CN104009885B - 一种云环境下基于隐蔽通道的虚拟机同驻检测方法 - Google Patents

一种云环境下基于隐蔽通道的虚拟机同驻检测方法 Download PDF

Info

Publication number
CN104009885B
CN104009885B CN201410218538.XA CN201410218538A CN104009885B CN 104009885 B CN104009885 B CN 104009885B CN 201410218538 A CN201410218538 A CN 201410218538A CN 104009885 B CN104009885 B CN 104009885B
Authority
CN
China
Prior art keywords
virtual machine
machine instance
instance
channel
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201410218538.XA
Other languages
English (en)
Other versions
CN104009885A (zh
Inventor
沈晴霓
张智
陈康
李聪
任意
吴中海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peking University
Original Assignee
Peking University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peking University filed Critical Peking University
Priority to CN201410218538.XA priority Critical patent/CN104009885B/zh
Publication of CN104009885A publication Critical patent/CN104009885A/zh
Application granted granted Critical
Publication of CN104009885B publication Critical patent/CN104009885B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种云环境下基于隐蔽通道的虚拟机同驻检测方法。本方法为:1)在云平台上部署类型一致的多个虚拟机实例;2)选择基于该云平台的虚拟机监控器共享资源的一种真实隐蔽通道;3)从所述多个虚拟机实例中选取两个虚拟机实例,记为虚拟机实例A和虚拟机实例B;4)将虚拟机实例A与虚拟机实例B分别作为该隐蔽通道的发送者和接收者,利用该隐蔽通道进行通信,如果通信成功,则虚拟机实例A和虚拟机实例B同驻一台物理机;否则为不同驻。本发明提高了同驻检测的效率和可靠性,利用隐蔽通道,规避了对网络的过度依赖,在不降低性能的前提下,解决同驻检测的问题。

