CN102843385A - 一种用于云计算环境中防范旁路攻击虚拟机的方法 - Google Patents

一种用于云计算环境中防范旁路攻击虚拟机的方法 Download PDF

Info

Publication number
CN102843385A
CN102843385A CN2012103563555A CN201210356355A CN102843385A CN 102843385 A CN102843385 A CN 102843385A CN 2012103563555 A CN2012103563555 A CN 2012103563555A CN 201210356355 A CN201210356355 A CN 201210356355A CN 102843385 A CN102843385 A CN 102843385A
Authority
CN
China
Prior art keywords
virtual machine
trust
safe level
virtual
cloud computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012103563555A
Other languages
English (en)
Other versions
CN102843385B (zh
Inventor
东方
罗军舟
沈典
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN201210356355.5A priority Critical patent/CN102843385B/zh
Publication of CN102843385A publication Critical patent/CN102843385A/zh
Application granted granted Critical
Publication of CN102843385B publication Critical patent/CN102843385B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种用于云计算环境中防范旁路攻击虚拟机的方法,该方法包括以下步骤:步骤1)根据进行旁路攻击的虚拟机的行为特征和普通虚拟机的行为特征,实时采集数据中心执行周期中的所有虚拟机的行为数据;步骤2)对步骤1)实时采集的所有虚拟机的行为数据,采用贝叶斯方法进行分类,得到各虚拟机的高、中、低、或者极低级别的安全信任级别;步骤3)读取当前数据中心拓扑中所有虚拟机的安全信任级别,对当前环境中存在威胁的虚拟机进行迁移,将不同安全信任级别的虚拟机放置在不同的物理主机中。该方法在物理上隔离恶意用户和普通用户,从而终止旁路攻击虚拟机行为,保护云计算环境中虚拟机的数据与隐私安全。

