随着云计算技术逐步成熟,越来越多的企业和个人通过租用IaaS云服务来降低IT资源的管理和维护成本。IaaS云环境下用户数据多以虚拟机镜像和外部挂载磁盘文件的形式存放于云端,云服务的透明性使用户失去对私有数据的绝对控制,云服务提供商控制着用户数据的管理接口,由于云服务商可信性不易评估,恶意的云管理员或者内部运维人员可能会利用其特权去侵害用户数据安全和隐私。例如,可直接对用户数据进行读写、可通过非授权调用云服务对用户数据进行间接操作等。因此,如何在IaaS云环境下对抗内部人员攻击以实现对用户虚拟机数据的安全保护已成为当前云计算亟待解决的关键问题。目前已有研究提出用户可控的数据加密、基于嵌套虚拟化的虚拟机监控以及单节点安全审计等方案去阻止或检测上述内部威胁,然而由于与现有公有云平台不兼容、实施会引入新的计算开销对云服务性能影响较大、同时仅关注单个节点行为无法判断行为操作来源的合法性,这些方案难以直接应用于IaaS环境,仍需要解决低开销的用户数据保护以及适用于当前主流云平台的数据访问多节点行为追溯等重要问题。针对上述问题,本文深入分析IaaS环境下的云服务行为特征和内部威胁特点,提出了一种面向内部威胁的数据安全保护框架(TVGuarder),重点研究了其中的虚拟机镜像访问控制、用户行为树构建和基于行为追溯的内部威胁发现方法。主要研究结果如下:1.提出了一种基于进程监控的虚拟机镜像访问控制方法。首先,利用Linux内核钩子对IaaS云环境的云服务进程进行监控,以确定访问用户虚拟机镜像文件的合法进程;其次,基于合法进程信息构建用户镜像文件的访问控制策略,并利用内核访问控制模块实现对进程直接访问镜像文件非法行为的阻断;最后,在真实云平台下实现并检验提出方法的效果,实验结果表明提出方法能阻断非法进程对镜像文件的恶意访问,并且对云服务的响应时间影响较小。2.提出了一种基于多层API关联分析的行为树构建方法。首先,分析IaaS云环境的计算服务、远程调用、管理实施、虚拟化管理等服务调用接口,凝练云用户行为的完整流程;其次,采用基于源码分析的多层API关联思想,对开源Openstack云平台下虚拟化相关源码进行行为关联分析;最后,借鉴基于树的行为建模技术,提出行为树构建算法,用于构建可描述云用户各种合法操作的正常行为树。由于当前大多数IaaS云基于Openstack架构,因此提出方法具有较为广泛的适用性。3.提出了一种基于行为追溯的内部威胁发现方法。首先,在计算服务接口、远程调用接口、管理实施接口、虚拟化管理接口、虚拟化进程等多层API上设置云服务行为追溯点,跨多节点采集各个接口被调用的行为信息;其次,基于各追溯点采集的信息,采用底层虚拟化行为关键字匹配技术,与前面构建的用户正常行为树进行行为追溯匹配,通过基于树的完整性分析识别出恶意内部威胁;最后,通过实验验证提出方法能够发现恶意内部人员非授权调用云服务,并且具有较高的检测准确率。4.实现了TVGuarder原型。首先,基于提出的虚拟机镜像访问控制方法、行为树构建方法以及基于行为追溯的内部威胁发现方法,给出了TVGuarder的设计思想、体系结构和执行流程;其次,在真实基于Openstack的IaaS云环境中部署了TVGuarder原型;最后对部署TVGuarder前后的云服务性能以及云服务节点操作系统的性能进行比较,实验结果表明TVGuarder具有较高的实用性和较好的性能。