Description

一种云环境下基于隐蔽通道的虚拟机同驻检测方法
技术领域
本发明涉及一种虚拟机同驻检测方法,尤其涉及一种云环境下基于隐蔽通道的虚拟机同驻检测方法,属于虚拟机及网络安全技术领域。
背景技术
云计算提供了一种全新的计算模式,核心计算和软件都部署在第三方的基础设施上运行,有效的减小了部署、管理和维护数据中心的代价,同时也使用户能够以一种更便捷的方式使用各种软件、计算服务。
同驻虚拟机是指在虚拟化环境中,2台或者多台虚拟机运行在同一个物理机器上,它们共享该物理机器的资源,由虚拟机监控器对不同的虚拟机进行调度,并提供虚拟机间的隔离性与安全性。在云环境中,云服务提供商为了有效利用物理资源,会把不同租户或者同一租户的不同虚拟机部署在同一台物理机上,这使得同驻可以实现。而用户可能会对同驻有所需求,希望部署的虚拟机能够达成同驻,以满足其特殊的计算需求。现有的同驻虚拟机的检测方法和工具包括:
基于网络信息的检测
研究人员指出,在EC2(基于Xen虚拟化技术)云平台上,可以通过一些网络信息判断虚拟机的同驻,这种方法是虚拟机同驻检测方案中最易于实现的。
一般来说,2个虚拟机实例可能是同驻的,如果他们有
1)相同的Domain0的IP地址
2)很小的网络包往返时间(round-trip times,RTTs)
3)数字上接近的内部IP地址
对于方法1),在Xen虚拟化技术中,由于Domain0是一个特权虚拟机,它管理着每个虚拟机的网络通信,因此每个Guest虚拟机在进行网络通信时的第一跳地址就是Domain0的IP地址。用户可以通过向外进行网络通信的第一跳地址来确定当前物理平台上的Domain0的IP地址。若要进行同驻虚拟机探测,还需要知道目标虚拟机的Domain0的IP地址,他可以通过从外部的一台虚拟机向目标发送一个TCP SYN追踪路由,然后检测最后一跳的IP地址,这个地址就是目标虚拟机所在物理平台的Domain0IP地址了。若这个IP地址与前面探测的IP地址相同,就说明2台虚拟机是同驻的。
对于方法2),由于同驻的虚拟机处于同一个物理平台上,由一个虚拟机向与其同驻的虚拟机发送的网络包不需要经过云平台的路由,只是在物理机内部进行路由就可以到达目的虚拟机,这样一来,网络包的往返时间(RTTs)相比其他情况小很多。可以通过向不同的虚拟机多次发送网络包同时记录每次探测的平均包往返时间,其中平均包往返时间最小的那个虚拟机很有可能就是和自己虚拟机同驻的。另外,由于RTTs的探测都有个预热的过程,所以每次探测的第一个数据并不做记录。
方法3)的探测是基于EC2的内部IP分配算法设计的。一般来说,每一个虚拟机实例创建时,EC2都会按照这样一个算法给每个实例分配内部IP地址:具有相同Domain0IP地址的虚拟机实例的内部IP地址按照一定的数字顺序进行分配。由于具有相同Domain0IP地址的虚拟机是同驻的,这样拥有在数字上较为接近的内部IP地址的虚拟机很有可能会是同驻的。
在实际利用网络信息进行同驻检测时,为了提高检测的准确率,通常是综合利用以上3种方法,首先,先利用方法3)比较2个虚拟机的内部IP地址,若其在数字上接近,接着利用方法1),确定虚拟机的Domain0IP地址,若相同,则说明2个虚拟机是同驻的。为了增加探测的准确性,还可以再利用方法2)测量2个虚拟机的网络包往返时间。
同驻水印技术
同驻水印技术(Co-Residency Watermarking)是基于同驻虚拟机对物理平台网卡的多路复用带来的网络包延时问题提出的。研究人员已经证实,在云环境中同驻的虚拟机对同一物理网卡的多路复用,会阻塞物理机器的网络通信,给网络通信带来一定的延时。基于这个安全隐患,美国孟菲斯大学的研究人员提出了一种对网络信道的拒绝服务攻击方法。
Adam Bates等研究人员则更关注虚拟机的同驻检测,他们利用探测虚拟机周期性向正常进行网络通信的虚拟机的网络包注入水印标记,干扰其正常网络数据包的发送。研究人员通过测量收集正常虚拟机的网络包通信状况判断探测虚拟机是否与目标虚拟机同驻。将整个实验的时间划分为一个个大小相等的时间间隔,时间间隔分为2类,一类时间间隔中网络包的通信受到了同驻虚拟机的干扰,被加上了同驻水印;另一类时间间隔中的网络包没有被加上同驻水印。若这2类时间间隔收集的网络包的数量有明显差别,则说明检测到了虚拟机同驻;若没有明显的差别,则说明其并非同驻虚拟机。
