blogg-vitalika.ru

  

Bästa artiklarna:

  
Main / Hur många vcpus per vmi

Hur många vcpus per vmi

Den här tjänsten är mer avancerad med JavaScript tillgängligt, läs mer på http: Journal of Cloud Computing. December 2014, 3: Introduktion av virtuell maskin är en teknik som används för att inspektera och analysera koden som körs på en viss virtuell maskin. Introduktion av virtuell maskin har fått stor uppmärksamhet inom datasäkerhetsforskning. De senaste åren har den använts inom olika områden, allt från intrångsdetektering och analys av skadlig kod till kompletta molnövervakningsplattformar.

En undersökning av befintliga verktyg för virtuell maskinintroduktion är nödvändig för att ta itu med olika möjliga forskningsgap och för att fokusera på viktiga funktioner som krävs för en bred tillämpning av tekniker för virtuell maskinintroduktion. I den här uppsatsen fokuserar vi på utvecklingen av virtuella maskinintroduktionsverktyg och deras förmåga att hantera problemet med semantiskt gap. Säkerhet och säkerhet är två huvudfaktorer som styr framtida forskning och utveckling inom molndator.

Forskning inom virtualiseringsteknik har drivit tillväxten i molntjänster och direkt bidragit till dess utveckling. Vårt arbete med att granska VMI-tekniker för virtuell maskinintroduktion är främst inriktat på virtualisering av molndator, med säkerhet som huvudproblem.

VMI är en teknik som [1] ursprungligen föreslogs 2003. Under de senaste åren har VMI sett konkreta bidrag och olika metoder har föreslagits för att inspektera VM-data utifrån. Svårigheten att tolka låga nivåbitar och byte i en virtuell dator till ett högt semantiskt tillstånd hos ett gästoperativsystem kallas "semantiskt gapproblem '[2]. För att tolka informationen om den binära läget på låg nivå om den virtuella en virtuell maskinmonitor VMM måste innehålla kunskap om hårdvaruarkitekturen eller gäst-OS [3].

Huvudmotivationen bakom VMI är att analysera alla möjliga förändringar som sker i ett gäst-OS på grund av distributionen av en viss uppsättning kod under hela dess livscykel. Det är också möjligt att i närvaro av övervakningskod kan distribuerad kod fungera annorlunda än dess legitima beteende. Närvaro av övervakningskod på en gäst-VM sätter vissa begränsningar för körning av övervakningskod som att VMI-kod kan börja efter att OS har laddats ordentligt och det kan fortsätta tills gäst-OS startar sin avstängningsrutin.

Introspektion från gäst-VM adresserar ett eller flera av ovan angivna problem. Därför föredras introspektion från olika virtuella maskiner framför andra alternativ.

VMI, som har sina rötter i moln som möjliggör virtualisering av teknik, har potential att förändra säkerhetsdistribution i molnmiljöer. De senaste åren har vi gjort stora framsteg när det gäller att utforska olika tekniker för VMI. Banbrytande applikationer för VMI har utvecklats i relation till molnsäkerhet, detektering av molnintrång och hantering av molntillgång.

Det finns bevis för intrångsdetekteringssystem och rootkit-detektionsmetoder som har visat sig vara effektiva endast på grund av användning av VMI vid deras implementering [4] - [6].

Olika terminologier tillämpas på virtualiseringsramen. Vi använder följande terminologi i hela denna uppsats: En gäst-VM är en virtuell maskin som körs på en given hypervisor. Om inte annat anges, görs gäst-VM-introspektionen via samma säkra virtuella dator.

Denna virtuella miljö är möjlig med hjälp av ett speciellt lager av programvara med namnet VMM VMM eller hypervisor. Beroende på den logiska positionen för VMM i operativsystemarkitektur, skiljs VMM in i två huvudtyper.

Typ I hypervisor körs direkt på tillgänglig hårdvara, vilket eliminerar behovet av andra lager, till exempel ett operativsystem, och ger hög effektivitet jämfört med dess motsvarighet. Eftersom dessa hypervisorer körs direkt över hårdvara är de också kända som "bare metal hypervisors". Typ II hypervisor har OS-gränssnittet för att kommunicera med hårdvara. De är vanligtvis beroende av ett operativsystem för att tillhandahålla enhetsdrivrutiner för hårdvaruinteraktion.

Problemet med semantiskt gap i virtualisering angavs först av [2]. För att extrahera meningsfull information om det aktuella läget för en virtuell dator krävs detaljerad kunskap om gäst-operativsystemet. Det är mycket svårt att få en fullständig bild av ett gäst-operativsystem från en gäst-virtuell dator på grund av den moderna operativsystemens mycket dynamiska karaktär. Olika funktioner, såsom efterfrågesökning, parallell datorbearbetning och multithreading, gör arkitekturen i ett operativsystem väldigt komplicerat och flyktigt.

Visa skapande blir extremt komplex. Detta problem är känt som det semantiska gapproblemet. Därför har utvecklingen av VMI styrts av frågan: Minsta effektpåverkan: Huvudmålet i virtualisering är att dela resurser mellan tillgängliga gäster. Genomförandet av introspektionstekniker bör lägga så lite belastning på driften av det befintliga systemet som möjligt. Introspektionstekniker bör inte belasta hypervisor och verkliga hårdvaruresurser.

