資源池環(huán)境下虛擬機防逃逸監(jiān)控設(shè)計

白開峰 趙宏斌 李妍 韓麗芳 馬勇

摘要： 云計算的運行環(huán)境更為復(fù)雜，面臨更多的安全威脅，譬如跨虛擬機逃逸攻擊和虛擬機跳躍攻擊等問題。本文分析了虛擬機逃逸攻擊原理，傳統(tǒng)解決檢測方法使用基于特征碼匹配，本文提出使用強制訪問控制和多類別安全來進行嚴密的虛擬機防逃逸攻擊檢測，通過分配各種資源一個隨機強制控制和多類別安全標記，強制限制在本虛擬機中，有效解決了虛擬機逃逸問題。

【關(guān)鍵詞】云計算 虛擬機 逃逸攻擊 強制訪問控制 多類別安全

1 引言

企業(yè)信息系統(tǒng)往往采用封閉和半封閉運行環(huán)境，系統(tǒng)之間通過網(wǎng)絡(luò)進行數(shù)據(jù)交換，導(dǎo)致一個個信息孤島。云計算通過虛擬化技術(shù)實現(xiàn)了資源跨服器共享和調(diào)用，對外統(tǒng)一提供計算、網(wǎng)絡(luò)和存儲能力。目前各個企業(yè)發(fā)布了自己的云計算戰(zhàn)略，例如谷歌、微軟和亞馬遜等。云計算的運行環(huán)境更為復(fù)雜，面臨更多的安全威脅，譬如跨虛擬機逃逸攻擊和虛擬機跳躍攻擊等問題。

云計算從下向上采用三層模式：基礎(chǔ)即服務(wù)（IaaS）、平臺即服務(wù)（PasS）和軟件即服務(wù)（ SaaS）。下層為上層提供服務(wù)，但是下層亦承受了上層引發(fā)的風(fēng)險。近年來，各種云計算的病毒、漏洞與攻擊層出不窮。2008年，VMware的服務(wù)器首次出現(xiàn)了虛擬機逃逸攻擊，2011年DropBox發(fā)生用戶無需使用口令即可登錄服務(wù)器，同年阿里巴巴公司云存儲發(fā)生故障導(dǎo)致TeamCola公司數(shù)據(jù)丟失。2009年Ken Owens指出，IaaS發(fā)生的逃逸攻擊可能造成云平臺安全體系崩潰。以往發(fā)生的云安全事件及存在安全漏洞要求必須加強云安全監(jiān)測和防范。傳統(tǒng)虛擬機逃逸攻擊檢測方法使用基于特征碼匹配，攻擊者很容易偽裝而逃過檢測。

2 虛擬機逃逸技術(shù)原理分析

逃逸技術(shù)是一種通過偽裝和/或修飾網(wǎng)絡(luò)攻擊（惡意軟件攻擊，漏洞攻擊等）以躲避信息安全系統(tǒng)的檢測和阻止的手段。利用逃逸技術(shù)，高級的、懷有惡意目的的網(wǎng)絡(luò)犯罪分子對具有漏洞的系統(tǒng)進行攻擊。通常這些帶有惡意內(nèi)容的攻擊會被IPS檢測出并被阻止，而高級的逃逸技術(shù)會將惡意內(nèi)容的攻擊隱藏起來因此不會被安全系統(tǒng)檢測到。目前的安全系統(tǒng)對這些逃逸技術(shù)束手無策，就像隱形戰(zhàn)斗機可在雷達和其它防御系統(tǒng)檢測不到的情況下發(fā)起攻擊。

虛擬機逃逸是指利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊，達到攻擊或控制虛擬機宿主操作系統(tǒng)的目的。虛擬機逃逸是一種應(yīng)用，其中攻擊者允許在操作系統(tǒng)與管理程序直接互動的虛擬機上執(zhí)行代碼。這種應(yīng)用可以使攻擊者進入主機操作系統(tǒng)和在主機上運行其他虛擬機。

在非虛擬環(huán)境中，每臺主機都有主機獨立的環(huán)境、服務(wù)，包括；Web server、DNS server等，主機之間物理隔離，如圖1所示。

在虛擬環(huán)境中，不同的操作系統(tǒng)存在于同一物理主機之上，每個操作系統(tǒng)有主機的虛擬內(nèi)核，如圖2所示。虛擬機設(shè)計在主機的獨立環(huán)境中運行。實際上，每臺虛擬機都應(yīng)該是一個單獨的系統(tǒng)，獨立于主機操作系統(tǒng)和在同一臺機器上運行的其他虛擬機。管理程序介于主機操作系統(tǒng)和虛擬機之間，控制主處理器，并給每個客機操作系統(tǒng)分配需要的資源。

