CN102571746A - 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 - Google Patents
一种面向云计算环境侧通道攻击防御的虚拟机部署方法 Download PDFInfo
- Publication number
- CN102571746A CN102571746A CN2011103760370A CN201110376037A CN102571746A CN 102571746 A CN102571746 A CN 102571746A CN 2011103760370 A CN2011103760370 A CN 2011103760370A CN 201110376037 A CN201110376037 A CN 201110376037A CN 102571746 A CN102571746 A CN 102571746A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- rep
- user
- prestige
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供本发明一种面向云计算环境侧通道攻击防御的虚拟机部署方法,包括以下步骤:(1)基于虚拟机数量的用户资源池映射;(2)用户信誉的计算;(3)基于信誉的用户资源池映射;(4)虚拟机的部署。采用本发明方法,系统中的虚拟机同驻率能够减小30%左右,而资源利用率减小了5%左右;本发明通过减小虚拟机同驻率,有效地增强了用户虚拟机执行环境的隔离强度;本发明方法可以有效地提高云计算系统对于侧通道攻击防御能力,同时没有过多的损失资源利用率。
Description
【技术领域】
本发明涉及计算机技术领域,特别涉及一种面向云计算环境侧通道攻击防御的虚拟机部署方法。
【背景技术】
云计算将计算和数据资源从用户桌面或企业内部迁移到Web上,几乎所有IT资源都可以作为云服务来提供:应用程序、编程工具、计算能力、存储容量,以至于通信服务和协作工具等。在云计算环境中,用户只需通过网络终端(例如手机、PDA、PC等)即可使用云计算提供的各种软件、存储、计算等服务。同时,作为一种新型网络计算模式,云计算不仅能够减少企业对IT设备的成本支出,同时可以大规模节省企业预算,以一种相比传统IT更经济的方式提供IT服务。由于云计算的发展理念符合当前低碳经济与绿色计算的总体趋势,它也为世界各国政府、企业所大力倡导与推动,正在带来计算领域、商业领域的巨大变革。美林投资银行分析认为,到2011年,全球云计算市场规模将达到1600亿美元;IDC公司和赛迪顾问分别预计,到2012年,美国云计算总开支将达到400亿美元,中国的云市场规模也将达到600亿元以上;Gartner公司评出的2011年十大战略技术中,云计算排名首位;未来几年,云计算市场的增速将超过IT行业整体增长速度,其中云存储的快速增长将成为最大的亮点。
目前,云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务。但在已经实现的云计算服务中,安全和隐私问题一直令人担忧,并已经成为阻碍云计算普及和推广的主要因素之一。侧通道攻击(Side-Channel-Attacks,SCA)即为这样一种对用户的数据、应用的安全性和敏感信息的私密性产生威胁的攻击方式。
然而由于数据和服务外包、资源虚拟化、跨域使用等特性,具有不同应用背景的用户共享物理资源,共享资源池将成为云计算的安全瓶颈。在云计算环境中,典型的侧通道攻击方式为恶意用户运行和控制多个虚拟机实例,并且将其虚拟机部署到与目标虚拟机同一物理机后(即实现虚拟机同驻),通过分析共享物理资源(如CPU缓存、分支目标缓冲器、网络队列等)的状态信息,最终获取其他用户的私密信息。
侧通道攻击最初由Kocher提出,在单机多进程环境中攻击者可以利用这类攻击攻破RSA、AES等加密算法。David等成功地在校园网的两个节点(节点通过数个路由器和交换机相连)之间实现了侧通道攻击,由此,SCA的危害性引起了人们的关注。在云计算环境中,大规模并行性、资源的共享和虚拟化等特性使得SCA更多样化、更难发现、更难控制。多租户服务模式及资源共享特性使得攻击者与被攻击者的虚拟机运行在同一台物理机中成为可能,Ristenpart等发现在Amazon的EC2中,恶意用户仅花费几美金制造的一种简单攻击场景便可实现40%的虚拟机同驻率,并且成功盗取其他用户虚拟机中的私密信息,例如基于虚拟机的web服务器的访问流量信息等。Chen等描述了SaaS交付应用程序的操作细节及其如何通过网络信息导致侧通道泄漏,并可能引发严重的安全隐患的过程,提出即使在SaaS加密的情况下,攻击者也可能获得用户最敏感、最私密的信息,并结合医疗保健、税收、投资及网络搜索等实际应用说明SCA在云计算环境中已经成为了现实,将来必成为一种安全挑战。Eran等提出可以采用cache状态规范化、进程阻塞和数据依赖的内存访问模式、禁止cache共享等方式实现基于cache的侧通道攻击的防御。Raj等等针对云计算平台中缓存共享问题,提出了两种资源隔离技术,即具有缓存层次意识的核分配算法及基于页染色的缓存分割算法。Jin等提出了一种在VMM中实现的cache分割算法,以一种对虚拟机操作系统透明的方式实现cache分割。Hu提出的模糊时间技术,可以有效地减小隐蔽时间通道带宽,从而减小隐蔽通道攻击的成功率。
