（计算机科学与技术专业论文）隔离运行环境关键技术研究.pdf

国防科学技术大学研究生院博士学位论文 摘要 随着网络技术的发展和硬件性价比的不断提高，网络应用模式发生了深刻变 化，个人用户越来越频繁地从i n t e m e t 上下载和执行软件，个人计算平台逐渐由终 端设备变为参与网络计算的基本元素。这一变化造成了网络上非可信软件对个人 计算平台更为严峻的安全威胁，对当前个人计算平台的防护机制提出了新的挑战。 构造一个透明的隔离运行环境，使其能够隔离非可信软件的潜在安全威胁，同时 保证被隔离软件的有效运行，并监控其行为，成为个人计算平台抵御下载执行的 非可信软件安全威胁的重要技术途径。 隔离运行环境的构造面临两大问题：一是如何在充分隔离的前提下保证被隔 离软件正确执行并且性能可以接受；二是如何在充分隔离的前提下鉴别或抑止非 可信软件的恶意行为。本文借鉴虚拟机技术，提出了隔离运行环境的安全隔离性、 功能完整性、性能适应性和行为可监控性的概念，在确保操作系统隔离的前提下， 通过重现宿主操作系统软件环境来提高隔离运行环境的功能完整性，通过优化隔 离运行环境性能来提升其性能适应性，并提出了一种在虚拟层监控被隔离软件行 为的通用机制。本文的主要贡献有以下几点： 1 提出了一种新的基于硬件抽象层虚拟机技术的隔离运行模型( s a f ev i r t u a l e x e c u t i o ne n v i r o n m e n t ，简称s v e e ) 。s v e e 能够在支持操作系统隔离的前提 下重现宿主计算环境，并满足b e l l l a p a d u l a 机密性模型和b i b a 完整性模型。 同时，在该模型下，被保护的宿主环境的容侵能力也得到了有效提升。s v e e 在执行非可信软件所需的安全隔离性、功能完整性、性能适应性与行为可监控 性之间找到了合适的平衡点。基于此模型，本文提出了独立于操作系统的s v e e 体系结构，该体系结构具有很好的可移植性。 2 针对计算环境重现带来的文件系统冲突问题和操作系统迁移带来的软硬件配 置不兼容问题，本文提出了以卷快照技术和动态操作系统迁移技术为核心的本 地虚拟化技术，有效实现了可配置的计算环境重现，显著提升了隔离运行环境 的功能完整性。测试结果证明s v e e 能够有效支持多种不同软硬件配置的运行 环境。 3 为了提高s v e e 隔离运行环境的性能，本文提出了针对指令虚拟化的动态指令 转换优化技术和针对内存虚拟化的动态物理内存分配技术，提升了隔离运行环 境的性能适应性。s p e c2 0 0 6 的测试结果显示s v e e 隔离运行环境的性能接近 于直接在宿主环境运行的性能( 平均性能下降仅为4 4 1 ) ；而动态物理内存 分配技术则平均减少内存消耗6 8 2 ，同时处理器开销平均增加不到3 。 4 为了支持在虚拟层有效地监视和分析隔离运行环境内非可信软件的行为，针对 第i 页 国防科学技术大学研究生院博士学位论文 虚拟层只能获取硬件层的相关数据而无法直接获取操作系统层语义信息的问 题，本文提出并实现了隐式操作系统信息重构平台，使得s v e e 及其它相关应 用都能够在不借助操作系统a p i 的情况下，利用硬件层的信息重构出操作系统 层的语义信息，有效提升了隔离运行环境的行为可监控性。基于此平台，构造 了自隐藏恶意代码检测系统，该系统能够有效的检测出比现有检测机制更多的 自隐藏恶意代码。 5 针对能够感知虚拟机存存并隐藏自身恶意行为的所谓“虚拟机感知”恶意代码， 本文建立了基于硬件虚拟化技术的防御模型，该模型通过模拟已有虚拟机的各 种指纹故意使此类恶意代码感知到虚拟机的存在，进而使其主动放弃恶意行为 的执行。测试结果证明原型系统m i n i v m m 能够将运行中的操作系统动态地在 本地模式和虚拟化模式间切换，并能准确模拟各类虚拟机指纹，进一步提高了 对恶意代码行为的抑止能力。 综上所述，本文针对隔离运行环境的安全隔离性、功能完整性、性能适应性 和行为可监控性提出了有效的解决方案，对于提高个人计算平台抵御非可信软件 安全威胁的能力具有重要的理论意义和应用价值。 主题词：非可信软件隔离运行环境虚拟机本地虚拟化计算环境重现动态指令 转换隐式操作系统信息重构自隐藏恶意代码虚拟机感知恶意代码 国防科学技术大学研究生院博士学位论文 a b s t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to ft h en e t w o r kt e c h n o l o g ya n dt h es i g n i f i c a n t r a i s i n go ft h eh a r d w a r e sp e r f o r m a n c e - p r i c er a t i o ，t h ea p p l i c a t i o np a t t e r n so ft h e n e t w o r kh a v ec h a n g e dg r e a t l y t h eu s e r so ft h ep e r s o n a lc o m p u t i n gp l a t f o r m sa r e w i l l i n gt od o w n l o a da n de x e c u t ef r e e w a r e s h a r e w a r eo nt h ei n t e m e t t h ep e r s o n a l c o m p