探测方法:
首先引入几个概念:SERVER,在云环境中某个物理机器上运行的某个友好虚拟机;FLOODER,用户进行同驻探测创建的虚拟机实例;CLIENT,在云环境外运行的和FLOODER进行协作代理终端。
代理终端CLIENT首先通过已知SERVER的IP地址与目标虚拟机SERVER建立一个TCP会话,接着CLIENT周期性地向FLOODER发送信号,FLOODER接收到信号,并且基于这个信号去占用物理机器的网卡,向物理主机以外发送无意义的UDP包。若FLOODER与SERVER是同驻的,由于它们对同一物理主机的多路复用,就会对正常的CLIENT-SERVER网络通信数据流带来一定的延时,称这个延时为同驻水印。研究人员通过实验收集CLIENT-SERVER数据流每个时间间隔网络包的数量,并分析有水印的时间间隔和没有水印的时间间隔接收到网络包的数量分布,就可以判断FLOODER和SERVER是否同驻。
HomeAlone技术
HomeAlone技术的基本思想是云平台上的租户创建一些虚拟机实例(称为友好虚拟机),并且使其协同工作。在某一段时间周期内,这些友好虚拟机不使用选定的某一个缓存区域,接着租户测量在这个静止周期内缓存的使用情况,是否有一些操作使用了这一区域的缓存。
探测方法:
HomeAlone工具安装在每个友好的虚拟机上,需要修改友好虚拟机的操作系统内核,但不需要管理程序的修改或者云服务供应商的支持。它主要由3个子部件构成:运行在用户态的协调器以及运行在内核态的address remapper和同驻检测器。
HomeAlone的架构如图1所示。协调器(Coordinator):每一个友好虚拟机的协调器都是在用户态下运行,并且在执行探测任务时负责与其他运行在同一物理机器上的友好虚拟机的协调器协同工作。当探测周期开始时,其中一个协调器(coordinator)(称为启动程序首先启动并确定某个染色的Cache集(这里染色的Cache集指的是探测阶段每一个友好虚拟机都需要减少使用的那一块Cache,这块Cache区域在之后还要执行Cache使用状况测量),并将这条命令发送给位于同一个物理平台上的其他友好虚拟机的协调器.协调器接收到这个命令后就会调用地址重映射器空出相应的Cache集,并且尽量少使用这个区域。一旦地址重映射器完成了Cache集的空出操作,协调器就向启动程序发送确认信息.启动程序受到所有协调器发送回的确认信息后,创建一个令牌,随机选择一个友好虚拟机,将这个令牌发送给它,这个选择的友好虚拟机(称为令牌持有者)就调用同驻检测器执行Cache使用状况测量的操作。令牌持有者收集测量的结果r,并且将令牌和结果r发送给另一个友好虚拟机,如此执行n次之后,最后的那个虚拟机对收集的结果进行分析,并对物理平台上是否存在同驻的虚拟机做出判断。
地址重映射器(Address remapper):它的作用是决定某一个Cache需要进行染色,即决定在同驻探测期间虚拟机需要空出的Cache集。它通过cache和内存页面的映射关系避免地址重映射器对每一个Cache都进行染色。一旦确定了染色的Cache集,地址重映射器就通过控制虚拟机对同一个颜色的物理页面的访问避免其对染色Cache集的使用。
同驻检测器(Co-residency detector):作为Linux内核的扩展,执行Cache使用状况的测量任务,当协调器调用它时,同驻检测器填充Cache集,然后等待一段时间间隔(通常为30ms),以便同驻的虚拟机能够使用该Cache集合同时管理程序又不会执行核迁移动作。然后访问之前的Cache集,并且测量访问时间的变化,将结果写入结果集r中。
现有几种方法的缺点和局限性
1)基于网络信息的同驻检测
在实际的云环境中,云服务供应商可以设置Domain0对外部发起的路由追踪不作应答,在创建虚拟机实例时随机的分配内部IP地址,利用虚拟LAN隔离不同的租户等。在这种情况下,再依靠网络信息来进行同驻检测就变得不可行了。
2)同驻水印技术
此技术依赖于对网络流量的分析,会受网络状况和网络安全策略的影响。当网络状况较差、网络安全策略设置得很严谨时,此方法的有效性会大大降低,无法有效检测同驻。
