基于自适应模糊测试的IaaS层漏洞挖掘方法

云计算在为人们日常生活提供极大便利的同时,也带来了较大的安全威胁.近年来,云平台Iaa S层虚拟化机制的漏洞层出不穷,如何有效地挖掘虚拟化实现过程中的拒绝服务及逃逸漏洞,是当前的研究难点.分析已知虚拟化平台的相关漏洞,抽取并推演目标数据集合,设计并实现了一种随机化的模糊测试方法,进一步基于灰度马尔可夫模型设计了一种自动化预测方法,以实时地监督并调整模糊测试的方向,实现面向虚拟化平台的自适应模糊测试目的.最终设计并实现了原型系统Virtual Fuzz,实验数据表明:这些方法可以有效地检测虚拟化平台中的拒绝服务及逃逸漏洞,共得到24个漏洞测试用例,其中,验证了18个已知漏洞,挖掘得到了6个未知漏洞,且已有3个漏洞获得CVE授权.同时,通过与其他模糊测试工具的对比,突出了原型系统的性能优化效果.