一種采用云模型的同駐虛擬機側通道攻擊威脅度量方法

邊根慶,翟紅,邵必林

(1.西安建筑科技大學信息與控制工程學院, 710055, 西安;2.西安建筑科技大學管理學院, 710055, 西安)

?

一種采用云模型的同駐虛擬機側通道攻擊威脅度量方法

邊根慶1,2,翟紅1,邵必林2

(1.西安建筑科技大學信息與控制工程學院, 710055, 西安;2.西安建筑科技大學管理學院, 710055, 西安)

針對云平臺中同駐虛擬機間共享物理資源,一些惡意用戶通過探測、分析共享資源的信息來隱蔽獲取其他用戶的私密信息,進而可能引發側通道攻擊潛在威脅的問題,提出了一種基于云模型的同駐虛擬機側通道攻擊威脅度量方法。該方法在分析同駐虛擬機側通道攻擊特征的基礎上,利用云模型在多屬性決策不確定性轉換及模糊性與隨機性評估上的強大優勢,對云用戶的潛在側通道攻擊威脅進行了多指標綜合度量評價。實驗結果表明,利用該方法對云用戶進行威脅度量得出的最大相似度為58.42%、36.47%、46.96%的評價結果符合假定的威脅等級,驗證了該方法的可行性。該方法綜合考慮了側通道攻擊威脅指標,充分發揮了云模型的度量優勢,為云環境中同駐虛擬機間的側通道攻擊檢測和防御研究與應用提供了重要依據。

側通道攻擊;同駐虛擬機;云模型;威脅度量方法

云安全問題早已成為學術界、工業界關注的焦點,伴隨著云環境中資源虛擬化、計算任務和服務外包、跨域使用等特點,不同用戶的虛擬資源很可能會被映射到相同的物理資源上[1]。若非法用戶通過探測、分析共享物理資源信息的方式來隱蔽地獲取其他用戶的相關信息,必使云環境中同駐虛擬機[2](virtual machine, VM)間的隔離性受到破壞,用戶的虛擬環境信息泄露從而受到側通道攻擊(side-hannel-attacks,SCA)的威脅。SCA威脅必將是云平臺的極大安全挑戰[3-4]。

目前,對于云平臺中側通道攻擊的防御主要圍繞兩方面進行:一方面是對側通道攻擊實施環境進行破壞,加大非法用戶SCA攻擊的難度系數,通過加密側通道信息[5-6]或對物理的共享資源進行隔離[7]等方式,來達到阻斷側通道攻擊的目的,然而這類方法會在一定程度上增加系統開銷,應用到實際環境有一定的困難;另一方面則是對異常行為進行檢測[8-9],通過監視虛擬機行為,對側通道及隱蔽信道進行識別,發現系統中可能存在的側通道攻擊威脅,從而減小側通道攻擊的危害,為用戶提供一個相對安全的云環境[10],然而這些檢測方法能夠檢測的范圍相對來說還不夠全面。

由于云模型在不確定性轉換上具有強大的優勢,能很大程度地保留評估過程中固有的不確定性,提升評估結果的可信度,因此本文將云環境中同駐虛擬機側通道攻擊的一些特征和云模型在模糊性與隨機性度量方面的優勢相結合,研究并設計了一種基于云模型的同駐虛擬機側通道攻擊威脅度量方法(side-channel-attacks threat metrics in co-residency VM based on cloud model)。該方法對檢測和防御云環境中側通道攻擊行為,降低側通道攻擊風險具有重要的參考價值。

1 云模型與側通道攻擊

1.1 云模型

云模型[11]是當前非常優秀的度量評價方法之一,它將模糊與隨機的特性相結合,為定性定量相結合的信息決策處理提供了有效的評估度量方法。

云定義:設U為精確數值表示的定量論域且U={x},S是U空間上的定性概念,若定量值x∈U,并且x是定性概念S的一次隨機實現,x對S的隸屬度Sμ(x)∈[0,1]是有穩定傾向的隨機數,Sμ:U→[0,1],?x∈U,x→Sμ(x),則x在論域U={x}上的分布稱作云(Cloud),記為S(x),其中一組(x,Sμ(x))稱作一個云滴(Cloud Droplet)。