Description

一种用于云计算环境中防范旁路攻击虚拟机的方法
技术领域
本发明涉及云计算和网络安全领域,具体地说,涉及一种用于云计算环境中防范旁路攻击虚拟机的方法。 
背景技术
云计算是一种利用互联网实现随时随地、按需、便捷地访问共享资源池的计算模式。云计算的本质是共享。通过云计算,用户可以根据其业务负载快速申请或释放资源,并以按需支付的方式对所使用的资源付费,在提高服务质量的同时降低运维成本。 
云计算的服务根据其抽象层次的不同,通常可分为平台即服务(PaaS),软件即服务 (SaaS),和基础设施即服务(IaaS)。其中,平台即服务是指运营商在云端提供一种软件开发和部署的环境,对底层的OS进行了屏蔽和抽象。软件即服务是指运营商提供运行在云计算基础设施上的应用程序,用户可以在各种设备上通过诸如浏览器等客户端访问云计算应用。基础设施即服务提供给用户的服务是对云端计算设施的利用,包括处理、存储、网络和其它基本的计算资源,如图1所示,用户能够部署和运行任意软件,包括操作系统和应用程序。基础设施即服务是目前商业云计算中广泛提供的服务,典型的应用如Amazon EC2平台,本发明主要针对基础设施即服务。 
在IaaS层中,计算能力主要是利用虚拟机进行交付:云提供商可以采用出租虚拟机的方式,向用户提供所需的计算及存储服务。因此,在云计算体系结构中,虚拟化是重要的底层技术。虚拟化技术是在上层应用和底层硬件之间建立一个抽象层,通过捕获,转换,分发CPU指令,为指令访问硬件控制器和外设充当代理。虚拟化技术使得物理资源以资源池的方式统一管理,实现规模的可快速伸缩,以适应变化的负载,实现弹性服务。虚拟化技术实现了资源的逻辑抽象和统一表示,降低了云的管理复杂度,提高了资源利用率,提高了运营效率,从而有效控制了成本。其解除了云应用和物理平台的耦合关系,使得云应用不依赖物理平台的具体实现。利用这种松耦合关系,云维护者在对物理资源进行调整的时候,不会影响到上层应用。通过这种模式,用户可以根据其业务负载快速申请或释放资源,这种按需使用和付费的方式在满足用户需求的同时,节约了用户的成本。 
但是,随着云计算技术的不断发展,云计算中的安全问题日趋凸显,逐渐成为制约云计算发展的一个重要挑战。总体上看,云安全是云计算中数据外包的服务模式和大规模共享资源所带来的数据可用性,隐私性,完整性等问题的总称。根据云计算IaaS服务的特点,对IaaS层安全性研究的重点主要体现在分析与解决动态虚拟化管理方式以及多租户共享的运营模式等对数据安全与隐私保护带来的挑战: 
1) 云计算的动态虚拟化管理方式引发的安全问题。在典型的云计算服务平台中,资源以虚拟、租用的模式提供给用户,这些虚拟资源根据实际运行所需与物理资源相绑定。底层的物理资源经过虚拟化后,多个虚拟资源很可能会被绑定到相同的物理资源上。如果云平台中的虚拟化软件中存在安全漏洞,那么用户的数据就可能被其他用户访问。例如,Xen在2.6版本的虚拟显卡中存在共享帧缓冲(Shared Frame-Buffer)安全漏洞,恶意用户在客户虚拟机器中可利用该漏洞,占用所有显存,导致DoS问题。
2) 云环境是一个开放的环境,来自世界各地不同目的的用户都可以租用该环境。对于黑客,或者是网络犯罪分子亦然。普通用户同黑客及网络犯罪分子共处同一云环境会产生担忧和影响。用户担心自己成为黑客的目标,被同行或者竞争对手盗取商业机密和隐私。例如,有研究者在亚马逊EC2平台上利用在云计算中和目标用户共享硬件资源的特点实施攻击,获得了目标用户信息。因此,如果云计算平台无法实现用户数据与其他企业用户数据的有效隔离,用户不知道自己的邻居是谁、有何企图,那么云服务商就无法说服用户相信自己的数据是安全的。 
由于虚拟化技术的使用,云计算中物理资源对于很多用户是共享的,这意味着云中一个用户的行为完全有可能暴露给另一个用户,从而泄露用户本身的隐私或者商业机密。其中,比较普遍也是危害性较大的方法是利用旁路攻击技术窃取用户的隐私。基于旁路攻击方法,云环境中的恶意用户可以通过检测网络数据包的响应时间,检测虚拟机Dom0的IP地址等方法映射虚拟环境,确定和目标虚拟机定位在同一台物理机上。然后不断申请和撤销虚拟机,通过暴力放置的方法,和目标虚拟机放置在同一物理机器上。通过旁路攻击,恶意用户可以获得同一硬件上的其他用户访问CPU,内存,网络等的行为模式,窃取用户的隐私或者商业机密。比如,攻击者可以制造CPU负载,观察CPU负载的尖刺变化,判断用户是否进行了按键,然后通过按键频率的变化推测具体的输入内容,对用户的隐私以及私密数据带来威胁。 