u t i n gp l a t f o r m sa r ec h a n g i n gf r o mt h et e r m i n a ld e v i c e st o s e r v ea st h eb a s i c c o m p o n e n t so ft h en e t w o r kc o m p u t i n g h o w e v e r ，t h i se v o l v e m e n ti n c u r sm o r es e r i o u s s e c u r i t yt h r e a t st ot h ep e r s o n a lc o m p u t i n gp l a t f o r m s c o n s e q u e n t l y ，t h e s et h r e a t sc o m e u pw i t hs e v e r a ln e wc h a l l e n g e st ot h ee x i s t i n gp r o t e c t i n gm e c h a n i s m s c o n s t r u c t i n ga t r a n s p a r e n ti s o l a t e de x e c u t i o ne n v i r o n m e n t ，w h i c hc a nc o n f i n et h ep o t e n t i a lt h r e a t so f t h eu n t r u s t e ds o f t w a r ea n dm o n i t o rt h eb e h a v i o ro ft h i ss o f t w a r ew i t h o u tn e g a t i n gi t s f u n c t i o n a l i t yb e n e f i t s ，w i l ls e r v ea st h ei m p o r t a n tt e c h n o l o g ya p p r o a c ht op r o t e c tt h e p e r s o n a lc o m p u t i n gp l a t f o r m sa g a i n s tt h es e c u r i t yt h r e a t so ft h eu n t r u s t e ds o f t w a r e b u i l d i n gs u c ha ni s o l a t e de x e c u t i o ne n v i r o n m e n th a st ob ef a c e dw i t ht w o c h a l l e n g e s 砀pf i r s tc h a l l e n g ei sh o wt oa c h i e v eb o t ht h ef u l l i s o l a t i o na n dt h e f u n c t i o n a l i t yb e n e f i t so ft h ei s o l a t e ds o f t w a r ew h i l et h ep e r f o r m a n c eo v e r h e a di s a c c e p t a b l e t h es e c o n dc h a l l e n g ei sh o w t oi d e n t i f ya n dc o n f i n et h ep o t e n t i a lm a l i c i o u s b e h a v i o ro ft h eu n t r u s t e ds o f t w a r ew h i l e g u a r a n t e e i n g t h ef u l li s o l a t i o n t l l i s d i s s e r t a t i o ni n t r o d u c e st h ev i r t u a lm a c h i n et e c h n o l o g ya n dp r o p o s e sf o u rc o n c e p t s ， e x p l o r i n gs e c u r i t y & o l a t i o n ，f u n c t i o n a li n t e g r i t y ，p e r f o r m a n c ea d a p t a b i l i t ya n db e h a v i o r i n s p e c t a b i l i t y i na d d i t i o n ，t h i sd i s s e r t a t i o nm a k e sa ni n d e p t hs t u d yo nh o wt oi m p r o v e t h ef u n c t i o n a li n t e g r i t ya n dp e r f o r m a n c ea d a p t a b i l i t yw h i l eg u a r a n t e e i n gt h es e c u r i t y i s o l a t i o n b e s i d e s ，an e wt e c h n o l o g yi sp r o p o s e dt oi n s