張淼，季新生，艾健健，劉文彥，扈紅超，霍樹民

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

基于操作系統(tǒng)多樣性的虛擬機安全部署策略

張淼，季新生，艾健健，劉文彥，扈紅超，霍樹民

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

云計算的資源共享模式，在極大提高資源利用率的同時，也帶來了諸多安全問題，如虛擬機間的共存攻擊。特別是當(dāng)用戶使用單一的操作系統(tǒng)時，攻擊者可以在較小的開銷下，攻破用戶的全部虛擬機，從而竊取隱私和數(shù)據(jù)。針對這一安全威脅，利用不同操作系統(tǒng)漏洞存在差異的特點，提出一種基于操作系統(tǒng)多樣性的虛擬機安全部署策略。該方法首先為申請?zhí)摂M機的用戶推薦一種多樣性程度最高的操作系統(tǒng)配置選擇；然后通過一種安全的部署策略，最大化地發(fā)揮多樣性的特點，使攻擊者需要付出更大的開銷。實驗結(jié)果表明，與單一操作系統(tǒng)配置的方法相比，該方法至少可以降低33.46%的攻擊效益。

虛擬機；共存攻擊；操作系統(tǒng)；多樣性；云安全

1 引言

云計算是一種新型的模式，它向廣大用戶提供透明的分布式服務(wù)，使用戶可以共享各種底層物理資源。作為能夠高效提供大規(guī)模存儲和計算能力的技術(shù)，云計算得到了廣泛的關(guān)注，其中，虛擬化是云計算的一個重要特征。虛擬化技術(shù)將底層的物理資源抽象化，可以根據(jù)用戶需求動態(tài)分配資源，不僅提高了計算能力，同時可以降低能耗。

為了支持以上的特征，研究人員提出以虛擬機作為云環(huán)境的原生構(gòu)件。為了最大化底層物理平臺的使用效率，通常不同用戶的虛擬機需要運行在同一服務(wù)器上，且彼此之間邏輯隔離開來，共享底層物理資源。虛擬機還可以方便地部署于不同的物理主機或者整合到同一主機上以實現(xiàn)負載均衡或提高使用率。此外，利用虛擬機的固有特性，還可以在進程不中斷的情況下實現(xiàn)對虛擬機的遷移。

云計算引入了多租戶模式，為資源的高利用率帶來了可能。然而，不同用戶共享底層物理資源，也會帶來一些安全隱患。例如，用戶由于個人習(xí)慣等其他因素，可能會在申請?zhí)摂M機實例時，要求使用同一類型的操作系統(tǒng)（OS，operating system），如Windows系統(tǒng)。這樣的做法方便了用戶處理數(shù)據(jù)和加載應(yīng)用，然而帶來的問題是，如果用戶虛擬機所在的服務(wù)器上有共存的惡意攻擊者，并且鎖定了目標(biāo)用戶，同時知道目標(biāo)虛擬機的位置，那么攻擊者只需要發(fā)起一次探測和漏洞挖掘過程，就可以利用漏洞攻擊用戶的虛擬機，這是一種典型的共存攻擊。即使用戶的虛擬機分布在云環(huán)境中不同的物理主機上，如果所有虛擬機采用相同的操作系統(tǒng)，這樣的配置也會給攻擊者創(chuàng)造極為便利的攻擊條件，導(dǎo)致攻擊者很容易獲取該用戶所有存儲的數(shù)據(jù)和隱私信息，這是非常嚴重的后果。即使是Windows的不同版本（如Windows7、Windows8），由于大量共同漏洞的存在，仍然給攻擊者節(jié)省了大量的成本和時間開銷，對于正常用戶的數(shù)據(jù)安全形成威脅。事實上，很多操作系統(tǒng)之間由于編程語言、運行環(huán)境等差別，是沒有共同漏洞存在的。因此，如果在虛擬機的操作系統(tǒng)中引入多樣性，必然使攻擊者需要付出更大的代價才能竊取信息。本文考慮利用多樣性的思想來緩解共存攻擊問題。