现有研究工作表明,侧通道攻击已对云计算环境构成安全威胁。然而,目前对于侧通道攻击防御技术的研究主要面向单机环境,而且主要有以下两方面的不足:(1)计算负载过大且面向非标准化的硬件,在实际环境中使用效果不理想;(2)这些方法的提出是基于已经掌握了所有的侧通道攻击模式这样一种理想的条件,在现实环境中同样是不可行的。
【发明内容】
本发明的目的在于针对上述技术问题,提供一种面向云计算环境侧通道攻击防御的虚拟机部署方法,本方法将针对云计算环境,从面向用户的虚拟机隔离这一全新的角度进行侧通道攻击的防御。
为了实现上述目的,本发明采用如下技术方案:
一种面向云计算环境侧通道攻击防御的虚拟机部署方法,将云资源池划分为三个相互隔离的资源池:资源池I、资源池II及资源池III;
具体包括以下步骤:
步骤一、基于虚拟机数量的用户资源池映射:
如果用户申请的虚拟机数量加上其已经拥有的虚拟机数量小于或等于虚拟机数量阈值ηthreshold,则将其虚拟机映射到资源池I中;虚拟机数量阈值ηthreshold为云计算系统中的单台服务器所能支持的虚拟机数量的最大值,如公式3所示:
其中,VMSi表示云计算系统中的服务器Si支持的虚拟机数量。
本发明进一步的改进在于:所述方法还包括以下步骤:
步骤二、用户信誉的计算:
1)根据式(10)对各指标值进行规格化处理后,根据式(11)可以得到时刻t信誉决策值dft,
w1=0.0158;w2=0.0265;w3=0.0629;w4=0.0629;w5=0.2773;w6=0.2773;w7=0.2773;
2)按式(12)加权平均各个时刻的信誉决策值,得到该用户的信誉值rep:
其中m为两次信誉评估时刻之间的监控次数。
本发明进一步的改进在于:所述方法还包括以下步骤:
步骤三:基于信誉的用户资源池映射
用户提交虚拟机申请需求时,统计其信誉历史值,得出其历史信誉平均值AVGrep,如式(13)所示:
其中,REPhis表示用户的历史信誉值集合,repi表示REPhis中的第i个元素;将用户历史信誉平均值AVGrep与信誉阈值ηrep比较;当AVGrep>ηrep时,将该用户的虚拟机映射到资源池II中;当AVGrep≤ηrep时,将该用户的虚拟机映射到资源池III中。
本发明进一步的改进在于:ηrep=0.65。
本发明进一步的改进在于,计算信誉阈值ηrep包括以下步骤:
(1)、统计各用户的信誉值,计算出最大值(Rmax)和最小值(Rmin);
(5)、找出方差最大的信誉均值作为信誉阈值,即
本发明进一步的改进在于:所述方法还包括虚拟机的部署及迁移步骤:
1)、输入初始温度T0,终止温度Tmin,内循环次数count及初始解X0;
2)、赋值XBest=X0,XHistory=XBest;其中XBest表示最优解,XHistory记录在新解生成过程中的最优解;
3)、生成新解XNew=generateNewSolution();并计算新解与最优解之间的部署代价差delta;
4)、如果delta小于0,将新解设置为最优解,并设置XHistory=XBest;否则计算p=Math.exp(-delta/TCurrent),并生成一个(0,1)区间的随机数random,如果p>random,则接受新解为最优解;
5)、重复步骤3)~步骤4)count次;
6)、如果T0*0.9>Tmin,则返回步骤3),否则比较XBest与XHistory的部署代价,取部署代价小者为最优解;
7)、输出最优解对虚拟机进行部署及迁移。
本发明进一步的改进在于:T0=10,Tmin=0.9。
与现有技术相比,本发明主要具有以下优点:采用本发明方法,系统中的虚拟机同驻率能够减小30%左右,而资源利用率减小了5%左右;本发明通过减小虚拟机同驻率,有效地增强了用户虚拟机执行环境的隔离强度;本发明方法可以有效地提高云计算系统对于侧通道攻击防御能力,同时没有过多的损失资源利用率。
【附图说明】
图1为本发明面向侧通道攻击防御的虚拟机部署方法的整体流程图;图中a为用户申请的虚拟机与已有虚拟机之和,b为虚拟机数量阈值ηthreshold。
【具体实施方式】
下面结合附图对本发明做进一步详细描述。
请参阅图1所示,本发明一种面向侧通道攻击防御的虚拟机部署方法(Side-channel-attacks Defense Aware Virtual Machine PlacementScheme,简称SDAVMPS),包括以下步骤:
(1)基于虚拟机数量的用户资源池映射;
(2)用户信誉的计算;
(3)基于信誉的用户资源池映射;
(4)虚拟机的部署及迁移。
以下给出本发明一种面向侧通道攻击防御的虚拟机部署方法的具体实现步骤。
步骤一:基于虚拟机数量的用户资源池映射
通过在实际云计算系统(青云实验平台)中实现一种基于CPUcache的侧通道攻击,发现恶意用户拥有和控制的虚拟机数量越多,其实施侧通道攻击获取被攻击者的私密信息的成功率越高,而当其虚拟机数量较少时,在云计算系统中获取目标用户私密信息的成功率很低,通过实验分析和计算在本发明中设定了虚拟机数量阈值(ηthreshold)为云计算系统中的单台服务器所能支持的虚拟机数量的最大值,数学描述如公式(3)所示。
其中,VMSi表示云(cloud)中的服务器Si支持的虚拟机数量。