p e c ta n da n a l y z et h ei s o l a t e d s o f t w a r e sb e h a v i o ra tt h ev i r t u a l i z a t i o nl a y e r h a v i n gs o l v e dt h ec h a l l e n g e sa r i s i n gi n t h ew h o l el i f e t i m eo fu n t r u s t e dc o d e ，e x p l o r i n gi n t r o d u c t i o n ，e x e c u t i o n ，v e r i f i c a t i o na n d s u b m i s s i o nt ot h eh o s te n v i r o n m e n t ，t h i sd i s s e r t a t i o nm a k e sf i v ec o n t r i b u t i o n sa s f o l l o w s ： 1 e x i s t i n gi s o l a t i o ne x e c u t i o nt e c h n o l o g yc a n n o ta c h i e v eb o t ht h eo si s o l a t i o na n d e x e c u t i o ne n v i r o n m e n tr e p r o d u c t i o n t oa d d r e s st h ed i l e m m a ，t h i sd i s s e r t a t i o n p r o p o s e san e wv i r t u a lm a c h i n eb a s e di s o l a t i o nm o d e l s a f ev i r t u a le x e c u t i o n e n v i r o n m e n t ( s v e e ) t h i sm o d e ls u p p o r t sb o t ho si s o l a t i o na n de x e c u t i o n e n v i r o n m e n tr e p r o d u c t i o n i na d d i t i o n ，t h i sd i s s e r t a t i o np r o v e si nt h e o r yt h a ts v e e i s o l a t i o nm o d e ls a t i s f i e st h eb e l l l a p a d u l ac o n f i d e n t i a l i t ym o d e la n dt h eb i b a i n t e g r i t ym o d e l b e s i d e s ，t h i sm o d e lw i l ln o t a b l e l yi m p r o v et h ei n t r u s i o n - t o l e r a n t a b i l i t yo ft h eh o s te x e c u t i o ne n v i r o n m e n tw h i c hi sj u s tt h ep r o t e c t i n gc o n c e r nf o r t h ep e r s o n a lh s e r s s v e ea c h i e v e st h eb a l a n c ea m o n gs e c u r i t yi s o l a t i o n f u n c t i o n a l i n t e g r i t y ，p e r f o r m a n c ea d a p t a b i l i t ya n db e h a v i o ri n s p e c t a b i l i t yo ft h e i s o l a t e d 第i i i 页 国防科学技术大学研究生院博士学位论文 e x e c u t i o ne n v i r o n m e n t b a s e do nt h i sm o d e l ，a no s i n d e p e n d e n ta r c h i t e c t u r ei s b u i l tf o rs v e e 2 t or e s o l v et h ef i l es y s t e mc o n f l i c t i o ni n d u c e db yt h ee x e c u t i o ne n v i r o n m e n t r e p r o d u c t i o na n dt h es o f t w a r e h a r d w a r ei n c o m p a t i b i l i t yc a u s e db yt h eo sm i g r a t i o n ， s v e ec o m e su pw i t has o c a l l e dl o c a lv i r t u a l i z a t i o nt e c h n o l o g yw h i c hi sc o m p o s e d o fv o l u m es n a p s h o tt e