虚拟机逃逸的通用渗透攻击机理与防护模型研究

基本信息

批准号：61502486

项目类别：青年科学基金项目

资助金额：20.00

负责人：范伟

学科分类：

依托单位：中国科学院信息工程研究所

批准年份：2015

结题年份：2018

起止时间：2016-01-01 - 2018-12-31

项目状态：已结题

项目参与者：刘超,黄绍建,李楠,景翔,张杰,崔亚洲

关键词：

虚拟机监控器虚拟机逃逸通用渗透攻击防护模型虚拟化安全

结项摘要

Virtual machine escape is considered to be one of the most serious threat to the security of the virtual machine, and virtual machine traffic monitoring is a common approach to alleviate this threat. However, there are many different kinds of ways of virtual machine escape, and the harm is severe. Particularly, the escape behavior becomes the main bottleneck of constructing virtualization security protection system based on virtual machine monitor. Firstly, the project does basic scientific research on the rules and reasons of penetration attack of virtual machine escape, taking the vulnerabilities of virtualization system kernel code and virtual machine application software as main research subjects. Secondly, to control the exception handlers of the virtual machine monitor by using the method of triggering the general protection errors in order to make it clear that the relationship between the instructions （such as data flow instructions and the control flow instructions of system for virtualization） and exception handlers. Then to establish the general penetration attack model of virtual machine escape. Finally, to explore the protective mechanism of virtual machine escape. According to the comprehensive utilization of intercepting dynamic instructions and analyzing static data, to make the virtual machine monitor be capable of filtering malicious operation requests, eventually to be innovative in establishing a protection model based on virtual machine monitor prevention and control of self-handling. The project could solve the problem of lacking research model on general penetration attack of virtual machine escape, thus lays a theoretical and technical foundation for constructing the novel security protection architecture of virtualization, and presents a new idea in the research fields of virtualization security.

虚拟机逃逸被认为是对虚拟机安全最严重的威胁之一，虚拟机流量监控是缓解该问题的一般途径。然而虚拟机逃逸方式种类繁多，危害严重，尤其基于虚拟机监控器的逃逸行为成为制约虚拟化安全防护体系构建的主要瓶颈。本课题首先以虚拟化系统内核态代码漏洞和虚拟机应用软件漏洞为研究对象，对虚拟机逃逸渗透攻击的规律和原因进行基础科学研究。其次是采用触发通用保护错误的方法对虚拟机监控器的异常处理程序进行控制，明确了异常处理程序与虚拟化系统数据流指令、控制流指令等因素之间的关系，建立了虚拟机逃逸通用渗透攻击的模型。最后探索虚拟机逃逸防护机制，综合利用动态指令截获与静态数据分析方法，使虚拟机监控器能够过滤恶意操作请求，创新性地建立了基于虚拟机监控器防控自处理的安全防护模型。本课题解决了虚拟机逃逸研究中缺乏通用渗透攻击模型的难题，为虚拟化系统新型安全防护体系构建奠定了理论和技术基础，提供了虚拟化安全领域研究的新思路。

项目摘要

虚拟机逃逸被认为是对虚拟机安全最严重的威胁之一，虚拟机流量监控是缓解该问题的一般途径。然而虚拟机逃逸方式种类繁多，危害严重，尤其基于虚拟机监控器的逃逸行为成为制约虚拟化安全防护体系构建的主要瓶颈。本文将虚拟化技术与传统的安全技术结合在一起，实时跟踪逃逸技术的更新，形成的主要成果如下：.1）归纳了虚拟机逃逸的提权模型和渗透模型，提出了一种使虚拟化系统执行的CPU指令保留在内核态的用户提权方法。本文研究了开源虚拟化系统KVM和XEN的机制和运行模式，在此基础上总结出一般虚拟机逃逸模式，并以虚拟化系统内核态和用户态代码为研究对象，对基于hypervisor级虚拟机逃逸渗透攻击的规律和原因进行归纳和提炼，提出并证明虚拟机逃逸的提权模型和渗透模型，随后提出了一种通过触发通用保护错误处理机制实现的使虚拟化系统执行的CPU指令保留在内核态的提权渗透方法。.2）提出了一种基于hypervisor级改进型FSM的虚拟机逃逸攻击模型。本文对目前所有虚拟机逃逸漏洞的可参考信息和源代码进行分析，发现漏洞的攻击效果在一定程度上可以进行分类，可以解决逃逸漏洞无法归类的问题。提出了一种改进的FSM的虚拟机逃逸攻击模型，该模型通过细节化逃逸漏洞，提炼出关键步骤，可推演未来可能出现的逃逸漏洞。.3）设计了一种基于状态空间模型优化的虚拟机逃逸安全防护模型的量化分析方法和预测算法。为了优化该模型的主动防护能力，基于逃逸行为状态序列特征库，利用连续时间马尔科夫链模型对其进行瞬态分析，能够根据系统初始状态的理论最优值，为后续防护系统的正确决策提供指导；设计的逃逸行为异常状态预测算法，提升了对数据序列样本状态发生逃逸行为概率的预测精度。. 本文解决了虚拟机逃逸研究中缺乏攻击模型的难题，同时设计了一种虚拟机逃逸安全防护模型，为虚拟化系统新型安全防护体系构建奠定了理论和技术基础，提供了虚拟化安全领域研究的新思路。

项目成果

DOI：{{i.doi}}

发表时间：{{i.publish_year}}

暂无此项成果

数据更新时间：2023-05-31

其他相关文献

DOI：10.16285/j.rsm.2019.1280

发表时间：2019

DOI：

发表时间：2018

DOI：10.12062/cpre.20181019

发表时间：2019

DOI：

发表时间：2022

DOI：10.7544/issn1000-1239.2018.20170425

发表时间：2018

范伟的其他基金

批准号：81402190

批准年份：2014

资助金额：23.00

项目类别：青年科学基金项目

批准号：81570969

批准年份：2015

资助金额：77.00

项目类别：面上项目

批准号：31760584

批准年份：2017

资助金额：40.00

项目类别：地区科学基金项目

批准号：51678121

批准年份：2016

资助金额：64.00

项目类别：面上项目

批准号：41302196

批准年份：2013

资助金额：26.00

项目类别：青年科学基金项目

批准号：31500883

批准年份：2015

资助金额：20.00

项目类别：青年科学基金项目

批准号：31501827

批准年份：2015

资助金额：21.00

项目类别：青年科学基金项目

相似国自然基金

基于免疫的Rootkit渗透攻击机理分析与检测方法研究

批准号：61262077

批准年份：2012

负责人：张瑜

学科分类：F0205

资助金额：45.00

项目类别：地区科学基金项目

基于指令层次的网页木马渗透攻击机理分析与检测方法研究

批准号：61003217

批准年份：2010

负责人：诸葛建伟

学科分类：F0206

资助金额：18.00

项目类别：青年科学基金项目

基于虚拟机自省的云安全防护关键技术研究

批准号：61872111

批准年份：2018

负责人：叶麟

学科分类：F0205

资助金额：64.00

项目类别：面上项目

大数据环境下的网络攻击溯源分析与主动防护技术

批准号：U1736212

批准年份：2017

负责人：李涛

学科分类：F02

资助金额：251.00

项目类别：联合基金项目

虚拟机逃逸的通用渗透攻击机理与防护模型研究

{{i.achievement_title}}

暂无此项成果

其他相关文献

粗颗粒土的静止土压力系数非线性分析与计算方法

硬件木马:关键问题研究进展及新动向

中国参与全球价值链的环境效应分析

基于公众情感倾向的主题公园评价研究——以哈尔滨市伏尔加庄园为例

面向云工作流安全的任务调度方法

范伟的其他基金

适体TA介导共载双靶向给药系统逆转乳腺癌耐药性作用的研究

模板法合成Ag-Zn-Ca-Si复合纳米介孔颗粒用于根管内感染控制的实验研究

乙酰化途径介导草酸降解调控番茄果实营养的分子机理研究

再生水地下储存系统微纳米曝气过程解析及其对溶解性有机物迁移归趋的影响

地下水污染曝气修复对含水层介质与水化学特征的扰动效应

欺骗中自我控制的影响：行为及神经基础研究

饭豆VuSTOP1调控植物酸铝耐性的结构功能解析

相似国自然基金