3)HomeAlone技术
HomeAlone技术实现主要有2个难点:一、准确地区分正常租户开启的友好的虚拟机的Cache行为与同驻虚拟机的Cache行为;二、保证用户开启的友好虚拟机的性能不会因此受到大量下降。
发明内容
针对同驻虚拟机的安全问题,为了提高同驻检测的效率和可靠性。应该避免过度依赖网络信息和网络状况,另一方面,不能因此大幅降低虚拟机(方案三中的friendlyVMs)的性能。在现有的几种虚拟机同驻检测方案中,或多或少都具有以上缺点。
本发明的目的在于提供一种云环境下基于隐蔽通道的虚拟机同驻检测方法,本发明提高了同驻检测的效率和可靠性,利用隐蔽通道,规避对网络的过度依赖,在不降低性能的前提下,解决同驻检测的问题。
本发明的技术方案为:
一种云环境下基于隐蔽通道的虚拟机同驻检测方法,其步骤为:
1)在云平台上部署类型一致的多个虚拟机实例;
2)选择基于该云平台的虚拟机监控器共享资源的一种真实隐蔽通道;
3)从所述多个虚拟机实例中选取两个虚拟机实例,记为虚拟机实例A和虚拟机实例B;
4)将虚拟机实例A与虚拟机实例B分别作为该隐蔽通道的发送者和接收者,利用该隐蔽通道进行通信,如果通信成功,则虚拟机实例A和虚拟机实例B同驻一台物理机;否则为不同驻。
进一步的,所述物理机为该虚拟机实例A或虚拟机实例B所在的目标物理机;步骤3)之前,获取所有虚拟机实例的标识ID;获取该目标物理机上同驻所部署类型虚拟机实例的最大上限X;步骤3)中所选的虚拟机实例A的标识ID与虚拟机实例B的标识ID相差小于X。
进一步的,所述隐蔽通道为隐蔽存储通道或隐蔽定时通道。
进一步的,所述虚拟机实例A为用户A已预先部署的虚拟机实例,所述虚拟机实例B为用户B部署的与虚拟机实例A类型一致的多个虚拟机实例中的一个虚拟机实例。
进一步的,所述虚拟机实例A和虚拟机实例B为同一用户部署的多个虚拟机实例中的两个虚拟机实例。
进一步的,所述虚拟机实例A为用户A部署的多个虚拟机实例中的一个虚拟机实例;所述虚拟机实例B为用户B部署的与虚拟机实例A类型一致的多个虚拟机实例中的一个虚拟机实例。
进一步的,所述虚拟机实例A和虚拟机实例B为分配给同一用户的多个专用虚拟机实例中的两个虚拟机实例。
进一步的,所述虚拟机实例A为分配给同一用户的多个专用虚拟机实例中的一个虚拟机实例,虚拟机实例B为非专用的一个虚拟机实例。
与现有技术相比,本发明技术方案带来的有益效果
随着云计算越来越普及,使用云服务的用户也会越来越多,同驻安全问题将是不可避免的,在这种情况下,同驻检测就显得尤为重要。
现有的几种同驻检测方案,例如基于网络信息的同驻检测和同驻水印技术,都依赖于网络信息进行同驻检测。而网络状况和网络安全策略的设置都会对网络信息有较大的影响,这就令检测结果不够可靠,检测过程也不够高效。而HomeAlone技术有可能大幅降低friendly VMs的性能。
与这些同驻检测技术相比,本发明提出的基于隐蔽通道的同驻检测方法,无疑提高同驻检测的效率和可靠性,利用隐蔽通道,可以规避对网络状况的依赖。就本例中基于Xen虚拟化技术的云平台来说,无论网络安全策略如何设置,只要实例是同驻的,事件通道是一定存在的,进而可以建立其基于事件通道状态的隐蔽通道。
相比HomeAlone技术牺牲性能的做法,本发明无疑更为高效,仅仅在实例间建立起隐蔽通道,完全不会使性能大幅下降。
附图说明
图1为HomeAlone架构图;
图2为本发明方法流程图;
图3为本发明实施例一流程图;
图4为本发明实施例二流程图。
具体实施方式
下面结合附图对本发明进行进一步详细描述,本发明方法流程如图2所示。
首先,用户需要在云平台上同时部署大量的虚拟机实例,需要注意的是:这些虚拟机实例的类型保持一致。然后用户获得其部署的所有虚拟机实例的本地唯一标识(ID)。
要提高同驻检测的效率,我们还得在大量虚拟机实例中筛选出可能同驻的一部分,筛选的标准就是虚拟机实例的本地唯一标识(ID),还要依据虚拟机实例的类型,确定物理机上同驻该类型实例的最大上限X,若一个虚拟机实例,没有与ID相差小于X的另一个实例,则将之剔除。