综上所述,旁路攻击给用户隐私和数据的安全造成了极大的危害,为恶意用户在云平台攻击其他用户提供了机会。而针对旁路攻击的研究起步不久,目前还未有能有效防范旁路攻击的方法。因此,为了应对云计算虚拟化管理方式以及多租户共享的运营模式所带来的挑战,本发明主要针对其中由于虚拟化所引入的旁路攻击问题进行防范,在保证云计算环境的开放性和共享的前提下,保障其中用户的数据的隐私和安全。 
根据现有对云计算中旁路攻击的研究可知,在旁路攻击的模式中,最主要的威胁来自于云平台中的恶意用户。恶意用户利用了在云计算环境中和其他用户共享物理资源的特点,使用旁路攻击方法威胁其他用户数据的隐私和安全。因此,为了防范旁路攻击,应该从避免攻击者和目标虚拟机定位在同一物理机这个角度入手,从而在物理上隔离恶意用户和普通用户,这样才能从根本上屏蔽旁路攻击。目前在云计算的技术架构中,提供商以虚拟化的方式整合物理资源,向用户提供计算资源租用服务,用户以租用虚拟机的模式使用云计算中的物理资源。因此,云计算中资源分配的问题从虚拟机的角度来看,核心上是虚拟机放置问题。在目前的虚拟机放置算法中,云提供商为了更有效利用物理资源,往往将不同用户的虚拟机放置在同一物理机上。这给恶意用户利用旁路攻击方法攻击普通用户提供了机会。因此,为了在物理上隔离恶意用户和普通用户,本发明在数据中心运行时动态监测虚拟机行为,根据采集到的虚拟机行为数据,使用贝叶斯方法进行虚拟机的安全信任级别分类,在保证服务可用性的基础上,结合虚拟机放置策略,迁移恶意用户的虚拟机,使得恶意用户无法与目标用户定位在同一台物理机上,在物理上屏蔽旁路攻击所依赖的隐蔽信道,以防范旁路攻击。基于此,本发明通过在云控制端采集用户行为,建立基于贝叶斯模型的用户行为数据模型并提出相应的安全信任级别分级策略;在此基础上提出基于用户安全信任级别的虚拟机放置策略,从而防范云计算中旁路攻击问题,保护云计算中用户的数据与隐私安全。 
发明内容
技术问题:本发明所要解决的技术问题是:提供一种用于云计算环境中防范旁路攻击虚拟机的方法,实现对用户行为和虚拟机行为的有效监控和管理,结合虚拟机放置方法,将攻击虚拟机迁移至其他物理主机中,在物理上隔离恶意用户和普通用户,从而终止旁路攻击行为,保护云计算环境中虚拟机的数据与隐私安全。 
技术方案:为解决上述技术问题,本发明采用的技术方案是: 
一种用于云计算环境中防范旁路攻击虚拟机的方法,该方法包括以下步骤:
步骤 1) 根据进行旁路攻击的虚拟机的行为特征和普通虚拟机的行为特征,实时采集数据中心执行周期中的所有虚拟机的行为数据;
步骤2) 对步骤1)实时采集的所有虚拟机的行为数据,采用贝叶斯方法进行分类,得到各虚拟机的高、中、低、或者极低级别的安全信任级别;
步骤3) 读取当前数据中心拓扑中所有虚拟机的安全信任级别,对当前环境中存在威胁的虚拟机进行迁移,将不同安全信任级别的虚拟机放置在不同的物理主机中。
有益效果:与现有技术相比,本发明具有以下有益效果: 
1.可以防范旁路攻击,保障云计算环境中虚拟机的安全。本发明通过对虚拟机行为采集,进行安全信任级别分类,基于此安全信任级别,通过结合虚拟机放置策略,在物理上隔离攻击虚拟机和目标虚拟机可以彻底屏蔽旁路攻击所依赖的所有隐蔽信道,从而从根本上防范旁路攻击,保障了云计算环境中虚拟机的安全。本发明提取旁路攻击的行为特征,为针对该种类攻击的研究提供了参考。
2.对虚拟机行为,包括虚拟机资源使用行为和用户对虚拟机的操作行为进行检测,为优化数据中心性能的相关研究提供了新思路。 
3.将旁路攻击的防范和虚拟机放置问题进行有机结合,为有效解决云计算环境中的安全问题提供了新思路。 
4.虚拟机行为的检测和分析算法简单有效,正确率较高,复杂度较低,可以适用于大规模的数据中心环境。 