云的三元組定義:設N3(Ex,En,He)表示云的數字特征,其中Ex、En、He分別稱為云的期望(Expect value)、熵(Entropy)和超熵(Hyper entropy)。Ex代表S的信息中心值,被作為定性概念最具代表性的點。En表示定性概念的可度量粒度,熵越大粒度越大,模糊性也越大。He為熵的熵,是不確定性狀態變化的度量,表示定性概念值的樣本出現的隨機性,揭示了模糊性與隨機性的關聯。

所有在論域U中定量值的元素x對定性概念S的隸屬值基本落在[Ex-3En,Ex+3En]之中,而其落在[Ex-3En,Ex+3En]之外的定量值是極小概率發生事件,故可忽略不計[12]。

1.2 側通道攻擊

最早的側通道攻擊概念[13]是由Kocher提出的,側通道攻擊指的是攻擊者能夠根據電磁輻射、功耗等方式泄露出能量信息的數據以及物理磁盤、內存和CPU的利用率等信息與已知的內部物理機中運算操作數之間的相關聯系來進行理論分析,隱蔽獲取系統的某些關鍵信息,從而制定出可行的攻擊方案。SCA以低代價高效率而著稱,常見的有簡單能耗分析攻擊、差分功耗分析攻擊、故障注入攻擊等[14],這些側通道攻擊方法主要針對的是單機環境中的加密設備與加密算法。非法用戶在云環境中進行側通道攻擊時,通過將其控制運行的VM實例部署到攻擊目標VM所在的物理機,分析所在物理機的網絡隊列、CPU緩存及其他緩沖器等狀態信息,獲取其他用戶的私密信息。

云平臺中惡意用戶能夠實施側通道攻擊的必要條件之一就是需要與攻擊目標VM同駐。在Amazon的EC2中,Ristenpart等通過研究發現,惡意用戶以較低代價就能實現40%的VM同駐率,并成功地通過同駐的物理機盜取其他用戶虛擬機私密信息[15]。Alabdulhafez等利用內置的模擬器作為測試床,將攻擊者VM部署到與被攻擊者VM相同的物理機上,通過惡意側通道攻擊方式有效獲取同駐虛擬機中的關鍵敏感信息[16],例如服務竅取、提取解密密鑰、利用VMware泄漏的源代碼及一些公開披露的CVE(common vulnerabilities and exposure)漏洞等。桂小林等在實際的云計算系統(青云實驗平臺)中對CPU cache的側通道攻擊進行了大量實驗,發現惡意用戶實施同駐虛擬機側通道攻擊的成功率與惡意用戶擁有和控制的VM數量有很大關系[17],絕大部分惡意用戶在發動側通道攻擊前會進行同駐檢測,同時為降低攻擊成本,會在同駐探測完成后就撤銷探測VM。在此基礎上,桂小林等通過對SCA的行為分析,得出了7種可能發生側通道攻擊威脅的指標。

2 基于云模型的同駐虛擬機側通道攻擊威脅度量方法

同駐虛擬機側通道攻擊威脅度量是一種多屬性決策問題,而云模型可以集成定性概念的模糊性和隨機性,能很好地對多屬性評價的定量與定性進行轉換,讓整個評估度量的結果更加可信[18]。本文在分析同駐虛擬機側通道攻擊指標基礎上,利用云模型的度量優勢,設計了一種基于云模型的同駐虛擬機側通道攻擊度量方法。該方法主要分為兩步:確定側通道攻擊威脅的各度量指標;采用云模型的度量方法對各指標進行綜合度量。