针对用户虚拟机数量,制定的用户资源池映射策略为:如果用户申请的虚拟机数量加上其已经拥有的虚拟机数量小于或等于ηthreshold,则将其虚拟机映射到资源池I中;若大于ηthreshold,则需要通过第二步的信誉计算来确定其虚拟机所映射的资源池。
步骤二:用户信誉的计算
对于虚拟机数量超过ηthreshold的用户,其实施侧通道攻击的成功率较高,因此需要通过监控其行为来评估其实施侧通道攻击的可能性,在本发明中引用信誉的概念来描述可能性。
(1)信誉指标。通过分析侧通道攻击的行为特征,发现侧通道攻击具有以下特征:需要控制拥有较多的虚拟机;虚拟机在“云”中的分布越广攻击的成功率和危害就越大;恶意用户实施侧通道攻击的第一步往往是进行虚拟机的同驻检测(判断目标虚拟机是否与攻击虚拟机运行在同一台物理机中),为节省攻击成本探测虚拟机在完成探测后便会被用户撤销。基于此,提出了以下指标:1)虚拟机数量;2)虚拟机分布广度;3)虚拟机短时间运行次数;4)虚拟机申请、撤销频率;5)虚拟机cache失效次数;6)虚拟机CPU利用率;7)虚拟机内存利用率。具体描述如下:
1)虚拟机数量(ηvm)。拥有足够多的虚拟机实例是攻击者完成侧通道攻击的一个必要条件。
2)虚拟机分布广度(γ)。描述用户的虚拟机在虚拟机中的分布情况,式(4)给出了其定义。
其中P表示用户的虚拟机占用的服务器数量。
3)虚拟机短时间运行次数(δsr)。运行时间定义为虚拟机被创建到被撤销的时间。侧通道攻击实现过程中,探测虚拟机探测失败后即会被撤销。通过在云计算环境中模拟侧通道攻击,可统计出该时间T,并设定虚拟机运行时间小于或等于T的为短时间运行,记录下用户虚拟机短时间运行次数,即为δsr。δsr越大说明该用户进行虚拟机同驻检测的可能性越大。
4)虚拟机申请、撤销频率(ρ)。探测虚拟机探测失败后,恶意用户会立即撤销该虚拟机并重新申请虚拟机成为探测虚拟机,因此如果用户频繁的进行虚拟机的申请、撤销,认为该用户的行为可疑。式(5)给出了该指标的定义。
其中ω表示在统计时间t内用户申请、撤销虚拟机次数。ρ值越大,说明该用户为侧通道攻击者的概率越大。
5)虚拟机进程cache失效次数(δcm)。指由于虚拟机的行为导致的其所在宿主机的CPU cache的失效次数,通过在服务器中部署Oprofile可以实现对服务器cache实效次数的监控(当L2 cache失效次数达到用户的设定值时,Oprofile采样一次)。Data Cache是服务器中的一种共享物理资源,因此将其失效次数作为监控指标之一。
6)内存利用率(μmm)。恶意用户实施侧通道攻击时,需要在其虚拟机的内存空间中频繁地初始化和读写内存,因此内存利用率也是侧通道攻击的特征之一。
7)CPU利用率(μcpu)。对于基于CPU cache的侧通道攻击,在虚拟机中监控其CPU利用率,能够准确地反映其CPU的活动状态。
(2)面向侧通道攻击的信誉计算算法
在本发明中,采用“信誉”的概念来评估用户实施侧通道攻击的可能性,是一种多属性决策问题。设计了一种基于AHP(AnalyticHierarchy Process)的信誉评估算法。算法主要可以分为两个步骤,首先将得到的侧通道攻击指标值经过AHP分析融合得到信誉决策值,其次将取各个时刻的信誉决策值得到该用户的信誉值。具体步骤如算法1。
算法1.面向侧通道攻击的信誉计算算法
1)构造比较矩阵A。Ii、Ij(i=1,2,…,7,j=1,2,…,7)分别表示指标1~7,对应上文中指标的描述顺序。比较矩阵A中元素定义如式(6)所示,式中指标大小关系表示指标对于信誉影响重要性的比较。
得到比较矩阵
2)构造判断矩阵A*。对比较矩阵A进行如式(7)的变换,得到A*。
式中: xmax=max(xi),xmin=min(xi),rm=xmax/xmin;h=1,2,…,7;k=1,2,…,7;
3)按式(8)计算传递矩阵T,T中每个元素定义为top。
4)按式(9)各指标的权重(wj)。
得到各指标的权重如表1所示。
表1指标权重表
5)建立的指标体系中,指标值表示的是正向递减量纲值,因此得到各指标权重后,根据式(10)对各指标值进行规格化处理后,根据式(11)可以得到时刻t信誉决策值dft,
6)最终按式(12)加权平均各个时刻的信誉决策值,得到该用户的信誉值rep。
其中m为两次信誉评估时刻之间的监控次数。
步骤三:基于信誉的用户资源池映射
统计分析用户信誉与其行为之间的关系,得出信誉阈值(ηrep)。用户提交虚拟机申请需求时,统计其信誉历史值,得出其历史信誉平均值(AVGrep),如式(13)所示。
其中,REPhis表示用户的历史信誉值集合,repi表示REPhis中的第i个元素。
依据ηrep与AVGrep之间的关系,得到基于信誉的用户资源池映射策略如下:当AVGrep>ηrep时,将该用户的虚拟机映射到资源池II中;反之,当AVGrep≤ηrep时,将该用户的虚拟机映射到资源池III中。
基于Utsu法计算信誉阈值ηrep,过程如下:
(1)统计各用户的信誉值,计算出最大值(Rmax)和最小值(Rmin);
(5)找出方差最大的信誉均值作为信誉阈值,即
经过统计分析,在青云实验平台中采用的信誉阈值ηrep=0.65。
步骤四:虚拟机的部署
