| 题名 | 一种细粒度可定制的虚拟机自省技术 |
| 作者 | 于晓倩 |
| 答辩日期 | 2011-05-29 |
| 文献子类 | 硕士 |
| 授予单位 | 中国科学院研究生院 |
| 授予地点 | 北京 |
| 导师 | 余海燕 |
| 关键词 | 虚拟机自省技术 Vmi 虚拟化 虚拟机管理器 Kvm |
| 学位专业 | 其它专业 |
| 英文摘要 | 近年来,虚拟化技术以其资源利用率高和隔离封装等特性得到了广泛应用。同时,研究主动防御的网络安全仿真技术,却因成本、对真实环境破坏性及检测系统可靠性等因素难以大规模应用。由此,基于虚拟化的网络安全仿真应运而生。虚拟化设施能大幅降低成本及破坏性。并且,由于虚拟机管理器具有特权功能及可靠性,可以对其添加检测等功能来实现虚拟机内部事件行为监控,这就是虚拟机自省技术(Virtual Machine Introspection, VMI)。然而,目前该技术的虚拟机监控对象粒度粗,灵活性低,监控面不全,不能按需定制,对虚拟机性能开销较大,难以控制。 针对此问题,本文提出一种细粒度可定制的虚拟机自省技术。其核心为基于硬件辅助虚拟化平台的按需指令替换技术。此技术研究内容包括:(1)分析选取被替换指令和替换指令的模拟性、种类、长度等特征及原则,并为Intel VT-x平台选取了INVD作为可行替换指令。该技术可解决VMI中如何获取指定的细粒度对象监控权的关键问题,主要优势为监控粒度细,灵活可定制,适用范围广。(2)建立基于虚拟机“减速比”概念的性能开销模型,推导出被替换指令种类个数、各监控点执行次数及VMI操作平均指令数的三大影响因素,此模型表明该技术开销可控,并可用于开销对比与预测。 基于此核心技术,本文以虚拟机内核函数和进程为监控对象,研究细粒度可定制VMI。其内容包括:(1)对内核函数,提出一种监控点自动选择算法,将指令按照对上下文操作分类,通过定值类指令识别出可行监控区间,选择目标被替换指令,实现VMI指令替换自动化。构建了基于X86平台应用程序二进制接口的函数调用信息读取模型,可进行有效信息读取。(2)对于进程监控,区分虚拟机中进程或线程的可变监控粒度,确定各粒度进程生命周期及行为的可行监控点及监控方式。(3)为实现干涉控制,制定虚拟机简单访问控制策略,实现对函数及进程的多层次干涉机制。由于函数和进程是基本执行单位和主体,故其VMI可作为对其他虚拟机对象进行VMI的基础。 在具体实现过程中,本文对主流KVM虚拟机管理器进行修改,设计开发了细粒度可定制的VMI监控平台。实验表明,本平台能够对虚拟机内核函数及进程进行有效灵活按需监控,高频度单内核函数监控性能开销约为8.5%,进程及线程监控开销为10.4%,与开销模型对比预测结果一致,在可接受范围内。本文研究内容可应用于网络安全仿真中,作为按需虚拟机监控审计、入侵检测和攻击防御等功能的共性技术。 |
| 语种 | 中文 |
| 学科主题 | 计算机软件 |
| 公开日期 | 2011-06-23 |
| 分类号 | TP3 |
| 内容类型 | 学位论文 |
| 源URL | [http://ictir.ict.ac.cn/handle/311040/1109]  |
| 专题 | 中国科学院计算技术研究所学位论文_2011硕士 |
| 推荐引用方式 GB/T 7714 | 于晓倩. 一种细粒度可定制的虚拟机自省技术[D]. 北京. 中国科学院研究生院. 2011. |
| 个性服务 |
| 查看访问统计 |
| 相关权益政策 |
| 暂无数据 |
| 收藏/分享 |
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。
修改评论