缩小范围之后的虚拟机实例中,每个实例都至少有一个与之ID相差小于X的另一个实例;选择一种基于虚拟机监控器共享资源的真实的隐蔽通道(可以为隐蔽存储通道或隐蔽定时通道),然后在两个虚拟机实例之间构造选用的隐蔽通道实现通信。根据通信成功与否判断是否同驻成功,如果两个实例是同驻的,则通信一定成功,因为实例间建立起隐蔽通道的前提就是同驻,两者互为充要条件;如果通信不成功,则重新选取两标识ID相差小于X的两虚拟机实例,建立隐蔽通道,检测通信是否成功。
实施例一:
在实际情况中,若单租户(或两个合作用户)同时部署了类型一致的多个实例,并希望其中的两个或者多个实例可以同驻在同一台物理机上,用以满足租户自身特定的计算需求;
或者两个合作用户,其中一个用户A已经预先在云平台上部署了虚拟机,另一个合作用户B希望通过大量部署与用户A的虚拟机实例类型一致的虚拟机实例,将自己的虚拟机与用户A预先部署好的虚拟机同驻在同一台物理机上,该物理机的虚拟机上限为X。
在这几种情形下,利用本发明的同驻检测方法可以轻易找到同驻的一对或者多个虚拟机实例。
以基于Xen虚拟化技术的云平台(EC2)为例,首先获取EC2实例的本地唯一标识DomID,获取DomID的方法如下:
XenStore本质是一个由Dom0维护的小型数据库,位于Dom0中/var/lib/xenstored/tdb数据库中。其中/vm存储了Domain的配置信息,/local/domain存储了本地简单的虚拟机信息。默认情况下,/local/domain/<DomID>只对ID为<DomID>的domain可读写,利用这个特性,我们编写一段脚本,对DomID进行遍历。根据xenstore-ls/local/domain/#{i}>/dev/null2>&1的返回信息,获取到实例的DomID。
对DomID进行初步筛选,若DomID非常接近,则在两个实例上运行隐蔽通道程序,判断是否同驻;若DomID差距较大,则可以直接判定不同驻(因为同一个Dom0管理的实例,DomID通常是平滑递增的,而同一个物理机上所运行的虚拟机个数通常是有上限的)。
获得DomID之后,以基于事件通道状态的隐蔽通道作为通信基础,构造通信程序。运行着的两个实例分别作为Receiver和Sender运行隐蔽通道程序。Receiver运行隐蔽通道程序的参数有两个,分别为收端标识和Sender的DomID,接收端运行后程序后,将开启事件通道,并返回一个可用的端口号,供发送端连接,以此来建立事件通道连接;Sender的运行参数有三个,分别是发送端标识、Receiver的DomID以及Receiver返回的端口号。
如果两个实例是同驻的,则发送端和接收端可以成功建立事件通道,并利用基于事件通道状态的隐蔽通道进行通信;因为实例间建立起隐蔽通道的前提就是同驻,两者互为充要条件。若Sender端和Receiver成功进行通信,则终端显示符合特定规律(通信协议)的bit串,此时可以判定,两个实例是同驻的。否则Receiver端没有任何反应,Sender端提示错误,两个实例不同驻。具体流程如图3所示。
实施例二:
事实上,有一些云服务提供商(例如EC2)向用户声称,为用户提供专用的独占式服务,用户创建的实例与其他租户的实例在物理上是隔离开来的。即用户独享一台物理机,用户所创建的实例都运行在该物理机上。相比普通的租用服务,这种专用式的服务收费更高,但是云服务提供商是否足够诚信呢?
本发明的同驻检测方法,在这种情况下可以十分迅速的检测出专用的实例是否同驻,并且检验云服务提供商是否真的为用户提供了物理上的隔离。
如图4所示,用户创建多个专用的实例,分别获取这些实例的DomID,获取DomID的方法同实施例一;因为是验证性的实验,所以无需对实例进行筛选;同样以基于事件通道状态的隐蔽通道作为通信基础,构造通信程序。穷举这些专用实例可能的两两一组的组合,每一组都利用隐蔽通道尝试进行通信(通信方法同实施例一),根据通信的成功与否判断专用实例是否同驻(判定标准同实施例一)。验证是否用户创建的专用实例都部署在同一台物理机上,若没有通信失败的例子,则可以肯定,用户创建的专用实例都被部署在同一台物理机上。
用户还可以创建一些非专用的实例,并一一与专用的实例进行同驻检测,进行多组测试,并依此判断专用实例是否真的享有物理上的隔离、云服务提供商是否足够诚信,若非专用的普通实例,没有一个能够与专用实例通信成功(即同驻),则可以判定专用实例在物理上是隔离的。