经过步骤一~步骤三,得到了不同用户的虚拟机与资源池之间的映射关系,为实现“云”资源池的优化利用,设计了一种基于模拟退火的虚拟机部署算法,能够得到近似最小分布范围的虚拟机部署方案,从而减小用户虚拟机同驻率。模拟退火算法是一种通用概率算法,用来在一个大的搜寻空间内寻找命题的最优解。
当用户的虚拟机数量或信誉值与相应阈值的大小关系发生变化时,需将其虚拟机迁移到变化后映射的资源池中。迁移过程中,仅需将虚拟机镜像转移到相应的资源池中,并在系统的数据库中进行相应的更改即可。
算法主要参数设计:
Kirkpatrick等学者提出初始温度T0=10,终止温度Tmin=0.9。
初始解的构造:用户申请虚拟机时,系统中可能已运行其虚拟机。基于此,从是否优先考虑已部署该用户虚拟机的服务器出发可以得出两种解方案,对比两种方案的部署代价,选择代价较小的作为初始解。
新解的生成:在搜寻空间内随机搜寻满足资源条件的服务器直至找到满足用户需求的解,即为新解。
部署代价:为了减小侧通道攻击引发的信息泄漏威胁,共享资源池中在提高资源利用率的同时应该尽可能的减小虚拟机的部署范围。在基于模拟退火的部署算法中,定义部署代价为用户虚拟机所分布的服务器数量。显然,算法的目标是得出部署代价最小的那一组解。
具体步骤如算法2。
算法2.基于模拟退火的虚拟机部署算法
1.输入初始温度T0,终止温度Tmin,内循环次数count及初始解X0;
2.赋值XBest=X0,XHistory=XBest;其中XBest表示最优解,XHistory记录在新解生成过程中的最优解。
3.生成新解XNew=generateNewSolution();并计算新解与最优解之间的部署代价差delta;
4.如果delta小于0,将新解设置为最优解,并设置XHistory=XBest;否则计算p=Math.exp(-delta/TCurrent),并生成一个(0,1)区间的随机数random,如果p>random,则接受新解为最优解;
5.重复步3~步4count次;
6.如果T0*0.9>Tmin,则返回步3,否则比较XBest与XHistory的部署代价,取部署代价小者为最优解。
7.输出最优解。
用户向系统提交虚拟机申请后,通过算法2可以计算出在该用户对应的资源池中资源利用率最优的部署方案,最后在系统中完成用户虚拟机的部署。
本发明部署方法在校园级云计算实验平台——青云实验平台中,该平台以KVM和Hadoop HDFS为底层支撑技术,以web服务的形式提供虚拟机租赁服务和存储空间租赁服务,部署在由10台服务器组成的集群环境中。通过虚拟机同驻率(VM Co-resident Ratio,VMCO)和资源利用率(Physical Resource Utilization Ratio,PRUR)来说明本发明的效果;虚拟机同驻率指与攻击者的虚拟机运行在同一宿主机中的虚拟机用户数与系统中总用户数的比值,如式(1)所示,资源利用率指被占用资源块与系统中总资源块的比值,如式(2)所示。通过在青云实验平台中的测试,发现通过采用本发明方法,系统中的虚拟机同驻率能够减小30%左右,而资源利用率减小了5%左右。通过减小虚拟机同驻率,有效地增强了用户虚拟机执行环境的隔离强度。因此可以认为本发明方法可以有效地提高云计算系统对于侧通道攻击防御能力,同时没有过多的损失资源利用率。
Claims (7)
1.一种面向云计算环境侧通道攻击防御的虚拟机部署方法,其特征在于,将云资源池划分为三个相互隔离的资源池:资源池I、资源池II及资源池III;具体包括以下步骤:
步骤一、基于虚拟机数量的用户资源池映射:
如果用户申请的虚拟机数量加上其已经拥有的虚拟机数量小于或等于虚拟机数量阈值ηthreshold,则将其虚拟机映射到资源池I中;虚拟机数量阈值ηthreshold为云计算系统中的单台服务器所能支持的虚拟机数量的最大值,如公式3所示:
其中,VMSi表示云计算系统中的服务器Si支持的虚拟机数量。
2.根据权利要求1所述的一种面向云计算环境侧通道攻击防御的虚拟机部署方法,其特征在于,所述方法还包括以下步骤:
步骤二、用户信誉的计算:
1)根据式(10)对各指标值进行规格化处理后,根据式(11)可以得到时刻t信誉决策值dft,
w1=0.0158;w2=0.0265;w3=0.0629;w4=0.0629;w5=0.2773;w6=0.2773;w7=0.2773;
2)按式(12)加权平均各个时刻的信誉决策值,得到该用户的信誉值rep:
其中m为两次信誉评估时刻之间的监控次数。
3.根据权利要求2所述的一种面向云计算环境侧通道攻击防御的虚拟机部署方法,其特征在于,所述方法还包括以下步骤:
步骤三:基于信誉的用户资源池映射
用户提交虚拟机申请需求时,统计其信誉历史值,得出其历史信誉平均值AVGrep,如式(13)所示:
其中,REPhis表示用户的历史信誉值集合,repi表示REPhis中的第i个元素;将用户历史信誉平均值AVGrep与信誉阈值ηrep比较;当AVGrep>ηrep时,将该用户的虚拟机映射到资源池II中;当AVGrep≤ηrep时,将该用户的虚拟机映射到资源池III中。
4.根据权利要求3所述的一种面向云计算环境侧通道攻击防御的虚拟机部署方法,其特征在于,ηrep=0.65。
6.根据权利要求1至5中任一项所述的一种面向云计算环境侧通道攻击防御的虚拟机部署方法,其特征在于,所述方法还包括虚拟机的部署步骤:
1)、输入初始温度T0,终止温度Tmin,内循环次数count及初始解X0;
