虚拟机自省技术研究与应用进展

虚拟机自省技术是备受学术界和工业界关注的安全方法,在入侵检测、内核完整性保护等多方面发挥了重要作用.该技术在实现过程中面临的核心难题之一是底层状态数据与所需高层语义之间的语义鸿沟,该难题限制了虚拟机自省技术的发展与广泛应用.为此,基于语义重构方式的不同将现有的虚拟机自省技术分为4类,并针对每一类自省技术中的关键问题及其相关工作进行了梳理;然后,在安全性、性能及可获取的高层语义信息量等方面对这4类方法进行了比较分析,结果显示,不同方法在指定比较维度上均有较大波动范围,安全研究人员需综合考虑4类方法的特点设计满足自身需求的虚拟机自省方案.最后,详细介绍了虚拟机自省技术在安全领域的应用情况,并指出了该技术在安全性、实用性及透明性等方面需深入研究的若干问题.

pTrace:一种面向可控云计算的DDoS攻击源控制技术

当前,越来越多的分布式拒绝服务(distributed denial of service,DDoS)攻击的攻击源迁移至云中,给云计算的可控性及整个网络空间的安全带来了严重挑战.然而关于有效控制云中该类攻击源的研究还比较缺乏.为此设计了一种面向可控云计算的DDoS攻击源控制系统pTrace,该系统包括入口流量过滤inFilter和恶意进程溯源mpTrace两部分.其中,inFilter过滤伪造源地址信息的数据包;mpTrace先识别攻击流及其源地址信息,依据源地址信息追溯并管控发送攻击流的恶意进程.在Openstack和Xen环境下实现了pTrace的原型系统,分析及实验表明,inFilter可以有效地防止含有虚假源地址信息的DDoS攻击包流出云外;当攻击流速率约为正常流量的2.5倍时,mpTrace即可正确识别攻击流信息,并可在ms级的时间内正确追溯攻击流量发送进程.该方法有效控制了位于云中的DDoS攻击源,减小了对云内傀儡租户及云外攻击目标的影响.

面向可信云计算的资源安全管理机制研究

数据所有权和控制权的分离对云中的程序和数据构成了严重的安全威胁,因此,云计算的可信性是决定其推广和普及程度的关键。本文认为,云计算资源管理机制对云计算可信性具有关键的影响作用;在此认识基础上,本文首先从资源安全管理机制本身及其实现的脆弱性两大方面分析了国内外的相关研究现状;然后,经分析得出,与普通网络环境相比,"共享与隔离"及"安全和性能"这两个矛盾在云计算环境中更为突出,且这两者的完美解决更加依赖于计算体系结构和计算模式的创新;最后,为有效提升云计算可信性,提出了云计算资源安全管理机制应优先着重关注的五个方面问题,并给出了相应思考。

基于内存的分布式隐私流查询系统

随着大数据时代的到来,隐私问题备受关注,用户一方面希望获得新鲜和低延迟的查询结果,另一方面又希望对查询信息进行隐私保护,为此提出了一种基于内存的分布式隐私流查询系统.其中,查询可以通过Paillier密码系统进行加密.该系统在shared-nothing架构下支持水平扩展,实现了在内存中对流数据进行分片的并行查询以及基于位图索引的压缩存储.实验证明了该系统的有效性.