Claims (6)

1.一种云环境下基于隐蔽通道的虚拟机同驻检测方法,其步骤为:
1)在云平台上部署类型一致的多个虚拟机实例;
2)选择基于该云平台的虚拟机监控器共享资源的一种基于事件通道状态的真实隐蔽通道;所述隐蔽通道为隐蔽存储通道或隐蔽定时通道;
3)获取所有虚拟机实例的标识ID;从所述多个虚拟机实例中选取两个虚拟机实例,记为虚拟机实例A和虚拟机实例B;
4)将虚拟机实例A与虚拟机实例B分别作为该隐蔽通道的发送者和接收者,利用该隐蔽通道进行通信,如果通信成功,则虚拟机实例A和虚拟机实例B同驻一台物理机;否则为不同驻;其中,所述物理机为该虚拟机实例A或虚拟机实例B所在的目标物理机,获取该目标物理机上同驻所部署类型虚拟机实例的最大上限X,虚拟机实例A的标识ID与虚拟机实例B的标识ID相差小于X。
2.如权利要求1所述的方法,其特征在于所述虚拟机实例A为用户A已预先部署的虚拟机实例,所述虚拟机实例B为用户B部署的与虚拟机实例A类型一致的多个虚拟机实例中的一个虚拟机实例。
3.如权利要求1所述的方法,其特征在于所述虚拟机实例A和虚拟机实例B为同一用户部署的多个虚拟机实例中的两个虚拟机实例。
4.如权利要求1所述的方法,其特征在于所述虚拟机实例A为用户A部署的多个虚拟机实例中的一个虚拟机实例;所述虚拟机实例B为用户B部署的与虚拟机实例A类型一致的多个虚拟机实例中的一个虚拟机实例。
5.如权利要求1所述的方法,其特征在于所述虚拟机实例A和虚拟机实例B为分配给同一用户的多个专用虚拟机实例中的两个虚拟机实例。
6.如权利要求1所述的方法,其特征在于所述虚拟机实例A为分配给同一用户的多个专用虚拟机实例中的一个虚拟机实例,虚拟机实例B为非专用的一个虚拟机实例。
CN201410218538.XA 2014-05-22 2014-05-22 一种云环境下基于隐蔽通道的虚拟机同驻检测方法 Expired - Fee Related CN104009885B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410218538.XA CN104009885B (zh) 2014-05-22 2014-05-22 一种云环境下基于隐蔽通道的虚拟机同驻检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410218538.XA CN104009885B (zh) 2014-05-22 2014-05-22 一种云环境下基于隐蔽通道的虚拟机同驻检测方法

