在虚拟计算环境的一些示例中,多个虚拟机可以在物理计算设备上执行,同时共享对应于物理计算设备的硬件部件。对应于物理计算设备的超级管理器可以被配置为将缓存的一部分指定给虚拟机中的一个以用于存储数据。超级管理器还可以被配置为识别在缓存中的所指定的部分中执行的敌意活动,进一步地,还可以被配置为对于所识别的敌意活动在其上执行的那些虚拟机上实施安全措施。
【技术实现步骤摘要】
【国外来华专利技术】
本文描述的技术总体上涉及抵抗对专用于虚拟机的缓存的攻击。
技术介绍
除非本文中另外指示,否则在本部分中所描述的方法对于本申请中的权利要求来说不是现有技术,并且不因包含在这部分中而被承认为现有技术。在虚拟计算系统中,一个或多个虚拟机可以在物理计算设备上同时执行,并且共享对应于物理计算设备的计算资源。虚拟机中的每一个可以被各自的客户端使用,并且可以独立于其他虚拟机。共享的计算资源可以包括数据存储装置(例如缓存),其可以被用于为各自的客户端存储信息。概述一般地描述了用于在虚拟计算系统中抵抗对缓存的攻击的技术。本文所描述的各种技术可以以各种方法、系统、计算机程序产品和/或计算机可读介质来实施。在一些示例中,各种实施例可以作为方法被实施。一些方法可以包括在计算设备上执行多个虚拟机;将所述计算设备中的缓存的一部分指定为安全缓存区域;将所述安全缓存区域分配给多个虚拟机中的一个虚拟机;响应于来自所述多个虚拟机中的所述一个虚拟机的存储数据的请求,将从所述多个虚拟机中的所述一个虚拟机中接收的所述数据存储在所述安全缓存区域中;以及继从将所述数据存储在所述安全缓存区域中开始经过一定时间量之后,删除在所述安全缓存区域中存储的所述数据,禁止所述多个虚拟机中的所述一个虚拟机在预定时间段内使用所述安全缓存区域,识别在所述预定时间段期间在所指定的安全缓存区域中执行的一个或多个未被授权的活动,以及对所述多个虚拟机中的、执行识别出的所述一个或多个未被授权的活动的一个或多个虚拟机实施安全措施。在一些示例中,各种实施例可以作为系统被实施。一些系统可以包括数据清除器,其被配置为从将数据存储在缓存的安全缓存区域中开始经过随机时间量之后,清除存储在所述安全缓存区域中的所述数据,所述数据与多个虚拟机中的一个虚拟机相关联;阻断模块,其被配置为在预定时间段内,禁止所述多个虚拟机中的所述一个虚拟机使用所述安全缓存区域;敌意活动追踪器,其被配置为识别在所述预定时间段期间在所述安全缓存区域中执行的一个或多个未被授权的活动;以及安全模块,其被配置为对所述多个虚拟机中的、执行所述一个或多个未被授权的活动的一个或多个虚拟机实施安全措施。在一些示例中,各种实施例可以作为具有存储在其上的可执行指令的计算机可读介质被实施。一些计算机可读介质可以存储当其被执行时使一个或多个处理器执行包括如下操作的指令:在计算设备上执行多个虚拟机;指定所述计算设备的缓存的一部分作为安全缓存区域;将所述安全缓存区域分配给所述多个虚拟机中的一个虚拟机;响应于来自于所述多个虚拟机中的所述一个虚拟机的存储数据的请求,将从所述多个虚拟机中的所述一个虚拟机接收的所述数据存储在所述安全缓存区域中;以及继从所述将所述数据存储在所述安全缓存区域中开始经过一定时间量之后:删除存储在所述安全缓存区域中的所述数据,禁止所述多个虚拟机中的所述一个虚拟机使用在预定时间段内所指定的安全缓存区域,识别在所述预定时间段期间在所指定的安全缓存区域中执行的一个或多个未被授权的活动,以及关闭所述多个虚拟机中的、执行识别出的所述一个或多个未被授权的活动的一个或多个虚拟机。前面的概述仅仅是示例性的,而不意在以任何方式进行限制。通过参考附图以及下面的详细描述,除了上文所描述的示例性的方案、实施例和特征之外,另外的方案、实施例和特征将变得显而易见。附图说明在以下详细描述中,实施例仅被描述为实例,因为从下面的详细描述中各种改变和修改对于本领域的技术人员将会变得明显。在不同的附图中,同样的参考数字的使用指示相似的或相同的项目。在附图中:图1示出可以在其中实现抵抗对缓存的攻击的示例系统;图2示出可以实现抵抗针对其的攻击的示例缓存;图3示出可以通过其来实现抵抗对缓存的攻击的示例超级管理器;图4示出可以通过其来实现抵抗对缓存的攻击的操作处理流程的示例配置;以及图5示出图示被配置为可以实现抵抗对缓存的攻击的示例计算设备的框图,所有附图都根据本文所描述的至少一些实施例进行布置。具体实施方式在以下详细描述中,对附图进行参考,所述附图形成详细描述的一部分。除非上下文另外指示,否则在附图中,相似的符号通常标识相似的部件。此外,除非另外说明,每个连续的附图的描述可以参考来自于先前附图中的一个或多个的特征以提供本示例实施例的更清楚的上下文以及更实质性地解释。尽管如此,在具体实施方式、附图和权利要求中描述的实施例并不意味着是限制性的。在不脱离本文所提供的主题的精神或范围的情况下,可以利用其它实施例,以及可以进行其它改变。将要容易地理解的是,如本文总体描述并且在附图中图示的,本公开的各方面可以以广泛多样的不同配置被布置、替代、组合、分割和设计,所有这些在本文中都被明确地构想。在物理计算设备上实施的虚拟计算系统中,物理计算设备的硬件资源可以被同时运行的多个虚拟机共享。当多个虚拟机共享对应于物理计算设备的缓存时,敌意虚拟机可以获得对于缓存的可被指定用于或专用于授权虚拟机的一部分的访问权。为了消除对于共享的资源中的任何资源的这样的未被授权的访问以及为了识别敌意虚拟机,虚拟计算系统的超级管理器可以被配置为针对被入侵的计算资源中的任何资源实施安全措施。这样的安全措施的示例可以包括超级管理器继在存储了信息或数据之后、一定时间量之后,删除在缓存中的被入侵部分中存储的信息和/或禁止甚至被授权的虚拟机访问缓存中的被入侵的部分。也就是说,因为在一定时间量已经流逝之后,甚至被授权的虚拟机可以被禁止访问缓存中的被入侵的部分,从而仍旧访问缓存的该部分的任何其他虚拟机可以被识别为敌意分子并且因此可以被关闭。图1示出根据本文所描述的至少一些实施例被布置的、可以在其中实现抵抗对缓存的攻击的示例系统100。如图所示,系统100可以至少包括特权域102、多个虚拟机104A、104B、104C、…、104N、超级管理器106、以及可包括缓存110的硬件部件108。除非上下文对于虚拟机104A、104B、104C、…、104N中的一个或多个需要具体参考,否则可以对于“虚拟机104”进行集体参考。特权域102可以指代可被配置为管理虚拟机104的软件部件。在一些示例中,在系统启动过程期间,可以通过超级管理器106来初始化特权域102中的多个参数。特权域102可以被授予一个或多个特权以经由超级管理器106管理虚拟机104中的不同方面。虚拟机104的各方面的非限制性示例可以包括开始、中断、停止、输入/输出请求等,针对虚拟机104的这些方面,可以将一个或多个特权授予给特权域102以进行管理。在至少一些示例中,特权域102可以被配置为针对虚拟机104中的一个或多个从缓存110中获取数据。虚拟机104可以指代物理计算设备的一个或多个软件仿真,该软件仿真可以被配置为以与物理计算设备同样的方式而执行软件程序。如先前所述,虚拟机104可以被特权域102初始化和管理。在一些示例中,虚拟机104中的一个或多个可以被配置为运行操作系统,该操作系统可以是独立于或不同于在虚拟机104的各个其他的虚拟机上正在执行的操作系统。备选地或附加地,虚拟机104中的一个或多个可以被配置为执行单个软件程序、单个软件程序中的部分或单个进程。在执行期间,虚拟机104中的每一个可以被特权域102管理以间接地访问和使用示例系统10本文档来自技高网...
【技术保护点】
一种用于抵抗对缓存的攻击的方法,包括:在计算设备上执行多个虚拟机;指定所述计算设备的缓存的一部分作为安全缓存区域;将所述安全缓存区域分配给所述多个虚拟机中的一个虚拟机;响应于来自于所述多个虚拟机中的所述一个虚拟机的存储数据的请求,将从所述多个虚拟机中的所述一个虚拟机接收的所述数据存储在所述安全缓存区域中;以及继从将所述数据存储在所述安全缓存区域中开始经过一定时间量之后:删除存储在所述安全缓存区域中的所述数据,禁止所述多个虚拟机中的所述一个虚拟机在预定时间段内使用所述安全缓存区域,识别在所述预定时间段期间在所指定的所述安全缓存区域中执行的一个或多个未被授权的活动,以及对所述多个虚拟机中的、执行识别出的所述一个或多个未被授权的活动的一个或多个虚拟机实施安全措施。
【技术特征摘要】
【国外来华专利技术】1.一种用于抵抗对缓存的攻击的方法,包括:在计算设备上执行多个虚拟机;指定所述计算设备的缓存的一部分作为安全缓存区域;将所述安全缓存区域分配给所述多个虚拟机中的一个虚拟机;响应于来自于所述多个虚拟机中的所述一个虚拟机的存储数据的请求,将从所述多个虚拟机中的所述一个虚拟机接收的所述数据存储在所述安全缓存区域中;以及继从将所述数据存储在所述安全缓存区域中开始经过一定时间量之后:删除存储在所述安全缓存区域中的所述数据,禁止所述多个虚拟机中的所述一个虚拟机在预定时间段内使用所述安全缓存区域,识别在所述预定时间段期间在所指定的所述安全缓存区域中执行的一个或多个未被授权的活动,以及对所述多个虚拟机中的、执行识别出的所述一个或多个未被授权的活动的一个或多个虚拟机实施安全措施。2.根据权利要求1所述的方法,其中所述时间量被随机确定。3.根据权利要求1所述的方法,还包括在所述指定之前,清除先前存储在所述缓存的所述一部分中的数据。4.根据权利要求1所述的方法,其中所述安全缓存区域小于基于所述缓存的尺寸和所述多个虚拟机的数量确定的最大尺寸。5.根据权利要求1所述的方法,其中所述安全措施包括关闭所述多个虚拟机中的、执行识别出的所述一个或多个未被授权的活动的所述一个或多个虚拟机。6.根据权利要求4所述的方法,还包括在关闭所述多个虚拟机中的所述一个或多个虚拟机之前,对所述一个或多个未被授权的活动进行故障排除。7.根据权利要求1所述的方法,还包括在预定周期期间删除存储在所述安全缓存区域中的所述数据至少一次。8.一种攻击检测系统,包括:数据清除器,其被配置为继从将数据存储在缓存的安全缓存区域中开始经过随机时间量之后,清除存储在所述安全缓存区域中的所述数据,所述数据与多个虚拟机中的一个虚拟机相关联;阻断模块,其被配置为禁止所述多个虚拟机中的所述一个虚拟机在预定时间段内使用所述安全缓存区域;敌意活动追踪器,其被配置为识别在所述预定时间段期间在所述安全缓存区域中执行的一个或多个未被授权的活动;以及安全模块,其被配置为对所述多个虚拟机中的、执行所述一个或多个未被授权的活动的一个或多个虚拟机实施安全措施。9.根据权利要求8所述的系统,还包括虚拟机管理器,其被配置为清除先前存储在所述安全缓存区域中的数据。10.根据权利要求8所述的系统,其中所述安全缓存区域小于基于所述缓存的尺寸和所述多个虚拟机的数量确定的最大尺寸。11.根...
【专利技术属性】
技术研发人员:王兴元,
申请(专利权)人:大连理工大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。