2 相關(guān)工作

云環(huán)境中的共存攻擊問題自被提出以來，就不斷有研究者從攻、防兩方面進行研究；而多樣性由于其安全屬性，被廣泛應(yīng)用于加強系統(tǒng)可靠性。本節(jié)分別介紹先前對這2個內(nèi)容的相關(guān)研究工作。

2.1 共存攻擊及其防御方法

為了最大化資源的利用率，云服務(wù)提供商（CSP，cloud service provider）通常會將不同用戶的虛擬機部署在同一物理主機上，這樣的虛擬機之間會形成一種共存（或稱之為同駐）關(guān)系。2009年，Ristenpart等[1]提出了共存虛擬機存在的安全問題，即攻擊者可以通過發(fā)起側(cè)信道攻擊從目標(biāo)虛擬機中竊取信息，如緩存使用和負載信息等。后續(xù)對于共存攻擊的研究逐漸增多，Apecechea等[2]在Xen和VMware這樣主流的虛擬化工具上實現(xiàn)了細粒度的攻擊手段，從目標(biāo)虛擬機中獲取了AES加密密鑰。而探測信息的方法也在不斷完善，如Osvik等[3]提出的Prime-Probe方法、Yarom等[4]提出的 Flush-Reload方法等，都可以在不同層面發(fā)起攻擊，對用戶隱私及數(shù)據(jù)安全造成嚴重威脅。

針對這種攻擊形式，研究者提出了一系列防御方法。例如，文獻[5]表明，在操作系統(tǒng)層可以在受保護的進程中加入噪音進行防御；文獻[6]提出可以在硬件設(shè)計時采用接入隨機化和資源分割進行防御。然而這些方法只能夠防御特定類型的共存攻擊，且需要對底層軟硬件進行修改。文獻[7]提出，通過虛擬機遷移，減少共存的時間，從而導(dǎo)致攻擊者無法成功竊取目標(biāo)信息。該方法不需要修改底層的軟硬件，但隨著虛擬機數(shù)量的增多，遷移開銷也將增大，難以適用于大規(guī)模的云數(shù)據(jù)中心。

2.2 多樣性

早在20世紀(jì)70年代，就有文獻提到利用N版本編程技術(shù)創(chuàng)建多樣性軟件組件[8]。隨著網(wǎng)絡(luò)安全得到越來越多的關(guān)注，利用多樣性思想解決這類問題也得到廣泛研究。Forrest等[9,10]將生物學(xué)中的概念應(yīng)用于計算機安全，提出多樣性是一種重要的減輕攻擊效果的機制；文獻[11]在 SQL服務(wù)器上應(yīng)用多樣性進行實驗研究，證明多樣性可以提高系統(tǒng)可靠性；Newell等[12]研究在路由節(jié)點上如何分配多樣化變體，以增加網(wǎng)絡(luò)彈性；Garcia等[13]在入侵容忍系統(tǒng)中引入操作系統(tǒng)多樣性，提升系統(tǒng)健壯性。事實上，在軟硬件、平臺、數(shù)據(jù)等各個層面都可以利用多樣性提升系統(tǒng)的安全性，實現(xiàn)特定的安全需求。

基于已有研究可知，系統(tǒng)多樣性程度越高，整體的可靠性和安全性也越高。

3 威脅模型和本文目標(biāo)

3.1 攻擊者威脅模型

本文假定CSP及其設(shè)施和平臺都是可信的，也就是說本文不考慮攻擊者通過云管理系統(tǒng)的漏洞來破壞云環(huán)境的基本功能，從而竊取信息。結(jié)合實際情況，在本文的威脅模型中，對攻擊者做如下假設(shè)。

1) 目標(biāo)鑒定：攻擊者可以判斷感興趣的目標(biāo)用戶是否以及何時與自己的虛擬機共存，如研究用戶行為模式或利用外部的探測。即這部分行為對于攻擊者的開銷較小，可以忽略不計。

2) 完整攻擊的能力：一次完整的攻擊包括對目標(biāo)操作系統(tǒng)的識別、系統(tǒng)漏洞或預(yù)裝軟件后門的挖掘以及后續(xù)的嗅探和劫持攻擊等。攻擊者有能力對任何一種操作系統(tǒng)發(fā)起完整攻擊，但攻擊過程會受到資源、開銷的約束，即攻擊者無法對所有目標(biāo)虛擬機都實行完整的攻擊。

3) 不可預(yù)知：用戶或 CSP無法預(yù)先認定某一特定用戶是否是惡意的攻擊者，即無法保證部署的服務(wù)器上沒有攻擊者預(yù)先啟動的虛擬機。

4) 針對虛擬機的攻擊：攻擊者每次都直接對用戶的虛擬機發(fā)起攻擊，不考慮攻陷 hypervisor后，獲取所有虛擬機控制權(quán)限的情形。

攻擊者具備目標(biāo)鑒定的能力在較多研究中已經(jīng)提到[14,15]，而發(fā)起針對虛擬機的攻擊是當(dāng)前研究的熱點[1,16]，成本約束和不可預(yù)知性則是云環(huán)境的基本特點決定的。因此，上述對于攻擊者的假設(shè)具有合理性和可研究性。

3.2 本文目標(biāo)

基于上述對攻擊者能力的設(shè)定，可以發(fā)現(xiàn)，攻擊者在開銷的約束下，有可能采取只識別、挖掘一次漏洞，而利用該漏洞攻擊所有目標(biāo)的策略，如果沒有多樣性的操作系統(tǒng)，攻擊者就可以以較小的成本竊取信息并迅速將攻擊范圍擴大。因此，本文的工作目標(biāo)是希望能解決以下2個具體的現(xiàn)實問題。

1) 正常用戶申請若干虛擬機實例時，如何配置這些虛擬機的操作系統(tǒng)，可以使其多樣性程度最高，從而帶來最高的安全收益。

2) 這些虛擬機在物理主機上如何部署，可以在資源約束下盡可能提高用戶虛擬機整體的可靠性和安全性。

4 基于多樣性最優(yōu)的操作系統(tǒng)配置方法

4.1 基本描述

顯然，一個虛擬機從創(chuàng)建到銷毀的時間段內(nèi)只能采用一種操作系統(tǒng)，因此存在唯一性約束。

由于m是遠小于N的，為了盡可能使所有虛擬機包含的操作系統(tǒng)種類更多，要求每種操作系統(tǒng)至少被使用一次，即

定義操作系統(tǒng)類型j的頻率為

4.2 多樣性模型

對于m種操作系統(tǒng)，由于操作系統(tǒng)之間共同漏洞的存在，定義一個相關(guān)性矩陣X，xab表示a、b這2種操作系統(tǒng)之間的關(guān)聯(lián)程度，即攻破操作系統(tǒng)a后，操作系統(tǒng)b被攻破的概率，且本文定義關(guān)聯(lián)程度只由共同漏洞數(shù)刻畫，共同漏洞數(shù)越大，則關(guān)聯(lián)程度越高，對應(yīng)的元素值更大。設(shè)a、b間共同漏洞數(shù)為Kab，a本身漏洞數(shù)為Va，其中令

本文借鑒生物多樣性中基于物種相似度的多樣性度量方法[17]，來評價操作系統(tǒng)之間的多樣性。首先，對于任意操作系統(tǒng)j，令

則定義操作系統(tǒng)的多樣性度量為

式(5)中u代表某種操作系統(tǒng)配置方法。本文的目標(biāo)即可轉(zhuǎn)化為尋求多樣性度量E( u)取最大值時的操作系統(tǒng)配置方法。即

例如，在特殊情況下，當(dāng)操作系統(tǒng)之間關(guān)聯(lián)程度都為0時，即全部的操作系統(tǒng)間不存在共同漏洞，有

證明取即

設(shè)

則有

4.3 多樣性操作系統(tǒng)配置算法

新用戶申請?zhí)摂M機時，只需要提供可以使用的操作系統(tǒng)類型以及所需虛擬機數(shù)量，CSP就可以通過求解上述模型為用戶推薦一個多樣性最優(yōu)的操作系統(tǒng)分配方案，如算法1所示。如果是老用戶申請，CSP可以調(diào)用hypervisor的日志記錄，根據(jù)用戶此前使用的操作系統(tǒng)記錄，以及當(dāng)前的虛擬機狀態(tài)，計算出當(dāng)前狀態(tài)下的最優(yōu)推薦策略。

算法1多樣性操作系統(tǒng)配置算法

輸入：N, m

輸出：assignmentMap

1) for each{N, m} from user in CSP do

2) whilem＞1amp;amp;N＞m

3) foreach

4) get E(u) //對于不同的OS種類、數(shù)量組合，計算多樣性度量值

//為每個VM配置OS

7) return assignmentMap

8) end

4.4 理論分析

本文的威脅模型中，認為攻擊者發(fā)起一次完整的攻擊過程后，攻破虛擬機的概率為 1，即可以對該虛擬機造成安全威脅，如信息竊取或種植木馬，設(shè)定這一收益為固定值b1，且完整的攻擊過程付出的成本代價為c1。定義一個攻擊效益e( s)表示攻擊者獲得收益的總和與總成本的比值。例如，攻擊者對一個虛擬機進行完整攻擊的攻擊效益為

其中，δ為一個定值，s1為某種攻擊策略。

攻擊者由于受到成本的約束，不可能對每一個虛擬機都進行完整攻擊，因此其選擇的策略必然是利用某次完整攻擊獲取的信息，且默認該服務(wù)器上用戶虛擬機屬于同一類型，從而利用完整攻擊中挖掘的漏洞對其他虛擬機發(fā)起攻擊。假設(shè)攻擊者對操作系統(tǒng)a發(fā)起一次完整攻擊后，對其他虛擬機利用相同漏洞繼續(xù)攻擊，那么顯然，攻擊操作系統(tǒng)b成功的概率為xab。另外，假設(shè)攻擊者對單個虛擬機不進行預(yù)先探測和挖掘，直接利用共同漏洞進行攻擊的成本為c2，不妨令由于完整攻擊的成本高于直接攻擊，所以有α＞1成立。對于攻擊者，存在如下成本約束。

其中，N1為完整攻擊的次數(shù)，而C為總的成本。那么當(dāng)操作系統(tǒng)不存在多樣性時，攻擊者只需要一次完整攻擊，就可以攻破所有虛擬機，此時攻擊效益

當(dāng)利用多樣性操作系統(tǒng)，如a、b、c這3種異構(gòu)的操作系統(tǒng)時，假設(shè)攻擊者對使用操作系統(tǒng)a的虛擬機發(fā)起完整攻擊，那么攻擊效益為

5 虛擬機安全部署策略

對于CSP來說，來自同一用戶虛擬機的部署方式是一個值得權(quán)衡的博弈問題，其原因如下。

1) 將實例集中于少數(shù)服務(wù)器的話，可以提高資源利用效率，然而一旦服務(wù)器需要維護升級，而此時某些關(guān)鍵服務(wù)又無法中斷，那么同時在線遷移這些虛擬機需要保證足夠的帶寬和CPU，產(chǎn)生的開銷是巨大的；另外，集中部署的方式給攻擊者提供了更廣泛的攻擊思路，如通過攻陷hypervisor直接獲取所有虛擬機的權(quán)限，或者對服務(wù)器發(fā)起攻擊，造成DoS。

2) 將虛擬機分散到云環(huán)境中不同的主機上是一種負載均衡的有效方法，可以減輕虛擬機資源需求迅速增加時引起的性能降低問題，但是增加了用戶的管理成本，大量工作狀態(tài)的主機也會消耗很多電力資源。因此，以不同的方式部署虛擬機，對于能耗、資源利用率和用戶數(shù)據(jù)安全將產(chǎn)生不同的影響。

首先，本文認為將虛擬機分散到各個服務(wù)器中的策略降低了系統(tǒng)的安全性。由于CSP無法預(yù)先判斷攻擊者的存在，即攻擊者有可能已經(jīng)存在于云環(huán)境中。文獻[18]提到，對于同一用戶而言，個人擁有的虛擬機實例如果分散在不同的物理主機上，實際上增大了攻擊者的攻擊面，因為虛擬機有更大的概率暴露在攻擊者的攻擊環(huán)境下。因此，本文傾向于集中虛擬機的策略。

其次，之前已經(jīng)提到，從用戶的角度來看，過度的集中一定程度上影響了系統(tǒng)的頑健性，即服務(wù)器的失效會影響該服務(wù)器上用戶所有的虛擬機。對此，本文設(shè)定一個閾值Tm，服務(wù)器上屬于同一用戶的實例數(shù)量不能超過該閾值。而在本文的應(yīng)用場景中，還將對服務(wù)器上使用同一操作系統(tǒng)的虛擬機數(shù)量進行限制。

當(dāng)云環(huán)境中已經(jīng)存在該用戶VM時，根據(jù)上述2個原則可以部署新的虛擬機。而如果虛擬機都被掛起，但有服務(wù)器部署過這些虛擬機時，顯然應(yīng)該首先在這些服務(wù)器上部署新的虛擬機，這仍然是從減小攻擊面的角度出發(fā)。算法2為所提的安全部署算法。

算法 2基于操作系統(tǒng)多樣性的虛擬機安全部署策略算法

3) for eachserversi∈W

4) if（si上正在運行的虛擬機或曾經(jīng)部署過該用戶的虛擬機）

5)amp;amp;（si上屬于且處于啟動狀態(tài)的虛擬機數(shù)量少于Tm）

7)else

9) end if

10) end for

19)elsej++；//不滿足資源需求，則考慮下一個服務(wù)器作為備選

20) end if

21) end for

24) update physical resources；//更新物理資源信息

25) update W andSd；

26) end if

27) end for

28) end while

6 仿真結(jié)果

6.1 實驗設(shè)置

首先，本文利用CVE（common vulnerabilitiesamp; exposures）網(wǎng)站提供的數(shù)據(jù)，統(tǒng)計了一些常用操作系統(tǒng)的漏洞數(shù)及其與其他系統(tǒng)的共同漏洞數(shù)。需要指出的是，考慮到不同操作系統(tǒng)的發(fā)行時間和發(fā)行商存在差異，只統(tǒng)計了2015年～2017年期間發(fā)現(xiàn)的漏洞數(shù)量，如表1所示，即由漏洞數(shù)得到的相關(guān)性矩陣X并不具有唯一性。

顯然，共同漏洞數(shù)對應(yīng)的矩陣是對稱矩陣，但值得注意的是，其對應(yīng)的相關(guān)性矩陣并非對稱矩陣。

本文首先針對用戶申請?zhí)摂M機時，如何配置操作系統(tǒng)以得到最大的多樣性度量值進行實驗，分析操作系統(tǒng)種類、數(shù)量、相關(guān)性等以及虛擬機數(shù)量對多樣性的影響；然后在不同的多樣性度量下，比較攻擊者在進行一次完整攻擊時，攻擊效益的變化情況，并與單一的操作系統(tǒng)配置方法進行對比；最后研究在本文的安全部署策略下，攻擊者發(fā)起多次完整攻擊，探測到不同操作系統(tǒng)的概率與隨機策略下這一概率的關(guān)系。

6.2 仿真結(jié)果分析

實驗一在多樣性模型中，本文證明了當(dāng)操作系統(tǒng)之間的關(guān)聯(lián)度為0時，多樣性度量值如何取得最大值。表1中有多種操作系統(tǒng)組合之間的共同漏洞數(shù)為0，因此實驗1首先研究3種操作系統(tǒng)，即 m=3時的分配方法。取 N=10，m=3進行仿真實驗，改變 3種操作系統(tǒng)的選擇，分別計算使多樣性度量指標(biāo)最大時的分配方法，具體結(jié)果如表2中的實驗1～實驗4所示。

表1 常用操作系統(tǒng)的共同漏洞數(shù)

表2 虛擬機數(shù)量一定，使用不同操作系統(tǒng)組合時，可以得到的多樣性度量最大值

實驗1中漏洞數(shù)量最多的Windows 7分配的虛擬機最少，實驗2中OS X卻分配到最多。因此，多樣性的分配策略與操作系統(tǒng)具體漏洞數(shù)量無關(guān)，而是更容易受到與其他操作系統(tǒng)相關(guān)性的影響。

從實驗3、實驗4發(fā)現(xiàn)，由于Windows操作系統(tǒng)與其他系統(tǒng)的相關(guān)性都為 0，所以當(dāng)其他操作系統(tǒng)確定后，選擇任何一種Windows系統(tǒng)不會對多樣性產(chǎn)生影響。此時，CSP可以結(jié)合用戶的個人喜好，為用戶推薦既保證安全性又滿足用戶需求的分配策略。

實驗二考慮增加一種操作系統(tǒng)類型時，多樣性度量值是否會發(fā)生變化。即取N=10，m=4，仿真結(jié)果如表2中實驗5～實驗8所示。

從實驗1、實驗5以及實驗2、實驗6看出，增加分配操作系統(tǒng)的種類，可以明顯提高虛擬機整體的多樣性，但是需要指出，并不是操作系統(tǒng)種類越多，多樣性程度就越高，如實驗 5與實驗2～實驗4的對比，盡管增加了一種操作系統(tǒng)，但多樣性卻不如其他情況。因此，盲目地配置多種操作系統(tǒng)，并不能實現(xiàn)最大的安全性需求。

圖1展示了使用m種操作系統(tǒng)，配置N個虛擬機時，多樣性度量值的最大值隨虛擬機數(shù)量的變化情況，其中m為表1中常用操作系統(tǒng)中的任意m種。容易發(fā)現(xiàn)，使用相同種類數(shù)量的操作系統(tǒng)時，多樣性隨著虛擬機數(shù)量增加呈現(xiàn)小幅度的增長；且m小于6時，配置相同數(shù)量的虛擬機，m越大多樣性程度越高。另外，m=6時，其多樣性度量略低于m=5時的結(jié)果，這個現(xiàn)象也符合上面提到的結(jié)論，即隨意增加操作系統(tǒng)的種類，并不一定會對多樣性產(chǎn)生積極的影響，只有當(dāng)增加的操作系統(tǒng)與其他操作系統(tǒng)共同漏洞數(shù)少的情況下，增加m的大小，可以提高系統(tǒng)的安全性。

圖1 m不同時，多樣性度量值的最大值隨虛擬機數(shù)量的變化情況

當(dāng)然，計算多樣性度量最大的操作系統(tǒng)配置方法，是以犧牲時間復(fù)雜度為代價的。例如，m=3時，需要計算的次數(shù)為，隨著虛擬機數(shù)量的增多，需要的計算時間將迅速增加。未來的工作中，可以使用模擬退火算法等優(yōu)化算法來降低計算多樣性的時間復(fù)雜度。

實驗三假設(shè)攻擊者只發(fā)起一次完整攻擊，分析其攻擊效益在不同的多樣性度量值下的變化情況。?。ㄊ聦嵣希暮挺恋闹祵嶒灲Y(jié)果不產(chǎn)生影響，此處為了定量分析的方便），對應(yīng)表2中的操作系統(tǒng)分配策略，分別計算相應(yīng)多樣性度量值下的攻擊效益。由于完整攻擊只能攻破一種操作系統(tǒng)，因此實驗計算出攻擊任一操作系統(tǒng)時的攻擊效益，并以最大值和最小值作為實驗數(shù)據(jù)進行分析。實驗結(jié)果如圖2所示。

圖2 攻擊者發(fā)起一次完整攻擊時，攻擊效益與多樣性度量值的關(guān)系

整體上，攻擊效益會隨著多樣性度量值的增大而減小，分配策略不同時攻擊效益可能出現(xiàn)相等的情況。多樣性操作系統(tǒng)的策略相比于單一的操作系統(tǒng)分配，至少可以降低33.46%的攻擊效益，且隨著多樣性度量值增加，降低效果更明顯。

最后，本文對虛擬機部署后，攻擊者針對不同的物理主機發(fā)起2次完整攻擊（假設(shè)攻擊者在成本約束下最多只能發(fā)起2次完整攻擊）的情形做了簡單分析。由于從完整攻擊獲取的信息對于直接攻擊至關(guān)重要，因此該實驗考慮攻擊者在2次完整攻擊中，是否能探測到2種不同的操作系統(tǒng)。取N=10，m=3的情況，比較本文部署策略與隨機策略下，探測到不同操作系統(tǒng)的概率，結(jié)果如圖3所示，橫軸括號中數(shù)字分別代表3種操作系統(tǒng)的數(shù)量。

可以發(fā)現(xiàn)，在本文部署策略下，攻擊者探測到2種不同操作系統(tǒng)的概率略小于隨機策略下的概率。隨機策略是一種比較安全的部署方法，但由于隨機策略并不考慮云環(huán)境中服務(wù)器的負載狀態(tài)，容易造成服務(wù)水平協(xié)議（SLA, service level agreements）隔離，也可能使休眠狀態(tài)的服務(wù)器重新啟動，策略的可行性差。而本文所提部署策略可以實現(xiàn)與隨機策略相當(dāng)?shù)陌踩孕枨?，同時，提高了服務(wù)器的資源利用率。

圖3 攻擊者發(fā)起2次完整攻擊時，2種不同操作系統(tǒng)的概率與部署情況的關(guān)系

7 結(jié)束語

本文提出一種基于操作系統(tǒng)多樣性的虛擬機安全部署策略。該方法考慮不同操作系統(tǒng)存在的漏洞數(shù)量和種類具有差異性，對虛擬機利用多樣性的配置方法可以使攻擊者無法以較小的開銷攻陷所有的虛擬機。同時，考慮虛擬機在部署過程中需要實現(xiàn)資源節(jié)約等限制條件，本文提出一種安全部署策略，既能發(fā)揮多樣性的優(yōu)勢，又不影響云環(huán)境的資源利用效率。實驗結(jié)果表明，相比單一的操作系統(tǒng)配置方法，本文方法通過提升系統(tǒng)多樣性達到安全部署的目的，對于攻擊者的攻擊效益至少可以降低33.46%。

[1] RISTENPART T, TROMER E, SHACHAM H, et al. Hey, you, get off of my cloud: exploring information leakage in third-party compute clouds[C]//ACM Conference on Computer and Communications Security. 2009.

[2] APECECHEA G I, INCI M S, EISENBARTH T, et al. Fine grain cross-VM attacks on Xen and VMware are possible![J]. Ecewp.ece.wpi.edu, 2014.

[3] OSVIK D A, SHAMIR A, TROMER E. Cache attacks and countermeasures: the case of AES[J]. Lecture Notes in Computer Science, 2006, (2005):1-20.

[4] YAROM Y, FALKNER K. FLUSH+RELOAD: a high resolution,low noise, L3 cache side-channel attack[C]//Usenix Conference on Security Symposium. 2014:719-732.

[5] ZHANG Y, REITER M K. Düppel: retrofitting commodity operating systems to mitigate cache side channels in the cloud[C]//ACM Sigsac Conference on Computer amp; Communications Security. 2013.

[6] WANG Z, LEE R B. A novel cache architecture with enhanced performance and security[C]//IEEE/ACM International Symposium on Microarchitecture. 2008.

[7] MOON S J, SEKAR V, REITER M K. Nomad: mitigating arbitrary cloud side channels via provider-assisted migration[C]//The 22nd ACM SIGSAC Conference on Computer and Communications Security. 2015:1595-1606.

[8] AVIZIENIS A, CHEN L. On the implementation of N-version programming for software fault tolerance during program execution[J]. Proc of the Compsac, 1977, 6(1):25-37.

[9] FORREST S, SOMAYAJI A, ACKLEY D. Building diverse computer systems[C]//The Workshop on Hot Topics in Operating Systems.1997: 67-72.

[10] HOFMEYR S A, FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation, 2000, 8(4):443-473.

[11] GASHI I, POPOV P, STRIGINI L. Fault tolerance via diversity for off-the-shelf products: a study with SQL database servers[J]. IEEE Transactions on Dependable and Secure Computing, 2007, 4(4):280-294.

[12] NEWELL A, OBENSHAIN D, TANTILLO T, et al. Increasing network resiliency by optimally assigning diverse variants to routing nodes[C]//IEEE/IFIP International Conference on Dependable Systems and Networks. 2013.

[13] GARCIA M, BESSANI A, GASHI I, et al. Analysis of operating system diversity for intrusion tolerance[J]. Software-practice amp;Experience, 2014, 44(6): 735-770.

[14] BATES A, MOOD B, PLETCHER J, et al. Detecting co-residency with active traffic analysis techniques[C]//The 2012 ACM Workshop on Cloud Computing Security Workshop. 2012

[15] ZHANG Y, JUELS A, OPREA A, et al. HomeAlone: co-residency detection in the cloud via side-channel analysis[C]//IEEE Symposium on Security and Privacy. 2011.

[16] ZHANG Y, JUELS A, REITER M K, et al. Cross-VM side channels and their use to extract private keys[C]//ACM Conference on Computer and Communications Security. 2012

[17] LEINSTER T, COBBOLD C A. Measuring diversity: the importance of species similarity[J]. Ecology, 2012,93(3):477.

[18] HAN Y, CHAN J, ALPCAN T, et al. Using virtual machine allocation policies to defend against co-resident attacks in cloud computing[J]. IEEE Transactions on Dependable amp; Secure Computing, 2017, 14(1): 95-108.

Secure deployment strategy of virtual machines based on operating system diversity

ZHANG Miao, JI Xin-sheng, AI Jian-jian, LIU Wen-yan, HU Hong-chao, HUO Shu-min

(National Digital Switching Engineering amp; Technological Ramp;D Center, Zhengzhou 450002, China)

The resource-sharing model for cloud computing raises many security issues, such as co-resident of virtual machines, while greatly improving resource utilization. In particular, when a user adopts a single operating system, an attacker can steal privacy and data by compromising the user's entire virtual machine at a smaller cost. In view of this security threat, a strategy for the security deployment of virtual machine based on operating system diversity was presented. This method firstly recommended an operating system configuration options for users applying for virtual machines with the highest degree in diversity, and then through the secure deployment strategy, maximized the effect of diversity, thus making the attacker pay more cost. The experimental results show that compared with the method of single operating system, this method can reduce the attack efficiency by 33.46% at least.

virtual machine, co-resident attack, operating system, diversity, cloud security

s：The National Science Foundation for Distinguished Young Scholars of China (No.61602509), The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The National Key Ramp;D Program of China (No.2016YFB0800100, No.2016YFB0800101)

TP302

A

10.11959/j.issn.2096-109x.2017.00201

2017-07-11；

2017-09-01。

張淼，1021380925@qq.com

國家自然科學(xué)基金青年基金資助項目（No.61602509）；國家自然科學(xué)基金創(chuàng)新研究群體基金資助項目（No.61521003）；國家重點研發(fā)計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）

張淼（1994-），男，湖北孝感人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為網(wǎng)絡(luò)安全防御。

季新生（1968-），男，江蘇南通人，國家數(shù)字交換系統(tǒng)工程技術(shù)中心教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)空間安全、擬態(tài)安全。

艾健健（1989-），男，山東廣饒人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心博士生，主要研究方向為網(wǎng)絡(luò)安全、軟件定義網(wǎng)絡(luò)。

劉文彥（1986-），男，河南鹿邑人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為網(wǎng)絡(luò)空間防御和云安全。

扈紅超（1982-），男，河南商丘人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)中心副研究員，主要研究方向為網(wǎng)絡(luò)空間安全、云數(shù)據(jù)中心。

霍樹民（1985-），山西長治人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為網(wǎng)絡(luò)空間安全。