随着云计算技术的广泛应用,政府、企业和个人已将自身的大量业务及其敏感数据逐渐转移到了云端,云计算安全问题日益受到学术界和工业界的关注。目前,虚拟机自省(Virtual Machine Introspection,VMI)是解决云安全问题的关键技术之一,该技术主要在用户云平台自身内部实现,如在客户虚拟机(Guest Virtual Machine,GVM)内部、特权域、虚拟机监视器或者硬件层对GVM的各类运行状态进行监测,发现恶意攻击或异常状态,确保云平台的安全。然而,这种方式存在以下不足:一是会增加云平台的负载,干扰正常的云服务;二是只能获取有限类别的状态信息,功能单一难于扩展;三是如果云平台已经遭受攻击破坏,还会造成获取虚假信息,影响云安全监测的有效性。针对以上问题,本文提出了一种采用云计算技术基于VMI的自省云带外监测架构Cloud I(Cloud Introspection),主要研究成果如下:(1)通过对虚拟化技术和虚拟化环境下监测方法的研究,提出一种基于云探针的多源异构云状态数据获取方法。在云平台的Hypervisor/VMM层中部署多种类别的轻量级云探针,获取GVM的CPU使用率、内存使用率、虚拟内存转储文件、网络数据包以及磁盘状态等系统运行状态信息。通过多种类别的云探针,多源头抓取多种结构的云安全状态数据,扩大了监测范围。(2)通过对现有VMI技术的分析和研究,提出一种基于多桥的语义重构方法。融合多种成熟的VMI技术,将底层原始数据重构为进程、模块、注册表以及网络等高级语义信息,并与GVM内部自检结果进行跨视图对比,判断其安全状态。该方法能够得到更加完整准确的语义信息,而且单一VMI技术的缺陷不会过多影响整个语义重构过程,使得语义鸿沟的跨越更加稳定可靠,鲁棒性更高。(3)依据上述研究成果,提出采用云计算技术基于VMI的自省云带外监测架构Cloud I,在用户云中实现基于云探针的多源异构云状态数据获取方法,在第三方自省云中实现基于多桥的语义重构方法。通过云探针多源头抓取用户云中GVM多种结构的语义信息,实时同步给独立部署的第三方自省云。CloudI超越现有VMI技术只在用户云中开展相关工作,从原有用户云跳出来,建立了自省云,以云治云,既重构出更加完整准确的系统运行状态信息,又有效降低用户云的负载。(4)基于上述方法获得的多源异构云状态数据,提出云安全事件关联分析方法。通过对CloudI监测获取的CPU、内存、网络通讯、磁盘状态等多源异构信息进行综合的关联分析,获得用户云中GVM的安全状态信息,有效提升了监测发现用户云安全事件的能力。