Publications (2)

Publication Number Publication Date
CN104009885A CN104009885A (zh) 2014-08-27
CN104009885B true CN104009885B (zh) 2018-08-03

Family

ID=51370381

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410218538.XA Expired - Fee Related CN104009885B (zh) 2014-05-22 2014-05-22 一种云环境下基于隐蔽通道的虚拟机同驻检测方法

Country Status (1)

Country Link
CN (1) CN104009885B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105718299A (zh) * 2014-12-04 2016-06-29 中国移动通信集团广东有限公司 虚拟机的配置方法、装置及系统
CN104503821A (zh) * 2014-12-11 2015-04-08 国云科技股份有限公司 一种计算虚拟磁盘io速度的方法
US9471775B1 (en) * 2015-02-04 2016-10-18 Amazon Technologies, Inc. Security protocols for low latency execution of program code
CN105227541B (zh) * 2015-08-21 2018-12-07 华为技术有限公司 一种安全策略动态迁移方法及装置
CN106850732B (zh) * 2016-11-29 2019-08-23 中国科学院信息工程研究所 一种面向PaaS云环境的高同驻概率实例部署方法
CN106656678B (zh) * 2017-01-23 2019-06-11 西安交通大学 一种基于响应时间序列数据分析的虚拟机同驻检测方法
CN107169346B (zh) * 2017-04-28 2019-09-06 中国人民解放军信息工程大学 基于动态内存重映射和缓存清除的侧信道攻击防御方法及其装置
CN112235309B (zh) * 2020-10-19 2022-05-06 四川师范大学 一种云平台网络隐蔽信道多尺度检测系统
CN115987566A (zh) * 2022-12-01 2023-04-18 贵州电网有限责任公司 一种基于新能源电力系统服务器隔离架构

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1061710B1 (en) * 1999-06-17 2010-12-08 Level 3 Communications, LLC System and method for integrated load distribution and resource management on internet environment
CN101667144B (zh) * 2009-09-29 2013-02-13 北京航空航天大学 一种基于共享内存的虚拟机通信方法
CN102571746B (zh) * 2011-11-23 2014-11-05 西安交通大学 一种面向云计算环境侧通道攻击防御的虚拟机部署方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
云环境中基于cache共享的虚拟机同驻检测方法;余思 等;《计算机研究与发展》;20131215(第12期);第2页第2节-第6页第4节 *

Also Published As

Publication number Publication date
CN104009885A (zh) 2014-08-27

Similar Documents

Publication Publication Date Title
CN104009885B (zh) 一种云环境下基于隐蔽通道的虚拟机同驻检测方法
US10904277B1 (en) Threat intelligence system measuring network threat levels
CN103902885B (zh) 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
US9166988B1 (en) System and method for controlling virtual network including security function
CN104601568B (zh) 虚拟化安全隔离方法和装置
CN101309180B (zh) 一种适用于虚拟机环境的安全网络入侵检测系统
US9009385B1 (en) Co-residency detection in a cloud-based system
CN102843385B (zh) 一种用于云计算环境中防范旁路攻击虚拟机的方法
CN103117907B (zh) 网速测试方法和系统、选择加速服务器的方法和系统
CN107579876A (zh) 一种资产增量自动探测分析方法及装置
CN104717107B (zh) 网络设备探测的方法、装置及系统
CN105283852A (zh) 模糊跟踪数据
CN105103147A (zh) 用工作负载分发器来跟踪
CN105283849A (zh) 针对性能和细节的并行跟踪
KR100926075B1 (ko) 웹어플리케이션 서버를 통한 데이터베이스 접근 감시 장치 및 방법
US20160248811A1 (en) Method and device for customizing security service
CN109257373A (zh) 一种域名劫持识别方法、装置及系统
CN107196781A (zh) 安全配置核查任务分配方法及装置
CN111273995A (zh) 一种虚拟微隔离网络的安全调度方法及系统
Bae et al. A collaborative approach on host and network level android malware detection
CN106845215A (zh) 基于虚拟化环境下的安全防护方法及装置
CN105704087B (zh) 一种基于虚拟化实现网络安全管理的装置及其管理方法
CN102469098B (zh) 信息安全防护主机
CN105429996A (zh) 一种智能发现和定位地址转换设备的方法
CN110210191A (zh) 一种数据处理方法及相关装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180803