c h n o l o g ya n dd y n a m i co sm i g r a t i o nt e c h n o l o g y b yd i n to f t h e m ，s v e ee f f e c t i v e l ya c c o m p l i s h e st h ec o n f i g u r a b l ee x e c u t i o ne n v i r o n m e n t r e p r o d u c t i o n s oi ti m p r o v e st h ef u n c t i o n a li n t e g r i t yo ft h ei s o l a t e dc o d e t h e e v a l u a t i o nr e s u l t ss h o wt h a ts v e ec a nr u no nv a r i o u sp c sd e f i n i t e l yw e l l 3 i no r d e rt oi m p r o v et h ep e r f o r m a n c eo fs v e e s v e ei n t r o d u c e st h ed y n a m i c i n s t r u c t i o nt r a n s l a t i o nt e c h n o l o g ya n dd y n a m i cp h y s i c a l m e m o r ya l l o c a t i o n t e c h n o l o g y t h e s et w ot e c h n o l o g i e se n h a n c et h ep e r f o r m a n c ei n t e g r i t yo ft h e i s o l a t e dc o d e ，t h ee v a l u a t i o nr e s u l t so fs p e c2 0 0 6i l l u s t r a t et h a tt h e c o m p u t i n g i n t e n s i v e b e n c h m a r k sr u ne s s e n t i a l l ya tn a t i v e s p e e d o ns v e e ( s u f f e r i n gas l o w d o w no f4 41 o na v e r a g e ) e x p e r i m e n t a ld a t ao ft h ed y n a m i c p h y s i c a lm e m o r ya l l o c a t i o nt e c h n o l o g ys h o w sa no v e r a l lp e r f o r m a n c ei m p r o v e m e n t o f6 8 2 w h i l ee x a c t i n ga no v e r h c a do f3 t oc p u 4 f o rp r o v i d i n gt h ea b i l i t yt oi n s p e c ta n da n a l y z et h eb e h a v i o ro fu n t r u s t e dc o d ea t t h ev i r t u a l i z a t i o nl a y e r , s v e eb r i n g sf o r w a r dan e wi m p l i c i to si n f o r m a t i o n r e c o n s t r u c t i o nt e c h n o l o g y i nv i r t u eo ft h i st e c h n o l o g y ，s v e ei s c a p a b l eo f r e c o n s t r u c t i n gt h eo sl a y e rs e m a n t i ci n f o r m a t i o nf r o mt h ec o l l e c t e dh a r d w a r el a y e r i n f o r m a t i o nw i t h o u tt h eh e l po fo sa p i s c o n s e q u e n t l y t h i st e c h n o l o g ye f f e c t i v e l y i m p r o v e st h ei n s p e c t a b i l i t yo ft h ei s o l a t e dc o d e s v e ea l s oc o n s t r u c t sas t e a l t h m a l w a r ed e t e c t i o ns y s t e m t h ee v a l u a t i o nr e s u l t sw i t hr e a l w o r l dr o o t k i t s w h i c h a r ew i d e l yu s e db ys t e a l t hm a l w a r e ，d e m o n s t r a t et h a tt h i ss y s t e mc a nd e t e c tm o r e s t e a l t hm a l w a r et h a ne x i s t i n gd e t e c t o r s 5 w i t hs e c u r i t yr e s e a r c h e r sr e l y i n go nt h ev i r t u a lm a c h i n e ( v m ) i nt h e i ra n a l y s i s w o r k ，s o - c a l l e dv m a w a r em a l w a r eh a sas i g n i f i c a n ts t a k ei nd e t e c t i n gt h ep r e s e n c e o fav i r t u a lm a c h i n et oa v o i de x e c u t i n gi t sv i c i o u sb e h a v i o r b u th i d i n gt h e v i r t u a l i z a t i o nf r o mm a l w a r eb yb u i l d i n gat r a n s p a r e n tv i r t u a lm a c h i n em c l n i t o r ( v m m ) i sf u n d a m e n t a l l yi n f e a s i b l e ，a sw e l la si m p r a c t i c a lf r o map e r f o r m a n c ea n d e n g i n e e r i n gs t a n d p o i n t t h i sd i s s e r t a t i o np r o p o s e san e wa p p r o a c hc a l l e d m i n i v m mf r o ma n o t h e r p e r s p e c t i v e ：h i d i n g t h e “r e a l ”m a c h i n ef r o mt h e v m m - a w a r em a l w a r e i n s t e a do fb u i l d i n gat r a n s p a r e n tv m m m i n i v m m a d v i s e d l ye x p o s e st h ev m mf m g e r p f i n t st o p r e v e n tt h ec o m p u t e ra g a i n s t v m m a w a r em a l i c i o u sp r o g r a m s b yd e c e i v i n gt h e m i n t o d e a c t i v a t i n gt h e i r d e s t r u c t i v eb e h a v i o r b y t h e m s e l v e s u l t e r i o r l y 。 m i n i v m me n h a n c e st h e i n s p e c t a b i l i t yo ft h ei s o l a t e dc o d e a sas u m m a r y t h i sd i s s e r t a t i o np r o p o s e sat e a s ib l e a p p r o a c hw h i c hp r o v i d e s 第i v 页 国防科学技术大学研究生院博士学位论文 s e c u r i t va g a i n s tp o t e n t i a lm a l w a r ea l o n gw i t hu n t r u s t e dc o d ew h a l ei m p r o v i n gt h e f u n c t i o n a li n t e g r i t y p e r f o r m a n c ea d a p t a b i l i t ya n db e h a v i o ri n s p e c t a b i l i t yo f t h i si s o l a t e d s o t t w a r e i nt h ep o i n to fv i e wo fi m p r o v i n gt h ep e r s o n a lc o m p u t i n gp l a t t o r m s 。s e c u r i t y ， t h i sa p p r o a c ho w n sd e s i r a b l et h e o r e t i cv a l u ea n da p p l i c a t i o ns i g n i f i c a n c e k e yw o r d s ：u n t r u s t e d s o f t w a r e 。i s o l a t e de x e c u t i o ne n v i r o n m e n t - v i r t u a l m a c h i n e ，l o c a lv i r t u a l i z a t i o n ，e x e c u t i o ne n v i r o n m e n tr e p r o d u c t i o n ， d y n a m i c i n s t r u c t i o nt r a n s l a t i o n ，i m p l i c i t o si n f o r m a t i o n r e c o n s t r u c t i o n ，s t e a l t hm a l w a r e ，v m a w a r em a l w a r e 国防科学技术大学研究生院博士学位论文 表目录 表2 1 隔离机制比较2 2 表3 1 隔离运行模型约束与相应解决技术问映射关系- 3 8 表4 1 卷快照处理器性能开销测试5 3 表5 1q e m u 与s v e e 的动态指令转换引擎的性能比较6 6 表5 2s v e e 虚拟机与宿主机性能比较6 6 表5 3s p e c2 0 0 6 性能测试6 7 表5 4w i n d o w s 运行性能比较( 秒) 6 8 表5 5 动态分配算法与预分配算法的性能比较( e v e r e s t u l t i m a t e2 0 0 6 ) 。6 9 表5 6 动态分配算法与预分配算法的性能比较( s p e c2 0 0 6 ) 6 9 表5 7s v e e 虚拟机与v m w a r ew o r k s t a t i o n 性能比较。7 0 表6 1t v p l 检测完整性测试8 5 表6 2s v e es m d 与现有隐藏进程检测工具比较9 l 表7 1 虚拟机指纹模拟测试。1 0 5 第1 v 页 国防科学技术大学研究生院博士学位论文 图1 1 图1 2 图2 1 图2 2 图2 3 图2 4 图3 1 图3 - 2 图3 3 图4 1 图4 2 图4 3 图4 4 图4 5 图4 6 图4 7 图4 8 图4 9 图4 1 0 图4 1 1 图4 1 2 图5 1 图5 2 图5 3 图5 4 图5 5 图5 6 图5 7 图5 8 图5 9 图5 1 0 图6 1 图目录 非可信软件生命周期中需要解决的四性问题4 文章主题章节与待解决的技术问题间的对应关系8 s t r a t a 指令转换引擎10 s t r a t a 体系结构1 0 层次化的虚拟机分类1 2 t y p eiv m m 与t y p e i iv m m 体系结构1 3 s v e e 的基于不同v m m 的两种可选隔离运行模型2 4 s v e e 体系结构2 7 处理器指令分类2 9 卷快照驱动体系结构4 0 写原始卷的i r p 的处理算法( c o w 算法) 4 1 读卷快照设备对象的i r p 处理算法4 2 写卷快照设备对象的i r p 处理算法4 3 虚拟简单磁盘结构4 8 w i n d o w s 操作系统的启动流程4 9 s v e ev m 的屏幕截图5l 读请求测试5 4 写请求测试5 4 原始卷与卷快照在快照空间位置不同情况下读请求性能5 5 原始卷与卷快照在快照空间位置不同情况下写请求性能5 5 多层虚拟卷性能测试5 6 s v e e 动态指令转换原理5 8 s v e e 虚拟机关键数据结构间关系5 8 自陷模拟方式的指令转换技术5 9 s v e e 的j i t 指令转换技术5 9 s v e ec s 和c t 的动态指令转换流程( 步骤一) 6 0 s v e ec s 和c t 的动态指令转换流程( 步骤二) 6 0 s v e ec s 和c t 的动态指令转换流程( 步骤三) 6 1 动态物理内存分配算法结构图6 3 物理内存动态分配算法6 4 动态分配算法与预分配算法的内存开销比较6 8 隐式信息重构模型7 3 第v 页 国防科学技术大学研究生院博士学位论文 图6 2 图6 3 图6 4 图6 5 图6 6 图6 7 图6 8 图6 9 图6 1 0 图6 1 1 图6 1 2 图6 1 3 图6 1 4 图6 1 5 图6 1 6 图6 1 7 图6 1 8 图6 1 9 图6 2 0 图7 1 图7 2 图7 3 图7 4 图7 5 图7 6 图7 7 s v e ei o i r p 体系结构7 4 x 8 6 体系结构处理器的页式地址转换机制7 5 s p i 的t v p l 检测算法7 7 m f t 中保存n t f s 元数据的文件记录【11 引7 8 目录m f t 结构7 9 宿主环境内存地址与客户环境内存地址的转换映射7 9 客户内存读取算法8 0 客户环境物理地址范围到宿主环境物理地址的映射链表8 0 客户物理内存读取算法8 1 s n c i 实现体系结构8 2 传统的报文转储文件格式8 3 改进后支持并行会话还原的报文转储文件格式8 3 注册表h i v e 文件组织结构8 3 s p i 与s n c i 运行截图8 6 s f s i 与s 砌运行截图8 6 文件枚举请求层次示意图8 8 s v e es m d 体系结构8 9 s v e es m d 运行截图( 隐藏进程和隐藏网络连接检测) 9 0 s v e es m d 运行截图( 隐藏文件和隐藏注册表检测) 9 3 m i n i v m m 体系结构9 7 i n t e lv t x 体系结构9 8 m i n i v m m 的指令流模型9 9 c h e c k v m 程序在m i n i v m m 启动前后的运行截图。1 0 5 c p u i d 指令在m i n i v m m 启动前后的运行截图10 6 r e d p i l l 程序在m i n i v m m 启动前后的运行截图。10 6 m i r l i v m m 的性能测试10 7 第v i 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目： 匿直运盈叠境差链技盔丑究 学位论文作者张丝卑 日期勿口g # - o月 夕日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 ( 保密学位论文在解密后适用本授权书。) 学位论文作者签名：二超釜i 卜 作者指导教师签名：差窆至止 日期：知口9 年p 月夕日 日期：小 年id 月甲日 国防科学技术大学研究生院博士学位论文 第一章绪论 随着p 2 p 和网格技术的发展与普及，个人计算平台将在网络计算中扮演越来 越重要的角色。同时，个人用户越来越频繁地从i n t e m e t 上下载和运行软件以便充 分利用i n t e m e t 上丰富的网络资源。因此，个人用户主动运行这些非可信软件而导 致的潜在安全隐患给个人计算平台的防护技术带来了很多挑战性问题。 如何构造一个透明的隔离运行环境，使其既能确保隔离非可信软件的潜在安 全威胁，又能有效运行被隔离软件，还能够监控其行为，这一问题是个人计算平 台抵御非可信软件安全威胁的关键。 为此，本文提出一种新的基于本地虚拟化技术的隔离运行模型一s v e e ( s a f e v i r t u a le x e c u t i o ne n v i r o n m e n t ) ，并在w i n d o w s 平台下实现了s v e e 的原型系统。 s v e e 基于虚拟机技术实现了操作系统隔离，确保了隔离运行环境的安全隔离性。 同时，s v e e 在隔离运行环境中重现了宿主操作系统的计算环境，无需重新安装布 署新的操作系统，重用了已有的软件资源，显著提高了隔离运行环境的功能完整 性。此外，通过优化隔离运行环境的性能有效提升了性能适应性。除了硬件层信 息，s v e e 还存虚拟层为软件行为分析提供了有效的操作系统层的语义信息，并能 够防御那些探测虚拟机是否存在的恶意行为，有效增强了隔离运行环境的行为可 监控性。总之，s v e e 在执行非可信软件所需的安全隔离性- 功能完整性、性能适 应性和行为可监控性之间找到了合适的平衡点。 1 1 课题研究背景 随着以p 2 p 和网格为典型代表的大型分布式计算技术的不断发展，越来越多 的个人用户通过共享其计算资源参与此类分布式计算任务，进而构成了大规模分 布式网络计算环境。对这些资源提供者而言，下载并执行来自资源使用者的软件 已是一种常见的资源共享模式。然而由于很难在所有的计算资源提供者和使用者 之间建立信任关系，所以这种常见的计算资源共享模式仍然面临着安全与功能难 以兼顾的挑战。从资源提供者的角度来看，由于这些程序可能包含易受攻击或者 不稳定的代码，为了保证自身宿主系统的安全性，资源提供者往往限制这些程序 使用的资源，从而可能破坏这些程序的功能完整性；而资源使用者往往更加关注 这些程序的功能，希望能够直接使用资源提供者的宿主计算机系统，尤其是已有 的软件资源，以减少安装布署开销。 同时，随着i m e m e t 的普及，软件开发商发布软件和用户获取软件的模式也都 越来越依赖于i n t e m e t 。在日常应用中，越来越多的个人用户习惯从i n t e m e t 下载 第1 页 国防科学技术大学研究生院博士学位论文 软件以便充分利用丰富的软件资源。但良莠不齐的软件质量、无法验证的软件来 源，导致大量潜在的不安全和不稳定因素。 除此之外，为数众多的包含恶意代码的w e b 站点也对个人计算平台的安全构 成了极大威胁，这类恶意代码利用w e b 浏览器或操作系统的漏洞对计算机系统实 施攻击。2 0 0 8 年，g o o g l e 公司的研究人员经过历时1 0 个月的研究发现，这段时 间内g o o g l e 数据库处理了数十亿个w e b 站点地址，其中包含了三百多万个包含恶 意代码的站点。此外，g o o g l e 搜索引擎处理的搜索请求中，有约1 3 的请求结果 至少包含了一个嵌有恶意代码的站点【l ，2 】。这些站点有些是蓄意攻击浏览者的恶意 站点，而很多则是被攻击者侵入站点后植入了恶意代码的合法站点。可见，对个 人用户而言，浏览这些内嵌有恶意代码的w e b 站点所带来的安全威胁已不容忽视。 综上所述，以上典型应用面临的安全威胁来自两类软件，即来源非可信软件 与质量非可信软件，本文通称为非可信软件。 来源非可信软件指可能含有恶意代码的软件； 质量非可信软件包括不稳定的软件( u n s t a b l es o f t w a r e ) 和存在脆弱性的软 件( v u l n e r a b l es o f t w a r e ) ：前者指可能包括代码缺陷而破坏计算机系统 稳定性的软件：后者指由于自身可能存在漏洞而导致计算机系统更容易受 到其它代码攻击的软件。 在个人计算平台上隔离运行非可信软件面临两大问题：一是如何在充分隔离 的前提下保证被隔离软件正确执行并且性能可以接受；二是如何在充分隔离的前 提下鉴别或抑止非可信软件的恶意行为。本文借鉴虚拟机技术，提出了隔离运行 环境的安全隔离性、功能完整性、性能适应性和行为可监控性的概念。 隔离运行环境的安全隔离性是指在该环境中运行的软件不能非授权地改变该 环境所在的宿主操作系统的系统状态的特性。 隔离运行环境的功能完整性是指保证在宿主操作系统上运行的软件能够在该 环境中以相同的功能正确运行的特性。 隔离运行环境的性能可适应性是指在该环境中运行的软件的性