2)、赋值XBest=X0,XHistory=XBest;其中XBest表示最优解,XHistory记录在新解生成过程中的最优解;
3)、生成新解XNew=generateNewSolution();并计算新解与最优解之间的部署代价差delta;
4)、如果delta小于0,将新解设置为最优解,并设置XHistory=XBest;否则计算p=Math.exp(-delta/TCurrent),并生成一个(0,1)区间的随机数random,如果p>random,则接受新解为最优解;
5)、重复步骤3)~步骤4)count次;
6)、如果T0*0.9>Tmin,则返回步骤3),否则比较XBest与XHistory的部署代价,取部署代价小者为最优解;
7)、输出最优解对虚拟机进行部署及迁移。
7.根据权利要求6所述的一种面向云计算环境侧通道攻击防御的虚拟机部署方法,其特征在于,T0=10,Tmin=0.9。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110376037.0A CN102571746B (zh) | 2011-11-23 | 2011-11-23 | 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110376037.0A CN102571746B (zh) | 2011-11-23 | 2011-11-23 | 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102571746A true CN102571746A (zh) | 2012-07-11 |
CN102571746B CN102571746B (zh) | 2014-11-05 |
Family
ID=46416228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110376037.0A Active CN102571746B (zh) | 2011-11-23 | 2011-11-23 | 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102571746B (zh) |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102843385A (zh) * | 2012-09-24 | 2012-12-26 | 东南大学 | 一种用于云计算环境中防范旁路攻击虚拟机的方法 |
CN103929413A (zh) * | 2013-12-16 | 2014-07-16 | 汉柏科技有限公司 | 一种云网络防止受到攻击的方法及装置 |
CN103970555A (zh) * | 2013-01-31 | 2014-08-06 | 中兴通讯股份有限公司 | 自适应的虚拟机启动控制方法及装置 |
CN104009885A (zh) * | 2014-05-22 | 2014-08-27 | 北京大学 | 一种云环境下基于隐蔽通道的虚拟机同驻检测方法 |
CN105550574A (zh) * | 2015-12-11 | 2016-05-04 | 南京大学 | 基于内存活动的边信道攻击取证系统及方法 |
CN105938437A (zh) * | 2016-05-30 | 2016-09-14 | 北京大学 | 一种云环境下抗同驻的虚拟机部署方法 |
CN105988859A (zh) * | 2015-03-23 | 2016-10-05 | 英派尔科技开发有限公司 | 虚拟机部署 |
CN106125888A (zh) * | 2016-06-23 | 2016-11-16 | 河海大学常州校区 | 云数据中心中基于虚拟机迁移的资源利用高效的节能方法 |
WO2017045121A1 (en) * | 2015-09-15 | 2017-03-23 | Intellectual Ventures Hong Kong Limited | Provisioning of virtual machines with security requirements |
CN106656678A (zh) * | 2017-01-23 | 2017-05-10 | 西安交通大学 | 一种基于响应时间序列数据分析的虚拟机同驻检测方法 |
CN106850732A (zh) * | 2016-11-29 | 2017-06-13 | 中国科学院信息工程研究所 | 一种面向PaaS云环境的高同驻概率实例部署方法 |
CN107169346A (zh) * | 2017-04-28 | 2017-09-15 | 中国人民解放军信息工程大学 | 基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置 |
CN103902885B (zh) * | 2014-03-04 | 2017-11-17 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
CN109656408A (zh) * | 2018-12-11 | 2019-04-19 | 深圳市德名利电子有限公司 | 基于区域镜像的触控坐标计算方法、触控装置及移动终端 |