附图说明 
图1为现有的云计算中IaaS服务模式。
图2为本发明实现的模块交互图。 
图3为本发明实现的虚拟机行为分析模块流程图。 
图4为本发明实现的虚拟机放置模块流程图。 
具体实施方式
    下面结合附图,对本发明的技术方案进行详细的说明。 
如图2至图4所示,本发明的一种用于云计算环境中防范旁路攻击虚拟机的方法,包括以下步骤: 
步骤 1) 根据进行旁路攻击的虚拟机的行为特征和普通虚拟机的行为特征,实时采集数据中心执行周期中的所有虚拟机的行为数据。
在步骤1)中,所有虚拟机的行为数据包括虚拟机的资源使用特征和用户操作该虚拟机的行为特征,其中,虚拟机的资源使用特征包含虚拟机CPU的峰值使用率、采集周期内的虚拟机CPU的平均使用率、采集周期内虚拟机CPU缓存的平均使用率、虚拟机内存的峰值使用率、采集周期内虚拟机内存的平均使用率、采集周期内虚拟机硬盘IO总传输量和采集周期内网络IO总传输量,虚拟机硬盘IO总传输量以MB为单位,网络IO总传输量以KB为单位;用户操作该虚拟机的行为特征包括:用户平均每分钟申请虚拟机的次数、用户平均每分钟撤销虚拟机的次数、用户平均每分钟登录云计算平台的次数和虚拟机平均每次运行时间,虚拟机平均每次运行时间以秒为单位。 
步骤2) 对步骤1)实时采集的所有虚拟机的行为数据,采用贝叶斯方法进行分类,得到各虚拟机的高、中、低、或者极低级别的安全信任级别。如图3所示,步骤2)包括以下内容: 
对于正在运行的虚拟机,步骤2)包括以下步骤:
步骤201)读取该虚拟机的历史行为数据;
步骤202)利用贝叶斯方法,重新得到该虚拟机的安全信任级别;
步骤203)如果该虚拟机的安全信任级别发生变化,则进入步骤3);如果该虚拟机的安全信任级别没有发生变化,则返回步骤1)。
对于用户申请的虚拟机刚进入系统时,步骤2)包括以下步骤: 
步骤204)计算用户登陆频率,更新该虚拟机的行为数据;
步骤205)读取该虚拟机的历史行为数据;
步骤206)利用贝叶斯方法,重新得到该虚拟机的安全信任级别;
步骤207)如果该虚拟机的安全信任级别发生变化,则进入步骤3);如果该虚拟机的安全信任级别没有发生变化,则返回步骤1)。
步骤3) 读取当前数据中心拓扑中所有虚拟机的安全信任级别,对当前环境中存在威胁的虚拟机进行迁移,将不同安全信任级别的虚拟机放置在不同的物理主机中。 
在步骤3)中,存在威胁的虚拟机是指安全信任级别不同的虚拟机放置在同一物理主机上。如图4所示,步骤3)具体包括以下步骤: 
步骤301)读取当前数据中心拓扑中每一台虚拟机的安全信任级别;
步骤302)采集每一台虚拟机的行为数据;
步骤303)判断当前数据中心拓扑中每一台物理主机中放置的所有虚拟机的安全信任级别是否存在冲突,若存在安全信任级别冲突,则执行步骤304);若不存在安全信任级别冲突,则延迟3-7min后,返回步骤301);
步骤304)在每台物理主机中,对含有同一安全信任级别L、且数量最多的虚拟机的物理主机,称为该物理主机被安全信任级别L占领,该物理主机的级别为L;
步骤305)遍历数据中心中的物理主机,将物理主机中安全信任级别不为L的虚拟机利用虚拟机调度驱动,迁移至下一台可以容纳安全信任级别不为L的虚拟机的物理主机中,直至数据中心中所有物理主机的级别均与其容纳的虚拟机的安全信任级别相同,得到当前数据中心中虚拟机放置拓扑。
在步骤1)和步骤302)中,采集的虚拟机的行为数据分为三种情况,第一种情况: 
对于新进入云环境中的虚拟机,将该虚拟机放置在用于存放新进入数据中心的虚拟机的物理主机中,运行一定周期后,采集周期内的行为数据;第二种情况:对于正在运行的虚拟机,采集其当前的行为数据;第三种情况:对于第二次或第二次以上进入数据中心,且当前没有进入数据中心的虚拟机,采集该虚拟机的历史行为数据。
所述的虚拟机的历史行为数据包括过去24h内虚拟机CPU的峰值使用率的平均值、过去24h内虚拟机CPU的平均使用率、过去24h内虚拟机CPU缓存的平均使用率、过去24h内虚拟机内存的峰值使用率平均值、过去24h内虚拟机内存的平均使用率、过去24h内虚拟机硬盘IO总传输量规格化值和过去24h内网络IO总传输量规格化值、过去24h内用户平均每分钟申请虚拟机的次数、过去24h内用户平均每分钟撤销虚拟机的次数、过去24h内用户平均每分钟登录云计算平台的次数和过去24h虚拟机平均每次运行时间,过去24h虚拟机平均每次运行时间以秒为单位。 
如图2所示,在云计算IaaS(对应中文是:基础设施,即服务)的体系结构中,底层为物理节点,节点之间通过以太网进行连接。在物理节点上安装虚拟化软件Xen,对底层物理节点进行虚拟化,实现硬件的虚拟化管理,将分散的服务器计算资源整合为统一管理的资源池。资源池的上层为IaaS平台层,该层主要部署Openstack软件,为提供对底层虚拟机的操作。对虚拟机的操作包括开启,关闭,重启,快照虚拟机等。最上层为用户接口层,供用户对IaaS服务进行访问。在此IaaS基本结构的基础上,增加虚拟机行为监控模块,虚拟机行为分析模块和虚拟机迁移模块。其中具体的实施步骤如下: 
在虚拟机行为采集模块中,采集的虚拟机行为包括:CPU使用率,CPU缓存使用率,内存使用率,硬盘IO传输量,网络IO传输量,申请虚拟机的频率,撤销虚拟机的频率,登录频率,平均虚拟机运行时间等。上述行为数据中,CPU使用率和内存使用率可以通过Xenwatch工具采集得到,硬盘IO传输量和网络IO传输量可以通过Linux中的RRDTools工具测量得到。用户通过操作接口对虚拟机的操作行为保存在Openstack管理日志中,行为数据采集模块通过分析日志得到用户申请和释放虚拟机的频率。在虚拟机行为采集模块中,根据分析得到的旁路攻击虚拟机的行为特征以及普通虚拟机的行为特征,对数据中心执行周期中的所有虚拟机行为进行实时采集。普通虚拟机是当前数据中心拓扑中除了进行旁路攻击的虚拟机以外的虚拟机。数据中心中的虚拟机分为两种:一种是进行旁路攻击的虚拟机,另一种是没有进行旁路攻击的虚拟机(即普通虚拟机)。
在虚拟机行为分析模块中,以采集到的虚拟机行为数据作为输入,利用贝叶斯算法对虚拟机行为进行分类,输出虚拟机的安全信任级别分类。该模块的执行过程主要分为三个阶段。第一阶段确定虚拟机行为的特征属性。对虚拟机的特征属性进行适当划分,分为{VM behavior,User behavior},其中VM behavior包含如CPU Cache使用率,IO使用率等。User behavior包括申请,撤销虚拟机的频率等。收集一组已知分类C虚拟机运行时数据,形成训练样本集合。第二阶段为训练阶段,计算每个目标安全信任级别分类在训练样本中的出现频率及每个特征属性划分X对每个类别的条件概率估计,对出现频率为0的安全信任级别分类进行Laplace校准。第三阶段使用分类器对待分类项进行分类。实时监控虚拟机运行时行为,将行为输入分类器,分类器根据训练得的目标函数f(x)计算其最有可能的分类,最后输出该分类,分类完成。根据贝叶斯方法,首先需要用收集到的样本建立样本空间,利用该样本空间对分类器进行训练。将采集到的实时行为数据输入经过训练后的分类器,可以对虚拟机的实时行为进行分类。 
在虚拟机放置模块中,读取当前数据中心拓扑中所有虚拟机的安全信任级别,采用OCU-MIG算法选择需要迁移的虚拟机和目标主机。 将放置结果形成虚拟机迁移列表,调用Openstack中的虚拟机迁移驱动进行虚拟机放置。对当前环境中存在威胁的虚拟机进行迁移,将不同安全信任级别的虚拟机放置在不同的物理主机。 
将上述模块部署在IaaS管理软件中,结合IaaS管理软件中已有的功能,可以进行虚拟机行为的有效监控,当发现数据中心中存在正在进行攻击的虚拟机时,动态调整该虚拟机的安全信任评级。当数据中心中存在安全信任评级的变化时,动态调整虚拟机的放置,时刻确保数据中心中普通用户的虚拟机不受到旁路攻击的威胁。 
本发明的用于云计算环境中防范旁路攻击的方法,结合IaaS管理平台中已有的功能,在平台中增加三个模块,分别是虚拟机行为采集模块,虚拟机行为分析模块和虚拟机迁移模块,对虚拟机进行安全信任级别分类,利用虚拟机的安全信任级别进行分级放置。 
本发明还可有其他多种实施方式,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。 

Claims (8)

1.一种用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:该方法包括以下步骤:
步骤 1) 根据进行旁路攻击的虚拟机的行为特征和普通虚拟机的行为特征,实时采集数据中心执行周期中的所有虚拟机的行为数据;
步骤2) 对步骤1)实时采集的所有虚拟机的行为数据,采用贝叶斯方法进行分类,得到各虚拟机的高、中、低、或者极低级别的安全信任级别;
步骤3) 读取当前数据中心拓扑中所有虚拟机的安全信任级别,对当前环境中存在威胁的虚拟机进行迁移,将不同安全信任级别的虚拟机放置在不同的物理主机中。
2. 根据权利要求1所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的步骤1)中,所有虚拟机的行为数据包括虚拟机的资源使用特征和用户操作该虚拟机的行为特征,其中,虚拟机的资源使用特征包含虚拟机CPU的峰值使用率、采集周期内的虚拟机CPU的平均使用率、采集周期内虚拟机CPU缓存的平均使用率、虚拟机内存的峰值使用率、采集周期内虚拟机内存的平均使用率、采集周期内虚拟机硬盘IO总传输量和采集周期内网络IO总传输量,虚拟机硬盘IO总传输量以MB为单位,网络IO总传输量以KB为单位;用户操作该虚拟机的行为特征包括:用户平均每分钟申请虚拟机的次数、用户平均每分钟撤销虚拟机的次数、用户平均每分钟登录云计算平台的次数和虚拟机平均每次运行时间,虚拟机平均每次运行时间以秒为单位。
3. 根据权利要求1所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的步骤2),对于正在运行的虚拟机,步骤2)包括以下步骤:
步骤201)读取该虚拟机的历史行为数据;
步骤202)利用贝叶斯方法,重新得到该虚拟机的安全信任级别;
步骤203)如果该虚拟机的安全信任级别发生变化,则进入步骤3);如果该虚拟机的安全信任级别没有发生变化,则返回步骤1)。
4. 根据权利要求1所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的步骤2),对于用户申请的虚拟机刚进入系统时,步骤2)包括以下步骤:
步骤204)计算用户登陆频率,更新该虚拟机的行为数据;
步骤205)读取该虚拟机的历史行为数据;
步骤206)利用贝叶斯方法,重新得到该虚拟机的安全信任级别;
步骤207)如果该虚拟机的安全信任级别发生变化,则进入步骤3);如果该虚拟机的安全信任级别没有发生变化,则返回步骤1)。
5. 根据权利要求1所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的步骤3)包括以下步骤:
步骤301)读取当前数据中心拓扑中每一台虚拟机的安全信任级别;
步骤302)采集每一台虚拟机的行为数据;
步骤303)判断当前数据中心拓扑中每一台物理主机中放置的所有虚拟机的安全信任级别是否存在冲突,若存在安全信任级别冲突,则执行步骤304);若不存在安全信任级别冲突,则延迟3-7min后,返回步骤301);
步骤304)在每台物理主机中,对含有同一安全信任级别L、且数量最多的虚拟机的物理主机,称为该物理主机被安全信任级别L占领,该物理主机的级别为L;
步骤305)遍历数据中心中的物理主机,将物理主机中安全信任级别不为L的虚拟机利用虚拟机调度驱动,迁移至下一台可以容纳安全信任级别不为L的虚拟机的物理主机中,直至数据中心中所有物理主机的级别均与其容纳的虚拟机的安全信任级别相同,得到当前数据中心中虚拟机放置拓扑。
6. 根据权利要求5所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的步骤1)和步骤302)中,
对于新进入云环境中的虚拟机,将该虚拟机放置在用于存放新进入数据中心的虚拟机的物理主机中,运行一定周期后,采集周期内的行为数据;
对于正在运行的虚拟机,采集其当前的行为数据; 
对于第二次或第二次以上进入数据中心,且当前没有进入数据中心的虚拟机,采集该虚拟机的历史行为数据。
7. 根据权利要求1所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的步骤3)中,存在威胁的虚拟机是指安全信任级别不同的虚拟机放置在同一物理主机上。
8. 根据权利要求3、4或6所述的用于云计算环境中防范旁路攻击虚拟机的方法,其特征在于:所述的虚拟机的历史行为数据包括过去24h内虚拟机CPU的峰值使用率的平均值、过去24h内虚拟机CPU的平均使用率、过去24h内虚拟机CPU缓存的平均使用率、过去24h内虚拟机内存的峰值使用率平均值、过去24h内虚拟机内存的平均使用率、过去24h内虚拟机硬盘IO总传输量规格化值和过去24h内网络IO总传输量规格化值、过去24h内用户平均每分钟申请虚拟机的次数、过去24h内用户平均每分钟撤销虚拟机的次数、过去24h内用户平均每分钟登录云计算平台的次数和过去24h虚拟机平均每次运行时间,过去24h虚拟机平均每次运行时间以秒为单位。
CN201210356355.5A 2012-09-24 2012-09-24 一种用于云计算环境中防范旁路攻击虚拟机的方法 Active CN102843385B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210356355.5A CN102843385B (zh) 2012-09-24 2012-09-24 一种用于云计算环境中防范旁路攻击虚拟机的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210356355.5A CN102843385B (zh) 2012-09-24 2012-09-24 一种用于云计算环境中防范旁路攻击虚拟机的方法

