论文部分内容阅读
在云计算环境中,通常提供虚拟机监控功能获取虚拟机的运行状态和资源使用情况。然而,现有的虚拟机监控机制着重于对虚拟机进行粗粒度监控或仅针对特定类型的虚拟机进行监控,难以侦测虚拟机内部的恶意行为、不支持多种虚拟机共存的运行环境。随着管理域日趋庞大,传统的以管理域安全可信为前提的监控机制无法保证监控信息的真实性,有必要将管理域排除在可信基之外以保证云服务的可信性。基于特权分离的思想,云平台可信监控框架将管理域排除在可信基之外,解决了云用户与云服务提供商之间的不信任问题。采用可信启动技术与内存保护技术从启动时完整性和运行时完整性两方面对监控域进行保护;综合运用系统调用截获技术与语义重构技术对客户虚拟机进行通用细粒度监控,获取虚拟机内部的进程、网络、文件操作等监控信息;结合特权管理操作截获技术与管理操作解析技术,监控管理域针对客户虚拟机的管理操作;通过在完整可信的监控域中部署监控工具,用户能够获取真实的虚拟机运行状态和资源使用情况。测试结果表明:(1)云平台可信监控框架能够对不同操作系统类型的虚拟机进行安全监控,并且能够拦截管理域针对客户虚拟机的管理操作;(2)云平台可信监控框架的IO性能损耗通常保持在10%以内,对于频繁进行系统调用的应用程序,CPU性能损耗不超过20%。