CN109873794A (zh) * | 2017-12-04 | 2019-06-11 | 北京安云世纪科技有限公司 | 一种拒绝服务攻击的防护方法及服务器 |
US10581856B2 (en) | 2015-01-19 | 2020-03-03 | Nokia Technologies Oy | Method and apparatus for heterogeneous data storage management in cloud computing |
CN110955886A (zh) * | 2019-11-08 | 2020-04-03 | 广州供电局有限公司 | 基于沙箱的数据安全融合服务装置及其方法 |
WO2021048673A1 (en) * | 2019-09-11 | 2021-03-18 | International Business Machines Corporation | Mitigating threats to container-based workloads |
WO2023093843A1 (zh) * | 2021-11-29 | 2023-06-01 | 华为技术有限公司 | 一种配置装置、调度装置及配置方法和调度方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9438624B2 (en) * | 2013-12-04 | 2016-09-06 | Empire Technology Development Llc | Detection of side channel attacks between virtual machines |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924699A (zh) * | 2010-08-05 | 2010-12-22 | 福建星网锐捷网络有限公司 | 报文转发处理方法、系统和运营商边缘设备 |
CN102223419A (zh) * | 2011-07-05 | 2011-10-19 | 北京邮电大学 | 面向网络化操作系统的虚拟资源动态反馈均衡分配机制 |
-
2011
- 2011-11-23 CN CN201110376037.0A patent/CN102571746B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924699A (zh) * | 2010-08-05 | 2010-12-22 | 福建星网锐捷网络有限公司 | 报文转发处理方法、系统和运营商边缘设备 |
CN102223419A (zh) * | 2011-07-05 | 2011-10-19 | 北京邮电大学 | 面向网络化操作系统的虚拟资源动态反馈均衡分配机制 |
Non-Patent Citations (3)
Title |
---|
YINQIAN ZHANG,ARI JUELS,ALINA OPREA,MICHAEL K. REITER: "HomeAlone: Co-Residency Detection in the Cloud via Side-Channel Analysis", 《SECURITY AND PRIVACY》, 25 May 2011 (2011-05-25) * |
冀铁果等: "可信网络中一种基于AHP的用户行为评估方法", 《计算机工程与应用》, vol. 43, no. 19, 30 July 2007 (2007-07-30) * |
唐天兵等: "异步模拟退火的遗传算法研究", 《计算机应用》, vol. 29, no. 12, 25 January 2010 (2010-01-25) * |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102843385B (zh) * | 2012-09-24 | 2015-04-15 | 东南大学 | 一种用于云计算环境中防范旁路攻击虚拟机的方法 |
CN102843385A (zh) * | 2012-09-24 | 2012-12-26 | 东南大学 | 一种用于云计算环境中防范旁路攻击虚拟机的方法 |
CN103970555B (zh) * | 2013-01-31 | 2017-09-12 | 中兴通讯股份有限公司 | 自适应的虚拟机启动控制方法及装置 |
CN103970555A (zh) * | 2013-01-31 | 2014-08-06 | 中兴通讯股份有限公司 | 自适应的虚拟机启动控制方法及装置 |
CN103929413A (zh) * | 2013-12-16 | 2014-07-16 | 汉柏科技有限公司 | 一种云网络防止受到攻击的方法及装置 |
CN103902885B (zh) * | 2014-03-04 | 2017-11-17 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
CN104009885A (zh) * | 2014-05-22 | 2014-08-27 | 北京大学 | 一种云环境下基于隐蔽通道的虚拟机同驻检测方法 |
