文档介绍:分类号 TP393 学号 D200777586
学校代码 10487 密级公开
博士学位论文
虚拟计算环境的安全监控技术研究
学位申请人: 项国富
学科专业: 计算机系统结构
指导教师: 金海教授
答辩日期: 2012 年 6 月 4 日
A Dissertation Submitted in Partial Fulfillment of the Requirements
for the Degree of Doctor of Philosophy in Engineering
Research on Security Monitoring Technology
in puting Environment
: Guofu Xiang
Major : Computer Architecture
Supervisor : Prof. Hai Jin
Huazhong University of Science and Technology
Wuhan 430074, P. R. China
June, 2012
独创性声明
本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研
究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其它个人或
集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在
文中以明确方式标明。本人完全意识到,本声明的法律结果由本人承担。
学位论文作者签名:
日期: 年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权
保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检
索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
保密□,在_____年解密后适用本授权书。
本论文属于
不保密□。
(请在以上方框内打“√”)
学位论文作者签名: 指导教师签名:
日期: 年月日日期: 年月日
华中科技大学博士学位论文
摘要
传统的安全监控面向的是相对稳定的网络和计算系统环境。虚拟化技术作为一
种新的计算模式,改变了传统计算机的体系结构。目前,虚拟化技术技术具有隔离
性、高效性和灵活性等特点,大量计算系统都逐渐转向虚拟计算环境。由于虚拟机
中客户操作系统和运行的服务具有多样性,管理员可以按照需求自由地配置虚拟机
中软件。此外,虚拟机具有动态性的特征,管理员能够动态地创建、启动、迁移或
者撤销虚拟机。针对虚拟计算环境的新特性,需要展开面向虚拟计算环境的安全监
控研究。
在虚拟化给计算系统带来益处的同时,虚拟机的多样性和动态性给安全监控提
出了巨大的挑战。为了应对这些新挑战,以有效地、全面地监控虚拟机为设计目标,
提出了虚拟计算环境的安全监控框架。为了便于分析问题,分别从网络、文件和进
程的角度进行研究。
从网络监控的角度来看,虚拟计算环境中所有进出虚拟机的数据包都要经过管
理域,因此虚拟网桥处的网络检测工具能够嗅探到所有的网络数据包。由于虚拟机
中运行的服务可能不同,而且虚拟机可以在不同的物理节点之间迁移。针对上述问
题,提出根据服务类型的不同,对各个虚拟机采取分域检测规则配置。当配置完成
之后,采用多线程并行检测。此外,采用有限自动机模型对检测线程的状态进行描
述。当虚拟机的状态发生变化时,检测线程的状态随之发生改变。
从文件监控的角度来看,现有的文件完整性监控方法需要在目标虚拟机中插入
钩子函数,不具有透明性;或者只是对磁盘块进行分析,不能获取全面的监控信息。
为了解决上述问题,提出实时透明文件完整性监控方法。根据文件的重要程度,管
理员设置文件的监控策略。在目标虚拟机运行过程中,虚拟机管理器层对其中发生
的文件访问操作进行拦截并解析,然后根据不同的文件监控策略而采取不同的响应。
该方法能够实时、透明地对虚拟机中文件操作进行监控,同时获取文件操作过程的
详细信息。
I
华中科技大学博士学位论文
从进程监控的角度来看,对所有虚拟机进行监控会面临通用性问题。由于同一
物理节点上可以运行多个虚拟机,而虚拟机中的客户操作系统是多种多样的,例如
Linux、Windows 等。此外,各个虚拟机可以在不同的