基于云模型的同駐虛擬機側通道攻擊威脅度量方法的具體流程如圖1所示。

圖1 基于云模型的同駐虛擬機側通道攻擊威脅度量方法流程圖

2.1 確定側通道攻擊威脅度量指標集

確定度量的對象為同駐虛擬機側通道攻擊威脅。設度量的指標集為Std,且Std={Std1,Std2,Std3,Std4,Std5,Std6,Std7},如圖2所示,此處的度量指標采用文獻[17]中提出的7個側通道攻擊指標,可根據實際評估環境情況對評估指標進行調整。

圖2 側通道攻擊威脅度量指標集

確定各度量指標的權重:設度量指標的權重集為W(指標Stdi對應于其相應權重Wi),且滿足W1+W2+W3+W4+W5+W6+W7=1。

2.2 采用云模型的度量方法對各指標進行綜合度量

本文將側通道攻擊威脅度量的評定分為7個等級并組成一組定性度量概念,記為V,其中V={V1威脅極低,V2威脅低,V3威脅較低,V4威脅中,V5威脅較高,V6威脅高,V7威脅極高}。由云模型的概念可知,V的映射區間為[0,1],通過區間劃分來反映評定的等級,接著將側通道攻擊威脅度量各指標量化數據進行區間映射。

2.2.1 確定側通道攻擊威脅度量評定等級的各評語云圖 利用雙邊約束法將其定量變量云化為正向云模型。假設某一度量等級的雙邊約束為[Pmin,Pmax],采用約束條件的中值來代表期望值,用主要作用區域來作為雙邊約束區域的云,從而近似表示各等級評語的定性度量概念。某一度量等級的云參數為

(1)

(2)

(3)

式中:K為常數,它可隨變量本身的模糊程度來具體地調整。對于單邊約束,可先根據最大的上限或下限來確定一個缺省邊界參數/期望值[12]。

本文將定性度量概念V中的每一等級度量概念劃分為如表1所示的度量區間,并給出了各評語云的參數,由式(1)～式(3)求得。

將表1中側通道攻擊威脅度量評定的7個等級評語在連續的語言值標尺上,采用正向云發生器算法生成如圖3所示的側通道攻擊威脅度量的各等級評語云圖。

表1 各等級評語云的參數表

圖3 側通道攻擊威脅度量的各等級評語云圖

2.2.2 確定側通道攻擊威脅度量各指標的等級映射區間方法 由于側通道攻擊威脅度量各指標的定性概念量化數據并不是在[0,1]區間,為了更好的將其反映到威脅等級度量的云模型上,需將其映射到相應的等級度量區間。

假設用戶在某物理機上擁有超過一半多的VM實例則本文設定該用戶的潛在威脅性為高,若Std1具體映射區間為Std1≥50%,將其映射到威脅極高[0.9,1];30%≤Std1<50%映射到威脅高[0.8,0.9];15%≤Std1<30%映射到威脅較高[0.6,0.8];10%≤Std1<15%映射到威脅中[0.4,0.6];5%≤Std1<10%映射到威脅較低[0.2,0.4];2%≤Std1<5%映射到威脅低[0.1,0.2];Std1<2%或Std1=100%映射到威脅極低[0,0.1]。

本文假設云平臺中的服務器數量為S,若用戶在云平臺上的虛擬機占用的服務器數量超過一半以上,則認定其威脅可能性大,Std2的具體映射區間為:(Std2≥0.6S)～[0.9,1.0];(0.5S≤Std2<0.6S)～[0.8,0.9];(0.4S≤Std2<0.5S)～[0.6,0.8];(0.3S≤Std2<0.4S)～[0.4,0.6];(0.2S≤Std2<0.3S)～[0.2,0.4];(0.1S≤Std2<0.2S)～[0.1,0.2];(Std2<0.1S)～[0.0,0.1]。

假設用戶虛擬機在可疑短時間T內的運行次數威脅閾值為N,則Std3的具體映射區間為:(Std3≥2N)～[0.9,1.0];(1.5N≤Std3<2N)～[0.8,0.9];(1N≤Std3<1.5N)～[0.6,0.8];(0.5N≤Std3<1N)～[0.4,0.6];(0.3N≤Std3<0.5N)～[0.2,0.4];(0.1N≤Std3<0.3N)～[0.1,0.2];(0.1N≤Std3)～[0.0,0.1]。

