to cyber attacks, system security and the problem of poor performance.
Key words: cloud computing; virtual machine; safety; dynamic framework
随着互联网信息技术的迅速发展,海量数据和高复杂度计算成为当前网络技术的热点研究问题[1]。云计算作为一种新的计算模型具有广泛的应用前景,其优势在于用户无需安装各种应用软件和数据库,只需要通过客户端以网络的方式访问云计算平台,就可以获得用户所需的所有信息,并能快速、准确获取返回的数据,从而方便用户对信息的共享和快速完成计算任务。云计算不仅节省网络资源,而且能根据用户的特殊需求提供有针对性的网络数据帮助用户获取所需要的信息[2-4]。根据现有的云计算服务类型,可将其归为三类:软件服务(Software as a Service, SaaS)、平台服务(Platform as a Service, PaaS)和基础设施服务(Infrastructure as a Service, IaaS)。此外,还有多种其他云计算服务类型,例如:公有云、私有云、社区云、混合云等[5-6]。
云计算的核心技术室虚拟化技术,虚拟化技术能够借助虚拟机监控器实现在一台主机上运行多个虚拟机器、多个操作系统、多个应用。而对虚拟机的基本要求是:高校、资源受控以及同质。此为,对虚拟机的一个重要要求是安全。在云计算环境下,一旦虚拟机被攻破,就会出现传播效应,导致机器上所有的用户受到影响,因此,虚拟机在提高运行效率的同时对安全也提出了更高的要求。如何解决虚拟机的安全问题,首先我们引入隔离性。为了阻止虚拟机的传播效应,对各个虚拟机进行隔离,由此,一旦虚拟机发生故障时,它不会影响到其他的虚拟机工作,且要有相应的工作机制保证其他虚拟机正常进行通信。
1 基于云计算平台的虚拟机监控框架
为了保证云计算环境下客户端软件服务虚拟机的应用程序安全,并提高云计算中客户端虚拟机操作系统内核的安全,论文提出了一种用于虚拟机的动态监控框架。如图1所示。
由图1可以看出,虚拟机动态监控框架由五个部分组成,分别是策略中心、实时监控器、标准值列表、标准生成器以及关键值搜索器。在五个模块中,关键值搜索器通过获取虚拟机内核的内存来搜索用户在虚拟机中的关键值。标准生成器将转换后的值存储在标准值列表中。实时监控器通过实施监控虚拟机的内存状态,并根据内存获取和分析相应的内容,根据这些内容来判断网络系统是否安全。
2 虚拟机动态监控框架的实现
图2首先给出了虚拟机动态监控框架的实现原理图。
根据图2,首先分析系统调用中内核rootkit的主要攻击目标。首先搜索用户虚拟机中的系统调用表的初始位置,根据这一结果获得对应的物理地址,标准值生成器通过进一步搜索和处理生成标准值,并将给结果保存到标准值列表中。由于系统调用表中的每一项需要占用4个字节,因此对一个4字节的内存单元,我们将其分为最高字节和次高字节两个部分。对于连续内存的次高字节,多次重复是一个重要特征。基于该特征,我们在搜索中结合了多线程搜索技术,从而可以在大范围内快速定位系统调用表的初始地址。
完成初始地址定位后,我们需要建立标准值列表。此列表需要记录系统调用函数的哈希值,即调用系统函数的内存长度。实验发现,这些内存长度有着固定的规律,除了是16的整数倍外,系统调用函数的长度通常为最大值。具体过程如图3所示。
为了准确防御攻击,监控和分析内核内存至关重要。根据系统调用表及调用函数的区别,将系统调用名作为索引对标准值列表进行查询。当查询结果与标准数据不匹配时,系统框架提示出错,表示调有攻击存在。此为,通过对攻击的详细记录,云计算服务商可以通过分析攻击数据采取有针对性的防御措施,从而改善系统的安全性能。
3 对系统的安全性分析
传统的虚拟机安全防御系统通常采用chkrootkit检测工具,由于这些工具性能较低,且在网络中没有进行任何保护,从而导致容易受到攻击。攻击通过替换rootkit就能达到扰乱虚拟机正常工作的目的。该文提出的虚拟机安全策略通过搜索用户端内核内存对应的关键词,利用关键词搜索匹配有效防御攻击,具有保护性高,计算代价小等优点。该策略无需对系统框架进行修改,具有较好的扩展性和广泛的应用前景。
参考文献:
[1] 沈松,邢剑锋,王鹏飞,朱飞.构建基于虚拟机的可信云计算平台[J].微电子与计算机,2011, 28(8): 191-194.
[2] 刘鹏程,陈榕. 面向云计算的虚拟动态迁移框架[J].计算机工程,2010, 36(5): 37-39.
[3] 马飞,刘峰,李竹伊.云计算环境下虚拟机快速实时迁移方法[J]. 2012, 35(1): 103-106.
[4] Armbrust M, Fox A, Griffith R. A view of cloud computing[J]. Communications of the ACM, 53(4): 50-58.
[5] 刘威鹏,胡俊,方艳湘,沈昌祥.基于可信计算的终端安全体系结构研究与进展[J].计算机科学,2007, 34(10): 257-263.
[6] Dunlap G W, King S T, Cinar M. Enabling intrusion analysis through virtual-machine logging and replay[J]. ACM SIGOPS Operating Systems Review, 2002, 36(5): 211-224.
[7] Davi L, Sadeghi R, Winandy M. Dynamic integrity measurement and attestation: Towards defense against return-oriented programming attacks[C]//In Proceedings of the 2009 ACM workshop on Scalable trusted computing, 2009: 49-54.
相关热词搜索: 印刷业 安全策略 虚拟机 环境 计算