US10581856B2 (en) | 2015-01-19 | 2020-03-03 | Nokia Technologies Oy | Method and apparatus for heterogeneous data storage management in cloud computing |
CN105988859A (zh) * | 2015-03-23 | 2016-10-05 | 英派尔科技开发有限公司 | 虚拟机部署 |
US9965309B2 (en) | 2015-03-23 | 2018-05-08 | Empire Technology Development Llc | Virtual machine placement |
WO2017045121A1 (en) * | 2015-09-15 | 2017-03-23 | Intellectual Ventures Hong Kong Limited | Provisioning of virtual machines with security requirements |
CN105550574B (zh) * | 2015-12-11 | 2018-05-25 | 南京大学 | 基于内存活动的边信道攻击取证系统及方法 |
CN105550574A (zh) * | 2015-12-11 | 2016-05-04 | 南京大学 | 基于内存活动的边信道攻击取证系统及方法 |
CN105938437B (zh) * | 2016-05-30 | 2019-03-22 | 北京大学 | 一种云环境下抗同驻的虚拟机部署方法 |
CN105938437A (zh) * | 2016-05-30 | 2016-09-14 | 北京大学 | 一种云环境下抗同驻的虚拟机部署方法 |
CN106125888B (zh) * | 2016-06-23 | 2018-12-25 | 河海大学常州校区 | 云数据中心中基于虚拟机迁移的资源利用高效的节能方法 |
CN106125888A (zh) * | 2016-06-23 | 2016-11-16 | 河海大学常州校区 | 云数据中心中基于虚拟机迁移的资源利用高效的节能方法 |
CN106850732B (zh) * | 2016-11-29 | 2019-08-23 | 中国科学院信息工程研究所 | 一种面向PaaS云环境的高同驻概率实例部署方法 |
CN106850732A (zh) * | 2016-11-29 | 2017-06-13 | 中国科学院信息工程研究所 | 一种面向PaaS云环境的高同驻概率实例部署方法 |
CN106656678B (zh) * | 2017-01-23 | 2019-06-11 | 西安交通大学 | 一种基于响应时间序列数据分析的虚拟机同驻检测方法 |
CN106656678A (zh) * | 2017-01-23 | 2017-05-10 | 西安交通大学 | 一种基于响应时间序列数据分析的虚拟机同驻检测方法 |
CN107169346A (zh) * | 2017-04-28 | 2017-09-15 | 中国人民解放军信息工程大学 | 基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置 |
CN107169346B (zh) * | 2017-04-28 | 2019-09-06 | 中国人民解放军信息工程大学 | 基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置 |
CN109873794A (zh) * | 2017-12-04 | 2019-06-11 | 北京安云世纪科技有限公司 | 一种拒绝服务攻击的防护方法及服务器 |
CN109873794B (zh) * | 2017-12-04 | 2022-11-08 | 北京安云世纪科技有限公司 | 一种拒绝服务攻击的防护方法及服务器 |
CN109656408A (zh) * | 2018-12-11 | 2019-04-19 | 深圳市德名利电子有限公司 | 基于区域镜像的触控坐标计算方法、触控装置及移动终端 |
WO2021048673A1 (en) * | 2019-09-11 | 2021-03-18 | International Business Machines Corporation | Mitigating threats to container-based workloads |
US11093610B2 (en) | 2019-09-11 | 2021-08-17 | International Business Machines Corporation | Mitigating threats to container-based workloads |
GB2601427A (en) * | 2019-09-11 | 2022-06-01 | Kyndryl Inc | Mitigating threats to container-based workloads |
GB2601427B (en) * | 2019-09-11 | 2023-03-15 | Kyndryl Inc | Mitigating threats to container-based workloads |