Std4、Std5指標與Std3的映射類似,首先設定威脅閾值,再根據閾值映射到相應區間。Std6和Std7指標的映射與Std1的威脅假設類似,故映射區間可參照Std1,考慮到篇幅有限這里不再贅述。

2.2.3 將各指標權重代入云模型確定云用戶威脅云參數生成算法 對同駐虛擬機側通道攻擊威脅,本文給定了7個度量指標(后期可自由增加指標),將7個指標的數據通過逆向云發生器[18]得到威脅性云參數(Exi,Eni,Hei)。在逆向云發生器中,威脅性云參數Exi、Eni、Hei為

(4)

(5)

(6)

將各指標的威脅性云參數結合各指標所占權重通過下式求出威脅度量的綜合云參數Sμ=(Ex,En,He)

(7)

(8)

(9)

2.2.4 利用云相似性比較算法確定威脅度量等級 對確定的威脅度量綜合云參數Sμ=(Ex,En,He)與各等級Vi的評語云參數(Exi,Eni,Hei)進行相似性計算,本文中使用的相似性判斷方法為帶權重的歐式距離法,其中與威脅評語云相似度最大的值則為用戶威脅度量評估結果[19]。

輸入為仿真用戶威脅度量綜合云參數Sμ=(Ex,En,He)和表1中的側通道攻擊威脅度量的各等級Vi的評語云(Exi,Eni,Hei),以及確定的3個向量參數所占權重值WEx、WEn、WHe,且WEx+WEn+WHe=1。輸出為威脅度量等級Vi。

具體算法流程如下:

步驟1Di=(WEx(Ex-Exi)2+WEn(En-Eni)2+WHe(He-Hei)2)1/2;

步驟2δi=1/Di;

步驟4 重復步驟1至步驟3,算出所有的Oi;

步驟5 max(Oi)對應Vi為云用戶威脅度量等級。

3 實驗與分析

為驗證基于云模型的同駐虛擬機側通道攻擊威脅度量方法的可行性,本文設計了3種類型的云用戶U1、U2、U3,假定其分別為低、中、高威脅用戶。利用第2節提出的度量方法對云用戶進行側通道攻擊威脅等級度量。采用隨機數生成器給出了如表2所示的測試數據(可根據實際情況自由選擇所用的數據規模,本文中每個指標分別給出了5組數據)。

表2 云用戶度量指標測試數據表

將上面3個用戶的各指標所用的仿真實驗測試數據通過逆向云算法得到各指標的威脅性云數字特征見表3～表5,然后將各指標權重(本文仿真實驗中的權重數據來源于文獻[17])通過式(7)～式(9)求出威脅度量綜合云參數Sμ=(Ex,En,He)的側通道攻擊度量的仿真云圖,如圖4所示。

表3 U1的各指標威脅性云數字特征(對He為負情況取0)

通過式(7)～式(9)求出的U1仿真云參數為(0.158 06,0.079 65,0.014 21)。

表4 U2的各指標威脅性云數字特征(對He為負情況取0)

通過式(7)～式(9)求出的U2仿真云參數為(0.423 54,0.081 26,0.032 06)。

表5 U3的各指標威脅性云數字特征(對He為負情況取0)

通過式(7)～式(9)求出的U3仿真云參數為(0.807 03,0.065 31,0.003 98)。

分別將U1、U2、U3的仿真云參數通過云相似性比較算法與表1中側通道攻擊威脅度量的各等級評語云參數進行相似度比較,設WEx、WEn、WHe3個向量參數占的權重值分別為(0.7,0.2,0.1)。表6為各用戶仿真云與表1中各等級評語云的相似度表。

