新的研究提高了在云计算系统中检测恶意软件的能力
北卡罗来纳州立大学的研究人员开发了新的软件,为云计算系统提供了显著增强的安全性。该软件在检测对云计算至关重要的“虚拟机监控程序”中的病毒或其他恶意软件方面做得更好,而且不会提醒恶意软件它正在被检测。
云计算被誉为向消费者提供计算机资源的一种灵活、经济的方式。在云计算范式下,多台计算机的计算能力和存储是集中的,可以由多个用户共享。但人们担心黑客会想方设法将恶意软件插入云计算系统。由北卡罗来纳州和IBM的研究人员开发的一个名为HyperSentry的新程序应该有助于缓解这些担忧。
Hyperscentry是一种安全软件,主要用于保护虚拟计算云中的虚拟机监控程序。虚拟机监控程序是创建虚拟工作区的程序,允许不同的操作系统彼此隔离运行,即使这些系统中的每一个都在同一台计算机上使用计算能力和存储能力。
具体而言,HyperSection使云管理员能够在运行时测量虚拟机监控程序的完整性,这意味着管理员可以在虚拟机监控程序运行时检查虚拟机监控程序是否被第三方破坏。
“令人担忧的是,攻击者可能会危及hypervisor,让他们控制云,”北卡罗来纳州立大学(NC State)计算机科学教授彭宁博士(Peng Ning)说。彭宁博士是一篇描述该研究的论文的合著者。如果系统管理程序遭到破坏,攻击者几乎可以做任何事情:访问用户的敏感信息;利用云计算资源攻击其他互联网实体;传播恶意软件;等。
“超进入解决了两个问题,”宁说它以一种隐蔽的方式测量虚拟机监控程序的完整性,并在虚拟机监控程序的上下文中这样做。为了有效地识别虚拟机监控程序问题,您需要查看虚拟机监控程序程序内存和中央处理器(CPU)中实际运行该程序的寄存器(寄存器是CPU的内部内存。)这一点很重要,因为智能恶意软件可以对只查看虚拟机监控程序应该位于的内存的安全程序隐藏自己——它们可以通过修改CPU的某些寄存器从而有效地使自己对此类安全程序不可见将受感染的虚拟机监控程序重新定位到其他位置。通过确保上下文测量,HyperSentry可以成功跟踪受感染的虚拟机监控程序的实际位置,从而击败此类智能恶意软件。
HyperSection可以以隐蔽的方式检查虚拟机监控程序的完整性——在虚拟机监控程序不知道的情况下检查虚拟机监控程序——这一事实也很重要。如果虚拟机监控程序意识到它正在被检查,并且已经被破坏,它可以通知恶意软件。恶意软件一旦发出警报,就可以将虚拟机监控程序恢复到正常状态,以避免被检测到。然后恶意软件有效地隐藏,直到安全检查结束。
一旦检测到受损的虚拟机监控程序,云管理员就可以采取措施来应对该危害,例如关闭计算机,执行额外的调查以确定问题的范围,并限制损害的传播范围。
这项研究将于10月5日在伊利诺斯州芝加哥举行的第17届ACM计算机与通信安全会议上公布。该研究是北卡罗来纳州立大学博士研究生Ahmed Azab的论文工作的一部分,由Ning共同撰写;北卡罗来纳州立大学博士生王志;江旭贤博士,北卡州立大学计算机科学助理教授;以及IBM的张晓兰博士和内森·斯卡尔斯基。这项工作得到了美国陆军研究办公室、国家科学基金会和IBM的资助。
NC州立大学的计算机系是该校工程学院的一部分。
-船夫-
编辑:研究摘要如下。
HyperSentry:实现虚拟机监控程序完整性的隐形测量
作者:艾哈迈德·M。Azab,彭宁,支望,徐贤江,北卡罗来纳州立大学;张晓兰,IBM T。J沃森研究中心;内森C。Skalsky,IBM系统与技术集团
提出了2010年10月5日,在伊利诺伊州芝加哥举行的第17届ACM计算机与通信安全会议上。
摘要:本文介绍了HyperSentry,这是一个新的框架,可以对运行中的hypervisor(或系统上任何其他最高特权的软件层)进行完整性度量。与现有的保护特权软件的解决方案不同,HyperSentry没有在完整性度量目标之下引入更高的特权软件层,这可能会引发与恶意攻击者争夺系统中最高特权的另一场竞赛。相反,HyperSentry引入了一个与管理程序适当隔离的软件组件,以实现对管理程序运行时完整性的隐形和上下文测量。虽然隐身是必要的,以确保一个被破坏的hypervisor在检测到即将到来的测量时没有机会隐藏攻击痕迹,但上下文测量是必要的,以检索成功的完整性测量所需的所有输入。HyperSentry使用带外通道(如服务器平台常用的智能平台管理接口IPMI)触发隐身测量,并采用系统管理模式(SMM)保护其基码和关键数据。HyperSentry的一个关键贡献是一组新的技术,它克服了SMM的局限性,提供了一个完整性度量代理(1)hypervisor可用的相同上下文信息,(2)完全受保护的执行,(3)其输出的验证。为了评估HyperSentry,我们实现了一个框架原型,以及一个用于Xen hypervisor的完整性度量代理。我们的实验评估表明,HyperSentry是一个低开销的现实世界系统的实际解决方案。