Publications (2)

Publication Number Publication Date
CN102843385A true CN102843385A (zh) 2012-12-26
CN102843385B CN102843385B (zh) 2015-04-15

Family

ID=47370445

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210356355.5A Active CN102843385B (zh) 2012-09-24 2012-09-24 一种用于云计算环境中防范旁路攻击虚拟机的方法

Country Status (1)

Country Link
CN (1) CN102843385B (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929413A (zh) * 2013-12-16 2014-07-16 汉柏科技有限公司 一种云网络防止受到攻击的方法及装置
WO2016023386A1 (zh) * 2014-08-12 2016-02-18 中兴通讯股份有限公司 云安全的维护处理方法及装置
CN105450751A (zh) * 2015-12-01 2016-03-30 成都中讯创新信息技术有限公司 一种提高云计算环境稳定性的系统
CN105550574A (zh) * 2015-12-11 2016-05-04 南京大学 基于内存活动的边信道攻击取证系统及方法
CN106209457A (zh) * 2016-07-14 2016-12-07 北京工业大学 应对智能家居环境中旁路攻击的隐私保护方法及系统
CN106484496A (zh) * 2016-10-28 2017-03-08 云南大学 基于贝叶斯网的虚拟机底层环境特征分析与性能度量方法
CN106506435A (zh) * 2015-09-08 2017-03-15 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
WO2017071033A1 (zh) * 2015-10-26 2017-05-04 中国互联网络信息中心 一种基于安全评价的云数据中心资源分配方法
CN107257978A (zh) * 2015-03-24 2017-10-17 英特尔公司 抵抗旁路攻击的定制保护
CN103902885B (zh) * 2014-03-04 2017-11-17 重庆邮电大学 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
CN109325344A (zh) * 2018-09-13 2019-02-12 郑州云海信息技术有限公司 一种云环境中防御侧信道攻击的虚拟机迁移方法及系统
CN109379384A (zh) * 2018-12-10 2019-02-22 广东电网有限责任公司 无线网络安全隔离方法、装置及电子设备
US10567422B2 (en) 2014-11-26 2020-02-18 Huawei Technologies Co., Ltd. Method, apparatus and system for processing attack behavior of cloud application in cloud computing system
CN110908769A (zh) * 2019-10-31 2020-03-24 北京浪潮数据技术有限公司 一种虚拟机迁移方法、系统、电子设备及存储介质
CN115643058A (zh) * 2022-10-09 2023-01-24 上海有孚网络股份有限公司 云虚拟机零信任处理及运维方法、装置、电子设备、介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011143103A2 (en) * 2010-05-10 2011-11-17 Citrix Systems, Inc. Redirection of information from secure virtual machines to unsecure virtual machines
CN102571746A (zh) * 2011-11-23 2012-07-11 西安交通大学 一种面向云计算环境侧通道攻击防御的虚拟机部署方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011143103A2 (en) * 2010-05-10 2011-11-17 Citrix Systems, Inc. Redirection of information from secure virtual machines to unsecure virtual machines
CN102571746A (zh) * 2011-11-23 2012-07-11 西安交通大学 一种面向云计算环境侧通道攻击防御的虚拟机部署方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NING LIU等: "A resource & capability virtualization method for cloud manufacturing systems", 《SYSTEMS, MAN, AND CYBERNETICS (SMC), 2011》 *