表6 各用戶仿真云與各等級評語云的相似度表

圖4 各等級評語云與3個用戶仿真云比較圖

由表6可知,用戶U1的最大相似度為58.42%,落在V2評語上為威脅度低,用戶U2的最大相似度為36.47%,落在V4評語上為威脅度中,用戶U3的最大相似度為46.96%,落在V6評語上為威脅度高。從圖4中也可以清晰地看到,3個用戶的威脅度量范圍依次落在了威脅低、中、高云圖附近,滿足假定的3個用戶的威脅屬性,從而驗證了本文提出的基于云模型的同駐虛擬機側通道攻擊威脅等級度量方法具有的可行性。

4 結 語

本文以桂小林等提出的側通道攻擊威脅指標為基礎,結合云模型在多屬性決策度量上的優勢,提出了一種基于云模型的同駐虛擬機側通道攻擊威脅等級度量方法,并通過該方法對云平臺中的同駐虛擬機側通道攻擊的威脅性進行了多指標綜合評價。實驗表明,該方法能綜合考慮側通道攻擊威脅各指標的影響,實現對威脅等級的度量。本文方法是對云模型理論應用領域的一種新探索,同時對云環境中同駐虛擬機間的側通道攻擊檢測和防御研究及其應用具有重要參考價值。

[1] 丁滟, 王懷民, 史佩昌, 等. 可信云服務 [J]. 計算機學報, 2015, 38(1): 133-149. DING Yan, WANG Huaimin, SHI Peichang, et al. Trusted cloud service [J]. Chinese Journal of Computers, 2015, 38(1): 133-149.

[2] BATES A, MOOD B, PLETCHER J, et al. On detecting co-resident cloud instances using network flow water-marking techniques [J]. International Journal of Information Security, 2014, 13(2): 171-189.

[3] GENKIN D, PIPMAN I, TROMER E. Get your hands off my laptop: physical side-channel key-extraction attacks on PCs [J]. Lecture Notes in Computer Science, 2014, 8731: 242-260.

[4] WU Z, XU Z, WANG H. Whispers in the hyper-space: high-bandwidth and reliable covert channel attacks inside the cloud [J]. IEEE/ACM Transactions on Networking, 2015, 23(2): 603-614.

[5] LING Z, LUO J, ZHANG Y, et al. A novel network delay based side channel attack: modeling and defense [C]∥Proceedings of the 2012 IEEE Conference on Computer Communications. Piscataway, NJ, USA: IEEE, 2012: 2390-2398.

[6] RAJ H, NATHUJI R, SINGH A, et al. Resource management for isolation enhanced cloud services [C]∥Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA: ACM, 2009: 77-84.

[7] 喬然, 胡俊, 榮星, 等. 云計算客戶虛擬機間的安全機制研究與實現 [J]. 計算機工程, 2014(12): 26-32. QIAO Ran, HU Jun, RONG Xing, et al. Research and implementation of security mechanism among guest virtual machine in cloud computing [J]. Computer Engineering, 2014(12): 26-32.

[8] DAI W, JIN H, ZOU D, et al. TEE: a virtual DRTM based execution environment for secure cloud-end computing [J]. Future Generation Computer Systems, 2010, 49(3): 663-665.

[9] SERDAR C, CARLA E B, CLAY S. IP covert channel detection [J]. ACM Trans on Information and System Security, 2009, 12(4): 1-29.

[10]YU Si, GUI Xiaolin, ZHANG Xuejun, et al. Detecting cache-based side channel attacks in the cloud: an approach with cascade detection mode [J]. Journal of Internet Technology, 2014, 15(6): 903-915.

[11]LI Deyi, LIU Changyu, LIU Luying, et al. Study on the universality of the normal cloud model [J]. Engineering Sciences, 2005(2): 18-24.

[12]王曉峰, 洪磊. 基于云的概念空間模型研究 [J]. 計算機工程與應用, 2010, 46(20): 202-206. WANG Xiaofeng, HONG Lei. Study on concept space model based on the cloud theory [J]. Computer Engineering and Applications, 2010, 46(20): 202-206.

[13]KOCHER P, JAFFE J, JUN B. Differential power Analysis [J]. Lecture Notes in Computer Science, 1999, 1666: 388-397.

[14]KIM H, BRUCE N, LEE H J, et al. Side channel attacks on cryptographic module: EM and PA attacks accuracy analysis [J]. Lecture Notes in Electrical Engineering, 2015, 339: 509-516.

[15]RISTENPART T, TROMER E, SHACHAM H, et al. Hey, you, get off of my cloud: exploring information leakage in third-party compute clouds [C]∥Proceedings of the 16th ACM Conference on Computer and Communications Security. New York, USA: ACM, 2009: 199-212.

[16]ALABDULHAFEZ A, EZHILCHELVAN P. Experimenting on virtual machines co-residency in the cloud: a comparative study of available test beds [C]∥Proceedings of the 29th Annual ACM Symposium on Applied Computing. New York, USA: ACM, 2014: 363-365.

[17]桂小林, 余思, 黃汝維, 等. 一種面向云計算環境側通道攻擊防御的虛擬機部署方法: 中國, CN2011 10376037.0 [P]. 2012-07-11.

[18]杜湘瑜, 尹全軍, 黃柯棣, 等. 基于云模型的定性定量轉換方法及其應用 [J]. 系統工程與電子技術, 2008, 30(4): 772-776. DU Xiangyu, YIN Quanjun, HUANG Keli, et al. Transformation between qualitative variables and quantity based on cloud models and its application [J]. Systems Engineering and Electronics, 2008, 30(4): 772-776.

[19]陳思, 王曙燕, 孫家澤, 等. 基于云模型的可信軟件可靠性度量模型 [J]. 計算機應用研究, 2014, 31(9): 2729-2731. CHEN Si, WANG Shuyan, SUN Jiaze, et al. Trusted software reliability measures based on cloud model [J]. Application Research of Computers, 2014, 31(9): 2729-2731.

(編輯 武紅江)

A Measurement Method of Side-Channel-Attacks Threat for Co-Residency Virtual Machines Based on Cloud Model

BIAN Genqing1,2,ZHAI Hong1,SHAO Bilin2

(1. School of Information and Control Engineering, Xi’an University of Architecture and Technology, Xi’an 710055, China; 2. School of Management, Xi’an University of Architecture and Technology, Xi’an 710055, China)

A cloud model-based method for measuring the side-channel-attacks threat of the co-residency virtual machines is proposed to solve the potential threat problem of the side-channel-attacks, which is caused by the fact that some malicious users stealthily obtain other users’ private information through detecting and analyzing the physical resources shared among the co-residency virtual machines in the cloud platform. Based on the analysis of the side-channel-attacks features, the method makes a comprehensive evaluation for users’ potential threat from side-channel-attacks by using the cloud model, which has great advantages in the uncertainty conversion of multi-attribute decision making and the evaluation of fuzziness and randomness. Experimental results show that the maximum similarities 58.42%, 36.47% and 46.96% of the cloud users in the evaluation of the proposed method comply with the assumed threat level, proving the feasibility of the method. The method comprehensively considers the indexes of the side-channel-attacks threat, takes full advantage of the cloud model in metrics, and provides an important basis for the research and application of the side-channel-attacks threat detection and defense for co-residency virtual machines in cloud environment.

side-channel-attacks; co-residency virtual machines; cloud model; threat metrics method

2015-12-14。 作者簡介:邊根慶(1968—),男,博士生,副教授;翟紅(通信作者),女,碩士生。 基金項目:國家自然科學基金資助項目(61272458);陜西省自然科學基礎研究計劃資助項目(2014JM2-6119);榆林市科技計劃資助項目(2014CXY-12)。

時間:2016-03-02

10.7652/xjtuxb201604004

TP301.4

A

0253-987X(2016)04-0021-07

網絡出版地址:http:∥www.cnki.net/kcms/detail/61.1069.T.20160302.1259.004.html