Lägsta modifieringar av hypervisor: Introspektionstekniker ska fungera självständigt och göra minimala modifieringar av hypervisor-koden. Inga ändringar av gäst-operativsystemet: Verkliga hypervisorer stöder nästan alla möjliga operativsystem som gäst. Om introspektionskoden måste ändras för varje gäst-operativsystem blir dess utbredda tillämplighet ifrågasatt. Även mindre ändringar och periodiska korrigeringar av ett visst operativsystem kan skapa problem.

Transparens i drift: Hypervisor-oberoende: VMI-tekniken bör inte bero på någon exklusiv funktion i hypervisor-arkitekturen. Det bör vara tillämpligt på alla typer av hypervisor, oavsett teknik för implementering. Inga biverkningar: Implementeringen av introspektionsverktyg bör inte generera några oönskade resultat, vilket kan leda till skadligt beteende hos systemkomponenter.

VMI-verktyg bör inte heller ge några extraordinära resultat, vilket kan leda till upptäckt av dess existens. Säkerhet för övervakningskomponent: Dessa moduler måste vara säkra från externa attacker. Om en VMI-modul finns i en gäst-virtuell dator måste ett särskilt skydd tillhandahållas för att bevara dess integritet. Memory introspection behandlar analys av levande minne. När operativsystemet körs finns alla viktiga datastrukturer i huvudminnet.

Huvudminnet innehåller processkontrollblock PCB, registerposter, laddningsbara kärnmoduler, kärndatastrukturer och sidtabeller etc.

Huvudminnet innehåller också sidor relaterade till datasegment och kodsegment för processen som körs. Information relaterad till operativsystemet kan hämtas genom att undersöka innehållet i huvudminnet.

Majoriteten av verktygen för analys av skadlig programvara inspekterar programbeteenden genom att undersöka huvudinnehållet i det givna programmet. Dessa kan användas för uppgifter som intrångsdetektering eller processanalys av gäst-VM.

En rad minnesbaserade VMI-tekniker sammanfattas i resten av detta avsnitt. En gäst-virtuell dator kan introspekteras från en privilegierad domän Dom 0 associerad med en Xen hypervisor [7].

Dom 0 är en kontrolldomän för Xen och ger tillgång till alla datastrukturer, drivrutiner och bibliotek som implementeras av Xen. En speciell högpresterande diskdrivrutin med namnet blktap gjord för Xens paravirtualiserade gäst-virtuella datorer övervakar åtkomst och dataöverföring.

När det gäller en gäst-virtuell dator måste minnesåtkomst adressera översättning från den virtuella till den fysiska adressen och sedan igen från den fysiska till maskinadressen. Xen har implementerat skuggsidetabeller för samma ändamål. Introduktion av en paravirtualiserad gäst-VM är möjlig med libxc, en blktap-drivrutin och xen store-biblioteket. Introduktionskoden förblir säker, eftersom den finns i en säker VM Dom 0. Xen Access ger mycket begränsade spår av filåtkomst, med endast skapandet och borttagningen av en fil som kan spåras.

Detta begränsar dess utbredda tillämpning till operativsystem. Denna metod är efterföljaren till Anubis och övervakar exklusivt Windows-enhetsdrivrutiner och kärnbeteende. Den genererar en detaljerad rapport om skadlig programvara på maskiner som kör Windows. Det hävdas att det upptäcker kärnplåster, samtalskoppling och direkt manipulering av kärnobjekt DKOM. För skadlig kod på kärnsidan måste analysen utföras på en högre privilegierad nivå än behörighetsnivån för själva kärnan.

Det är endast möjligt via out of the VM analysis eftersom en hypervisor är tillgänglig på högre privilegierad nivå än en kärna i gäst-operativsystemet. Fokus för dAnubis är att övervaka alla kommunikationskanaler mellan rootkit-enhetsdrivrutinen som påverkas av en rootkit och resten av systemet. All nödvändig information, som exporterade symboler, datastruktur och layouter extraheras från Windows OS. För att rekonstruera nödvändig information extraheras kärnsymboler och datastrukturer från Windows OS med en teknik som nämns av [15].

Det här verktyget kan utföra minnesanalys och upptäcka attacker, till exempel anslutning av samtalstabeller, DKOM, körning av körtid och hårdvaruåtkomst.

Skadlig programvara aktiveras av någon utlösande händelse. Det är en analysmotor för skadlig kod och inte en motor för detektering av skadlig kod. Systemanropet är en begäran från programmet om service från kärnan. Systemanrop spelar därför en mycket viktig roll i händelser såsom sammanhangsväxling, minnesåtkomst, sidtabellåtkomst och avbrottshantering.

I fallet med virtualiseringsteknik VT-stöd [16] -aktiverade processorer hanteras övergången av en gäst-VM till hypervisor och vice versa av speciella systemanrop. För att upprätthålla systemets integritet förbjuds specifika systemsamtal att köras av en gäst-virtuell dator.

Det har redan visats [13], [17] att VT-mikroprocessorsupportfunktioner kan användas för introspektionsaktiviteter. Denna region är avsedd för hantering av virtualiseringsstöd.

Intels VT-stödda mikroprocessorer har två driftsätt: VMX-rotoperationen är avsedd för hypervisor-användning. Det finns två övergångar associerade med dessa två driftslägen: CR3-registret ansvarar för att hålla sidtabelladressen för för närvarande körande processer.

(с) 2019 blog-vitalika.ru