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929413A (zh) * 2013-12-16 2014-07-16 汉柏科技有限公司 一种云网络防止受到攻击的方法及装置
CN103902885B (zh) * 2014-03-04 2017-11-17 重庆邮电大学 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
WO2016023386A1 (zh) * 2014-08-12 2016-02-18 中兴通讯股份有限公司 云安全的维护处理方法及装置
US10567422B2 (en) 2014-11-26 2020-02-18 Huawei Technologies Co., Ltd. Method, apparatus and system for processing attack behavior of cloud application in cloud computing system
CN107257978B (zh) * 2015-03-24 2021-10-29 英特尔公司 抵抗旁路攻击的定制保护
CN107257978A (zh) * 2015-03-24 2017-10-17 英特尔公司 抵抗旁路攻击的定制保护
CN106506435B (zh) * 2015-09-08 2019-08-06 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
CN106506435A (zh) * 2015-09-08 2017-03-15 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
WO2017071033A1 (zh) * 2015-10-26 2017-05-04 中国互联网络信息中心 一种基于安全评价的云数据中心资源分配方法
CN105450751B (zh) * 2015-12-01 2018-09-25 成都中讯创新信息技术有限公司 一种提高云计算环境稳定性的系统
CN105450751A (zh) * 2015-12-01 2016-03-30 成都中讯创新信息技术有限公司 一种提高云计算环境稳定性的系统
CN105550574B (zh) * 2015-12-11 2018-05-25 南京大学 基于内存活动的边信道攻击取证系统及方法
CN105550574A (zh) * 2015-12-11 2016-05-04 南京大学 基于内存活动的边信道攻击取证系统及方法
CN106209457B (zh) * 2016-07-14 2019-03-12 北京工业大学 应对智能家居环境中旁路攻击的隐私保护方法及系统
CN106209457A (zh) * 2016-07-14 2016-12-07 北京工业大学 应对智能家居环境中旁路攻击的隐私保护方法及系统
CN106484496A (zh) * 2016-10-28 2017-03-08 云南大学 基于贝叶斯网的虚拟机底层环境特征分析与性能度量方法
CN106484496B (zh) * 2016-10-28 2019-08-20 云南大学 基于贝叶斯网的虚拟机底层环境特征分析与性能度量方法
CN109325344A (zh) * 2018-09-13 2019-02-12 郑州云海信息技术有限公司 一种云环境中防御侧信道攻击的虚拟机迁移方法及系统
CN109379384A (zh) * 2018-12-10 2019-02-22 广东电网有限责任公司 无线网络安全隔离方法、装置及电子设备
CN110908769A (zh) * 2019-10-31 2020-03-24 北京浪潮数据技术有限公司 一种虚拟机迁移方法、系统、电子设备及存储介质
CN115643058A (zh) * 2022-10-09 2023-01-24 上海有孚网络股份有限公司 云虚拟机零信任处理及运维方法、装置、电子设备、介质

Also Published As

Publication number Publication date
CN102843385B (zh) 2015-04-15

Similar Documents

Publication Publication Date Title
CN102843385B (zh) 一种用于云计算环境中防范旁路攻击虚拟机的方法
US9166988B1 (en) System and method for controlling virtual network including security function
US9906547B2 (en) Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history
KR101059199B1 (ko) 클라우드 컴퓨팅 통합보안관제시스템 및 그 방법
US9756060B2 (en) Security management in a networked computing environment
CN104144142B (zh) 一种Web漏洞挖掘方法及系统
US10896059B2 (en) Dynamically allocating cache in a multi-tenant processing infrastructure
CN103679026B (zh) 一种云计算环境下的恶意程序智能防御系统及防御方法
CN107403094A (zh) 在形成分布式系统的虚拟机之间分布文件以执行防病毒扫描的系统和方法
JP7522130B2 (ja) Siemルール・ソーティングおよび条件付き実行のためのシステムおよび方法
JP2023549723A (ja) 動的ハニーポットデータベース応答生成による標的型のデータベース攻撃への防御
US20190004917A1 (en) Kernel-based power consumption and isolation and defense against emerging power attacks
CN102968591B (zh) 基于行为片段共享的恶意软件特征聚类分析方法及系统
US9930070B2 (en) Modifying security policies of related resources
Shah et al. An approach towards digital forensic framework for cloud
Messina et al. An agent based architecture for vm software tracking in cloud federations
Zhang et al. Host-based dos attacks and defense in the cloud
CN105550574B (zh) 基于内存活动的边信道攻击取证系统及方法
Buzzio-Garcia Creation of a high-interaction honeypot system based-on docker containers
CN111262875B (zh) 服务器安全监测方法、装置、系统及存储介质
Pitropakis et al. If you want to know about a hunter, study his prey: detection of network based attacks on KVM based cloud environments
Zhang et al. Xen-based virtual honeypot system for smart device
US20170277792A1 (en) Adaptive response generation on an endpoint
Canali et al. Agate: Adaptive gray area-based technique to cluster virtual machines with similar behavior
Dhake et al. Cloud Forensics: Threat Assessment and Proposed Mitigations

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant