基于虚拟化技术的非可信程序隔离运行环境研究

The program isolated execution is protective mechanism against the security threats of untrusted software. It's introduced to bound the potential harm incurred by untrusted software while ensuring the integrity of such program's functions as much as possible. However, existing approaches focusing on the personal computing platforms still have not achieved a proper tradeoff between usability and security. Consequently, their practicality cannot satisfy the real-world's requirements. To address this issue, the project proposes a new virtualization-based technology to improve the security of the personal computer platforms. This project also presents a novel Local-Booted Virtualization Technology, which can reuse existing software environment, and a series of to performance optimization technologies to enhance the usability of the isolated execution environment. Besides, this project provides a general mechanism, which is capable of analyzing and tracking the behavior of the isolation software at the virtualization layer, to improve the monitorability of the isolated execution environment. This project puts the research emphasis on:(1) a new program isolated execution model based on the virtualization technology which can establish a balance between security and usability, and the Local-Booted Virtualization Technology built on the file system sharing and dynamic operating system migration; (2) the virtual machine performance optimization technology based on dynamic physical memory allocation and sharing; (3) the operating system information implicit reconstruction technology and stealth malware detection technology; (4) the defense model against so-call VM-aware malware based on the hardware-assisted virtualization technology.

程序隔离运行是一种抵御非可信软件安全威胁的防护机制，其目的是限制非可信软件可能造成的危害并尽可能地保证这些代码功能的完整性。但是，现有个人计算平台上的相关研究难以兼顾可用性与安全性，实用性较差。针对这一问题，本项目基于虚拟化技术增强需要执行非可信软件的个人计算机平台的安全性，采用"本地虚拟化技术"重用已有软件环境并通过优化隔离运行环境的性能来提升可用性，同时提供一种能够在虚拟层分析和跟踪被隔离软件行为的通用机制以增强其可监控性。具体包括：（1）基于虚拟化技术建立一种新的兼顾安全性与可用性的程序隔离运行模型，并研究以文件系统共享和动态操作系统迁移为核心的"本地虚拟化技术"；（2）研究以动态物理内存分配和内存共享为基础的虚拟机性能优化技术；（3）研究基于虚拟化平台的隐式操作系统信息重构和自隐藏恶意代码检测技术；（4）基于硬件虚拟化技术研究针对"虚拟机感知"恶意代码的防御模型。

隔离运行环境的构造面临两大问题：一是如何在充分隔离的前提下保证被隔离软件正确执行并且性能可以接受；二是如何在充分隔离的前提下鉴别或抑止非可信软件的恶意行为。本项目借鉴虚拟机技术，提出了隔离运行环境的安全隔离性、功能完整性、性能适应性和行为可监控性的概念，在确保操作系统隔离的前提下，通过重现宿主操作系统软件环境来提高隔离运行环境的功能完整性，通过优化隔离运行环境性能来提升其性能适应性，并提出了一种在虚拟层监控被隔离软件行为的通用机制。本项目的主要贡献有以下几点：.1.提出了一种新的基于硬件抽象层虚拟机技术的隔离运行模型SVEE。SVEE能够在支持操作系统隔离的前提下重现宿主计算环境，并满足Bell-LaPadula机密性模型和Biba完整性模型。.2.针对计算环境重现带来的文件系统冲突问题和操作系统迁移带来的软硬件配置不兼容问题，本项目提出了以卷快照技术和动态操作系统迁移技术为核心的本地虚拟化技术，有效实现了可配置的计算环境重现，显著提升了隔离运行环境的功能完整性。.3.本项目提出了针对指令虚拟化的动态指令转换优化技术和针对内存虚拟化的动态物理内存分配技术，提升了隔离运行环境的性能适应性。SPEC 2006的测试结果显示SVEE隔离运行环境的平均性能下降仅为4.41%；而动态物理内存分配技术则平均减少内存消耗6.82%。.4.为了支持在虚拟层有效地监视和分析隔离运行环境内非可信软件的行为，本项目提出并实现了隐式操作系统信息重构平台，使得SVEE能够在不借助操作系统API的情况下，利用硬件层的信息重构出OS层的语义信息，有效提升了隔离运行环境的行为可监控性。基于此平台，构造了自隐藏恶意代码检测系统，该系统能够有效的检测出比现有检测机制更多的自隐藏恶意代码。.5.针对能够感知虚拟机存在并隐藏自身恶意行为的 “虚拟机感知”恶意代码，建立了基于硬件虚拟化技术的防御模型，该模型通过模拟已有虚拟机的各种指纹故意使此类恶意代码感知到虚拟机的存在，进而使其主动放弃恶意行为的执行。测试结果证明原型系统MiniVMM能够将运行中的操作系统动态地在本地模式和虚拟化模式间切换，并能准确模拟各类虚拟机指纹。. 综上所述，本项目针对隔离运行环境的安全隔离性、功能完整性、性能适应性和行为可监控性提出了有效的解决方案，对于提高个人计算平台抵御非可信软件安全威胁的能力具有重要的理论意义和应用价值。