云平台下基于虚拟机技术的隔离运行模型研究

许陆丹 翟红

摘 要：针对云计算的分布式特征，文章在分析虚拟机技术的基础上构建了IMCPBVMT隔离模型。该模型在云服务集群中引入异常行为分析系统，并在异常行为分析系统加载了本地异常分析器和云间异常行为交换器，在保障云服务系统正常运行的情况下实现了对异常行为进行隔离分析的目的。

关键词：云计算；虚拟机；隔离模型

中图分类号：TP309 文献标识码：A 文章编号：1006-8937（2015）20-0001-03

虚拟化技术是云计算的核心技术之一，但多个虚拟资源很可能会被映射到相同的物理资源上，一旦恶意用户利用云平台的漏洞实施攻击，就可能获取同一个物理资源上其他用户的信息。

为了对增强云平台的安全性，文献采用蜜罐技术收集攻击者信息，利用VMware快照构建恶意代码行为分析系统；文献者利用windbg和VMware构建双机调试来分析恶意代码；文献通过在虚拟机监控器层添加分析工具，实现对恶意行为的监控分析。

上述方法虽然可以检测到恶意行为，但是由于没有分离检测系统和云服务系统，因此不能很好地保障云平台的性能。针对云平台的分布式特征，本文构建一种云平台下基于虚拟机技术的隔离运行模型（IMCPBVMT）。

该模型综合考虑云计算平台的分布式特点和恶意行为的攻击特征，能够在一定程度上实现恶意行为的隔离检测。

1 虚拟机技术

虚拟机技术利用虚拟机监视器（Virtual Machine Monitor，VMM）作为隔离代码运行环境的中间层，虚拟机监视器提供了一个物理计算机系统的抽象，并为其上运行的客户操作系统提供硬件设备映射。

根据虚拟机监视器在整个物理系统中的实现位置和方法的不同，可以分为Type I VMM和Type II VMM两种虚拟机监视器模型，如图1和图2所示。

Type I VMM直接运行在物理计算机系统上，它必须先于操作系统安装，然后在此虚拟机监视器创建的虚拟机之上安装客户操作系统。

Type I VMM可以在硬件支持下拥有最佳性能，如IBM VM/370、VMware ESX Server、Xen等均属于这样的虚拟机。

Type II VMM则是安装在已有的操作系统（宿主操作系统）之上，它通过宿主操作系统来管理和访问各类系统资源（如文件和各类I/O设备等），如VMware Workstation、Parallel Workstation等。

2 云平台下基于虚拟机技术的隔离运行模型框架

提高云计算的数据安全性，最基本的还是提高云服务器端数据的安全性，本节结合虚拟隔离技术，构建了一种云平台下基于虚拟机技术的隔离运行模型（IMCPBVMT），如图3所示。

该模型通过在各服务器集群中心加载异常行为分析系统，在不影响云集群服务中心正常工作的情况下，对异常行为进行隔离分析。

云服务系统一旦发现异常行为，把其提交到异常行为分析系统，而云服务系统继续执行下一个任务。

异常行为分析子系统模拟云服务系统的运行环境对恶意性进行执行，同时本地异常行为分析器对异常行为进行监控和分，当异常运行结束，则根据分析结果，对异常行为进恶意性行判定，如果为恶意性行为，则将其行为序列添加到本地云服务器的恶意行为库；否则，则认为为可信性行为。

云间异常行为交换器，用于定期交换不同云层间云计算服务中心的恶意行为库信息，以实现云间恶意行为库信息共享，提高系统的性能。

2.1 异常行为析系统体系框架构建

在各种虚拟隔离机制中，基于硬件层抽象虚拟机平台下，虚拟机监控器在系统中具有最高权限，能够很好地监控系统内各种行为的运行状态，本文借助虚拟机技术，在每个服务集群中心引入异常行为分析系统，如图4所示。

在该系统中，虚拟机直接安装在硬件资源层之上，在系统中具有最高权限，同时为了实现对异常行为执行过程的监控和分析，在虚拟机中加载了本地异常行为分析。本地异常行为分析由异常行为监控模块、异常行为分析模块、日志模块、预警模块和系统恢复模块五部分组成。

该框架下异常行为分析的过程为：

①异常行为分析系统一旦接受云服务器系统发送的异常行为，就在本地操作系统上运行异常行为，同时启动本地异常行为监控器。

②本地异常行为监控器加载异常行为监控模块，监控异常行为的运行过程，并把获取的运行过程同时提交给异常行为分析模块和日志模块。

③异常行为分析模块对接收到的异常行为序列依据给定的行为分析方法，分析序列的恶意性，并把分析结果传送给预警模块。

④预警模块依据预定的判断规则对恶意性信息进行评判，并最终确定异常行为的恶意性，如果认为不是恶意行为，则云服务器系统返回执行结果，并提示行为可信；否则，把其恶意序列添加到本地恶意行为库中，同时调用系统恢复模块，对系统进行恢复。

⑤系统恢复模块依据日志模块中的信息对系统进行恢复。

2.2 本地异常行为分析器及其功能模块设计

2.2.1 异常行为监控模块

异常行为监控的目的是为了实现对异常行为执行过程的实时监控和获取异常行为的行为序列，因此为了确保异常行为中的攻击行为被触发和系统文件的安全，系统设置了一个虚拟文件系统。

异常行为在执行过程中，对系统中的文件只有读权限，当需要对文件进行写操作时，系统通过调用虚拟文件系统会为其创建对应文件的一个影像文件，只有当异常行为执行完毕且被系统确认为可信时，才把影像文件对源文件进行覆盖。

异常行为对系统的攻击并非通过某一简单攻击序列实现，往往是通过一个或多个进程调用一系列看似无害的系统调用来实现其攻击目的。

针对恶意行为的这种行为特征，异常行为监控模块从进程监控和系统调用监控两个方面来获取用户行为。

①进程监控。

异常行为在执行过程中，可能会以生成多个进程，而这些进程也会衍生出新的进程，为了增强监测的可靠性，本文以组的形式来管理进程。

同一异常的所有衍生进程放在同一组中，可以共享相同的系统资源。为了有效地监控用户行为，需要对每一组的进程进行跟踪监控。

CR3寄存器用来存储页表基址，对CR3的一次写操作就等同于进行了一次进程切换，FS寄存器内核模式下指向KPCR（处理器状态块），通过该结构可以追溯到当前运行进程的进程名。因此通过捕获CR3寄存器的写操作可以获取进程间的调用关系，通过分析FS寄存器数据可以获取当前运行进程的id号。

②系统调用行为的监控。

SYSENTER/SYSEXIT是Intel提供的一对快速系统调用指令，YSENTER和SYSEXIT执行之前必须将需要的参数存入相关MSRS寄存器和通用寄存器中。

通过监控SYSENTER指令，一旦有该指令执行，可捕获当前的系统调用，通过分析相关MSRS寄存器和通用寄存器的数据及CR3寄存器的值，可获得当前调用的系统调用号以及当前线程或者进程的id号。

2.2.2 异常行为分析模块

异常行为分析模块是系统的重要模块，该模块在异常行为监控的基础上，对各种恶意行为序列进行提取和分析，并依据预定的方法构建恶意行为模型，获取异常行为的恶意信息。

该模块主要包括注册表修改、文件系统破坏、内存区域攻击、系统虚拟环境检测、进程隐藏等行为的分析。

注册表修的分析改主要分析文件关联性修改、与IE配置相关的注册表键值修改及自启动项修改；文件系统破坏行为分析包括系统文件的非法读写、多个目录下重复拷贝以及日志文件的非法修改。

2.2.3 日志和预警模块

预警模块，该模块在行为分析模块分析的基础上，对行为分析模块的结果根据预定的方法进行判决，如果判定所执行的行为为可信行为，则向云服务系统返回行为执行的结果，并提示行为可信；否则，则向云服务系统做出预警提示，同时把所获得的恶意序列存储到本地恶意库中。日志模块，该模块用于记录异常行为的执行过程信息，存储在异常行为分析系统的本地存储器上，用以行为分析和系统恢复过程的依据。

2.2.4 系统恢复模块

系统恢复模块用于系统恢复工作。由于异常行为分析系统只是用来隔离运行异常行为的，因此，为了保障系统的性能，无论异常行为可信与否都要调用系统恢复模块对本地系统进行恢复。由于系统在异常行为运行过程中设置了虚拟文件系统，所以异常行为实际修改的是虚拟目录下的虚拟文件，对文件系统的恢复只需用真正系统的文件覆盖被修改的虚拟文件就可以了。

同时，异常行为会对内存单元的信息进行修改，可以从外置存储介质中重新调用相应文件对内存区域执行重写操作。只有一些涉及系统配置的文件，才依据日志文件通过反向执行异常行为进行系统恢复。

2.3 云间异常行为交换器及其功能设计

构建云间异常行为交换器的目的是使分布于不同云层间服务器集群中心的恶意行为库能够互换共享信息。

互联的服务器集群中心通过定时启动异常行为分析系统上的云间异常行为交换器，依据预定规则对两者的恶意行为库进行归并，并把归并后的恶意行为库作为新的本地恶意行为库。

为了减少网络间信息的流量，对不同异常行为分析系统间交换的恶意行为可以限定为新捕获的异常行为序列。

3 模型性能分析

IMCPBVMT隔离模型通过在云服务集群中引入异常行为分析系统，实现了分析系统和云服务提供系统的分离，既提高了云服务系统的安全性，又能保障在云服务系统在不间断提供服务的同时进行异常行为的分析。

IMCPBVMT隔离模型通过引入异常行为分析系统实现了分析系统与用户运行环境物理上的隔离，同时又由于异常行为分析系统端引入云间异常行为交换器，可用于实现不同云间服务器集群中心的恶意信息的动态互换，有助于分析系统的信息共享，可以提高云平台的性能。

4 结 语

针对当前云计算环境下面临的多租户安全隐患问题，为了实现既能对异常行为进行隔离分析又能保障云服务系统的不间断运行的目的，本文结合云计算平台的分布式特征，构建了IMCPBVMT隔离模型。

该模型借助虚拟机环境下，虚拟机监控器拥有最高权限的特性，在虚拟机层上加载本地异常行为监控器，来实现对异常行为的监控分析。

本地异常行为分析由异常行为监控模块、异常行为分析模块、日志模块、预警模块和系统恢复模块五部分组成。

同时，异常行为分析系统又通过加载了云间异常行为监控器，实现云间不同服务器集群中心上的恶意行为库的共享，增强云平台的性能。

参考文献：

[1] 沈昌祥.云计算安全与等级保护[A].第6届内网安全技术论坛专题：信息安全与通信保密[C].2012.

[2] 余思，桂小林，张学军，等.云环境中基于cache共享的虚拟机同驻检测方法[J].计算机研究与发展，2013，（12）.

[3] 刘澜，袁道华，童星，等.一种针对可信计算平台的分布式可信验证机制[J].计算机工程与应用，2012，（2）.

[4] 马世敏.基于可信计算的内网监控系统的研究与实现[D].成都：电子科技大学，2011.

[5] 崔竞松，张雅娜，郭迟，等.支持多种虚拟化技术的进程非代理监控方法[J].武汉：华中科技大学学报（自然科学版），2014，（11）.