攻擊者利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊，能夠突破虛擬機，獲得管理程序并控制在主機上運行的其他虛擬機，如圖3所示。

同一臺物理服務(wù)器上的多個虛擬機共享物理硬件如：CPU、內(nèi)存和I/O設(shè)備，在某些情況下，在虛擬機操作系統(tǒng)里面運行的程序會繞過底層，利用宿主主機做某些攻擊或破壞活動，致使整個安全機制失效。傳統(tǒng)的反惡意軟件能夠掃描內(nèi)存，但是通常是基于特征碼的并可以被攻擊者繞過。攻擊者可以利用零日漏洞或者新的惡意軟件變種來繞過反惡意軟件，達到攻擊或控制虛擬機宿主操作系統(tǒng)的目的，這就是虛擬機逃逸技術(shù)，它會使整個安全模型完全崩潰。

3 虛擬機逃逸監(jiān)控實現(xiàn)機制

虛擬化平臺系統(tǒng)通過強制訪問控制（MAC）和多類別安全（MCS）來進行嚴密的虛擬機防逃逸及虛擬機逃逸監(jiān)控。其中，強制訪問控制對傳統(tǒng)的訪問控制列表（ACL）進行了安全增強，在強制訪問控制模式下，會為每一個對象添加一個安全上下文標記，進程除了具備傳統(tǒng)的訪問控制列表權(quán)限外，還必須獲得強制訪問控制策略的授權(quán)，才能對系統(tǒng)資源進行訪問；多類別安全是對強制訪問控制的一個功能增強，多類別安全在強制訪問控制的安全上下文標記的基礎(chǔ)上，擴展了敏感級別標記和一個數(shù)據(jù)分類標記，用于更細粒度的實現(xiàn)強制訪問控制策略。

虛擬化平臺系統(tǒng)在分配虛擬機資源時，將會為虛擬機進程、虛擬機所擁有的內(nèi)存空間、磁盤鏡像、網(wǎng)絡(luò)設(shè)備等資源分配一個隨機的強制訪問控制和多類別安全標記，在強制訪問控制系統(tǒng)的約束下，虛擬機僅能訪問自身虛擬化所使用到的內(nèi)存空間、磁盤鏡像、網(wǎng)絡(luò)設(shè)備等資源和外設(shè)，無法跳出限制且對其他資源不具有任何權(quán)限，同時，其他虛擬機也被強制限制在虛擬機本身中，有效控制了虛擬機的逃逸，如圖4所示。

虛擬化平臺系統(tǒng)對虛擬機的強制安全訪問控制進行了審計，在系統(tǒng)運行的過程中，如果出現(xiàn)了任何違規(guī)訪問的行為，其行為都會被記錄到系統(tǒng)的逃逸監(jiān)控日志中，以便于管理員進行排查。

4 結(jié)束語

本文提出使用強制訪問控制和多類別安全來進行嚴密的虛擬機防逃逸攻擊檢測，通過分配各種資源一個隨機強制控制和多類別安全標記，強制將資源訪問限制在本虛擬機中。雖然這種方法在一定程度上解決了虛擬機逃逸攻擊的問題，但是也限制了虛擬機遷移和資源訪問效率。如何實現(xiàn)合適粒度的強制控制矩陣和多類別安全標記是下一步研究的重點。

參考文獻

[1]黃蘭秋，基于云計算的企業(yè)競爭情報服務(wù)模式研究[D].南開大學(xué)，201 2.

[2]儲節(jié)旺，寄心海上云：云計算環(huán)境下的知識管理[J].情報理論與實踐，2013， 36 （01）： 1-5+15.

[3]BhardwajS，JainL，JainS.Cloud computing：A study ofinfrastructure as a service（IAAS） [J]. Interna tional Journalof engineering and informationTechnology， 2010，2 （01）： 60-63.

[4] Mell P，Grance T.The NIST definitionof cloud computing [J]. 2011.

[5] Armbrust M，F(xiàn)ox A，Griffith R，etal.A view of cloud computing [J].CommunicationsoftheACM， 2010， 53 （04）： 50-58.

[6]史曉華，吳甘沙，金茂忠，LUEH Guei-Yuan，劉超，王雷.在開放世界中實現(xiàn)逃逸分析[J].軟件學(xué)報，2008 （03）：522-532.

[7]劉謙，面向云計算的虛擬機系統(tǒng)安全研究[D].上海交通大學(xué)，2012.

[8]李昊，張敏，馮登國，惠榛，大數(shù)據(jù)訪問控制研究[J]，計算機學(xué)報，2017，40 （01）： 72-91.