CN110955886A (zh) * | 2019-11-08 | 2020-04-03 | 广州供电局有限公司 | 基于沙箱的数据安全融合服务装置及其方法 |
WO2023093843A1 (zh) * | 2021-11-29 | 2023-06-01 | 华为技术有限公司 | 一种配置装置、调度装置及配置方法和调度方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102571746B (zh) | 2014-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102571746B (zh) | 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 | |
Linkov et al. | Fundamental concepts of cyber resilience: Introduction and overview | |
An et al. | Hypergraph clustering model-based association analysis of DDOS attacks in fog computing intrusion detection system | |
CN109690551A (zh) | 区块链数据保护方法、装置、系统及计算机可读存储介质 | |
Harel et al. | Cyber security and the role of intelligent systems in addressing its challenges | |
CN105681338A (zh) | 漏洞利用成功概率计算方法及网络安全风险管理方法 | |
CN109117669B (zh) | MapReduce相似连接查询的隐私保护方法及系统 | |
Liu et al. | Intelligent jamming defense using DNN Stackelberg game in sensor edge cloud | |
CN115550078B (zh) | 一种融合动态资源池调度与响应的方法及系统 | |
CN103049704A (zh) | 移动终端自适应隐私保护方法及装置 | |
Li et al. | A risk assessment method of smart grid in cloud computing environment based on game theory | |
Arifeen et al. | Automated microsegmentation for lateral movement prevention in industrial internet of things (iiot) | |
Zhang et al. | Access control method of network security authentication information based on fuzzy reasoning algorithm | |
Yadav et al. | SmartPatch: A patch prioritization framework | |
CN107347064A (zh) | 基于神经网络算法的云计算平台态势预测方法 | |
Jain et al. | A Comparative Study on Cyber security Technology in Big data Cloud Computing Environment | |
Xie et al. | Data center based on cloud computing technology | |
CN113194059A (zh) | 移动目标防御策略选择的方法 | |
Iskra et al. | On the identification of threats to information security using the method of systemic dynamics | |
CN105069336B (zh) | 一种基于大数据权重动态智能分析的分布式安全管理方法 | |
Pramanik | Threat motivation | |
Cheng et al. | The application of cloud computing in military intelligence fusion | |
Lakhouil et al. | Cybersecurity of smart cities: A glimpse | |
KR102577809B1 (ko) | 산업 기술 유출에 관한 정보를 관리하기 위한 방법, 시스템 및 비일시성의 컴퓨터 판독 가능한 기록 매체 | |
He et al. | Information Security Countermeasures for Big Data Platforms Based on Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |