白開峰 趙宏斌 李妍 韓麗芳 馬勇

摘要： 云計(jì)算的運(yùn)行環(huán)境更為復(fù)雜，面臨更多的安全威脅，譬如跨虛擬機(jī)逃逸攻擊和虛擬機(jī)跳躍攻擊等問題。本文分析了虛擬機(jī)逃逸攻擊原理，傳統(tǒng)解決檢測(cè)方法使用基于特征碼匹配，本文提出使用強(qiáng)制訪問控制和多類別安全來進(jìn)行嚴(yán)密的虛擬機(jī)防逃逸攻擊檢測(cè)，通過分配各種資源一個(gè)隨機(jī)強(qiáng)制控制和多類別安全標(biāo)記，強(qiáng)制限制在本虛擬機(jī)中，有效解決了虛擬機(jī)逃逸問題。

【關(guān)鍵詞】云計(jì)算 虛擬機(jī) 逃逸攻擊 強(qiáng)制訪問控制 多類別安全

1 引言

企業(yè)信息系統(tǒng)往往采用封閉和半封閉運(yùn)行環(huán)境，系統(tǒng)之間通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換，導(dǎo)致一個(gè)個(gè)信息孤島。云計(jì)算通過虛擬化技術(shù)實(shí)現(xiàn)了資源跨服器共享和調(diào)用，對(duì)外統(tǒng)一提供計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)能力。目前各個(gè)企業(yè)發(fā)布了自己的云計(jì)算戰(zhàn)略，例如谷歌、微軟和亞馬遜等。云計(jì)算的運(yùn)行環(huán)境更為復(fù)雜，面臨更多的安全威脅，譬如跨虛擬機(jī)逃逸攻擊和虛擬機(jī)跳躍攻擊等問題。

云計(jì)算從下向上采用三層模式：基礎(chǔ)即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PasS）和軟件即服務(wù)（ SaaS）。下層為上層提供服務(wù)，但是下層亦承受了上層引發(fā)的風(fēng)險(xiǎn)。近年來，各種云計(jì)算的病毒、漏洞與攻擊層出不窮。2008年，VMware的服務(wù)器首次出現(xiàn)了虛擬機(jī)逃逸攻擊，2011年DropBox發(fā)生用戶無需使用口令即可登錄服務(wù)器，同年阿里巴巴公司云存儲(chǔ)發(fā)生故障導(dǎo)致TeamCola公司數(shù)據(jù)丟失。2009年Ken Owens指出，IaaS發(fā)生的逃逸攻擊可能造成云平臺(tái)安全體系崩潰。以往發(fā)生的云安全事件及存在安全漏洞要求必須加強(qiáng)云安全監(jiān)測(cè)和防范。傳統(tǒng)虛擬機(jī)逃逸攻擊檢測(cè)方法使用基于特征碼匹配，攻擊者很容易偽裝而逃過檢測(cè)。

2 虛擬機(jī)逃逸技術(shù)原理分析

逃逸技術(shù)是一種通過偽裝和/或修飾網(wǎng)絡(luò)攻擊（惡意軟件攻擊，漏洞攻擊等）以躲避信息安全系統(tǒng)的檢測(cè)和阻止的手段。利用逃逸技術(shù)，高級(jí)的、懷有惡意目的的網(wǎng)絡(luò)犯罪分子對(duì)具有漏洞的系統(tǒng)進(jìn)行攻擊。通常這些帶有惡意內(nèi)容的攻擊會(huì)被IPS檢測(cè)出并被阻止，而高級(jí)的逃逸技術(shù)會(huì)將惡意內(nèi)容的攻擊隱藏起來因此不會(huì)被安全系統(tǒng)檢測(cè)到。目前的安全系統(tǒng)對(duì)這些逃逸技術(shù)束手無策，就像隱形戰(zhàn)斗機(jī)可在雷達(dá)和其它防御系統(tǒng)檢測(cè)不到的情況下發(fā)起攻擊。

虛擬機(jī)逃逸是指利用虛擬機(jī)軟件或者虛擬機(jī)中運(yùn)行的軟件的漏洞進(jìn)行攻擊，達(dá)到攻擊或控制虛擬機(jī)宿主操作系統(tǒng)的目的。虛擬機(jī)逃逸是一種應(yīng)用，其中攻擊者允許在操作系統(tǒng)與管理程序直接互動(dòng)的虛擬機(jī)上執(zhí)行代碼。這種應(yīng)用可以使攻擊者進(jìn)入主機(jī)操作系統(tǒng)和在主機(jī)上運(yùn)行其他虛擬機(jī)。

在非虛擬環(huán)境中，每臺(tái)主機(jī)都有主機(jī)獨(dú)立的環(huán)境、服務(wù)，包括；Web server、DNS server等，主機(jī)之間物理隔離，如圖1所示。

在虛擬環(huán)境中，不同的操作系統(tǒng)存在于同一物理主機(jī)之上，每個(gè)操作系統(tǒng)有主機(jī)的虛擬內(nèi)核，如圖2所示。虛擬機(jī)設(shè)計(jì)在主機(jī)的獨(dú)立環(huán)境中運(yùn)行。實(shí)際上，每臺(tái)虛擬機(jī)都應(yīng)該是一個(gè)單獨(dú)的系統(tǒng)，獨(dú)立于主機(jī)操作系統(tǒng)和在同一臺(tái)機(jī)器上運(yùn)行的其他虛擬機(jī)。管理程序介于主機(jī)操作系統(tǒng)和虛擬機(jī)之間，控制主處理器，并給每個(gè)客機(jī)操作系統(tǒng)分配需要的資源。

攻擊者利用虛擬機(jī)軟件或者虛擬機(jī)中運(yùn)行的軟件的漏洞進(jìn)行攻擊，能夠突破虛擬機(jī)，獲得管理程序并控制在主機(jī)上運(yùn)行的其他虛擬機(jī)，如圖3所示。

同一臺(tái)物理服務(wù)器上的多個(gè)虛擬機(jī)共享物理硬件如：CPU、內(nèi)存和I/O設(shè)備，在某些情況下，在虛擬機(jī)操作系統(tǒng)里面運(yùn)行的程序會(huì)繞過底層，利用宿主主機(jī)做某些攻擊或破壞活動(dòng)，致使整個(gè)安全機(jī)制失效。傳統(tǒng)的反惡意軟件能夠掃描內(nèi)存，但是通常是基于特征碼的并可以被攻擊者繞過。攻擊者可以利用零日漏洞或者新的惡意軟件變種來繞過反惡意軟件，達(dá)到攻擊或控制虛擬機(jī)宿主操作系統(tǒng)的目的，這就是虛擬機(jī)逃逸技術(shù)，它會(huì)使整個(gè)安全模型完全崩潰。

3 虛擬機(jī)逃逸監(jiān)控實(shí)現(xiàn)機(jī)制

虛擬化平臺(tái)系統(tǒng)通過強(qiáng)制訪問控制（MAC）和多類別安全（MCS）來進(jìn)行嚴(yán)密的虛擬機(jī)防逃逸及虛擬機(jī)逃逸監(jiān)控。其中，強(qiáng)制訪問控制對(duì)傳統(tǒng)的訪問控制列表（ACL）進(jìn)行了安全增強(qiáng)，在強(qiáng)制訪問控制模式下，會(huì)為每一個(gè)對(duì)象添加一個(gè)安全上下文標(biāo)記，進(jìn)程除了具備傳統(tǒng)的訪問控制列表權(quán)限外，還必須獲得強(qiáng)制訪問控制策略的授權(quán)，才能對(duì)系統(tǒng)資源進(jìn)行訪問；多類別安全是對(duì)強(qiáng)制訪問控制的一個(gè)功能增強(qiáng)，多類別安全在強(qiáng)制訪問控制的安全上下文標(biāo)記的基礎(chǔ)上，擴(kuò)展了敏感級(jí)別標(biāo)記和一個(gè)數(shù)據(jù)分類標(biāo)記，用于更細(xì)粒度的實(shí)現(xiàn)強(qiáng)制訪問控制策略。

虛擬化平臺(tái)系統(tǒng)在分配虛擬機(jī)資源時(shí)，將會(huì)為虛擬機(jī)進(jìn)程、虛擬機(jī)所擁有的內(nèi)存空間、磁盤鏡像、網(wǎng)絡(luò)設(shè)備等資源分配一個(gè)隨機(jī)的強(qiáng)制訪問控制和多類別安全標(biāo)記，在強(qiáng)制訪問控制系統(tǒng)的約束下，虛擬機(jī)僅能訪問自身虛擬化所使用到的內(nèi)存空間、磁盤鏡像、網(wǎng)絡(luò)設(shè)備等資源和外設(shè)，無法跳出限制且對(duì)其他資源不具有任何權(quán)限，同時(shí)，其他虛擬機(jī)也被強(qiáng)制限制在虛擬機(jī)本身中，有效控制了虛擬機(jī)的逃逸，如圖4所示。

虛擬化平臺(tái)系統(tǒng)對(duì)虛擬機(jī)的強(qiáng)制安全訪問控制進(jìn)行了審計(jì)，在系統(tǒng)運(yùn)行的過程中，如果出現(xiàn)了任何違規(guī)訪問的行為，其行為都會(huì)被記錄到系統(tǒng)的逃逸監(jiān)控日志中，以便于管理員進(jìn)行排查。

4 結(jié)束語(yǔ)

本文提出使用強(qiáng)制訪問控制和多類別安全來進(jìn)行嚴(yán)密的虛擬機(jī)防逃逸攻擊檢測(cè)，通過分配各種資源一個(gè)隨機(jī)強(qiáng)制控制和多類別安全標(biāo)記，強(qiáng)制將資源訪問限制在本虛擬機(jī)中。雖然這種方法在一定程度上解決了虛擬機(jī)逃逸攻擊的問題，但是也限制了虛擬機(jī)遷移和資源訪問效率。如何實(shí)現(xiàn)合適粒度的強(qiáng)制控制矩陣和多類別安全標(biāo)記是下一步研究的重點(diǎn)。

參考文獻(xiàn)

[1]黃蘭秋，基于云計(jì)算的企業(yè)競(jìng)爭(zhēng)情報(bào)服務(wù)模式研究[D].南開大學(xué)，201 2.

[2]儲(chǔ)節(jié)旺，寄心海上云：云計(jì)算環(huán)境下的知識(shí)管理[J].情報(bào)理論與實(shí)踐，2013， 36 （01）： 1-5+15.

[3]BhardwajS，JainL，JainS.Cloud computing：A study ofinfrastructure as a service（IAAS） [J]. Interna tional Journalof engineering and informationTechnology， 2010，2 （01）： 60-63.

[4] Mell P，Grance T.The NIST definitionof cloud computing [J]. 2011.

[5] Armbrust M，F(xiàn)ox A，Griffith R，etal.A view of cloud computing [J].CommunicationsoftheACM， 2010， 53 （04）： 50-58.

[6]史曉華，吳甘沙，金茂忠，LUEH Guei-Yuan，劉超，王雷.在開放世界中實(shí)現(xiàn)逃逸分析[J].軟件學(xué)報(bào)，2008 （03）：522-532.

[7]劉謙，面向云計(jì)算的虛擬機(jī)系統(tǒng)安全研究[D].上海交通大學(xué)，2012.

[8]李昊，張敏，馮登國(guó)，惠榛，大數(shù)據(jù)訪問控制研究[J]，計(jì)算機(jī)學(xué)報(bào)，2017，40 （01）： 72-91.