雲計算環境中側通道攻擊檢測與防禦技術研究

由於資源共享、多租戶跨域共享和平台開放等特徵，使得雲計算面臨的安全問題更加複雜。已有研究表明側通道攻擊是雲計算面臨的一種新型安全挑戰。攻擊者通過探測雲共享資源的狀態信息，建立泄漏模型，便可繞過虛擬化隔離性，盜取其他用戶的私密信息。針對側通道攻擊引入的安全威脅，本項目將從以下三個方面展開研究：（1）研究側通道攻擊的攻擊模式與攻擊方法，包括側通道信息探測、虛擬機同駐檢測和側通道攻擊特徵分析等；（2）研究側通道攻擊檢測方法，包括攻擊特徵形式化、攻擊特徵感知、匯聚與分析、線上檢測算法等；（3）研究虛擬化隔離加固技術，實現側通道攻擊防禦，包括用戶約束關係分析與形式化、隔離策略制定、虛擬機部署算法和虛擬機遷移算法等。本項目研究成果對於深入分析側通道攻擊機理，增強側通道攻擊防禦能力，推動雲計算健康快速發展，占領雲計算安全領域的國際制高點，都具有重要的理論意義和實用價值。

側通道攻擊已成為雲環境中威脅用戶隱私安全的重要挑戰，現有的雲安全防護機制很難發現和應對這種非入侵式的攻擊方式。針對上述問題，本項目圍繞雲計算環境中的側通道攻擊機理、側通道攻擊檢測與防禦以及雲服務安全與隱私保護等問題展開了系統化研究。 針對虛擬機安全監控問題，提出了一種基於套用感知的虛擬機安全監控方案，設計了一種基於事件驅動的套用感知服務自動配置方法，並通過擴展Ceilometer實現了對套用感知數據的收集與存儲；針對側通道攻擊檢測問題，提出一種基於級聯模型的cache側通道攻擊檢測方法，採用形狀檢測方法和規律性檢測方法計算檢測指標，完成cache側通道攻擊檢測；針對虛擬機同駐檢測問題，提出了一種基於回響時間序列數據分析的虛擬機同駐檢測方法，基於雲滴模型設計了一種虛擬機同駐機率計算方法，對虛擬機之間同駐的可能性進行量化。針對現有虛擬機分配方法沒有考慮安全性的問題，提出了一種抵禦側通道攻擊的虛擬機部署方案，通過引入分組選擇策略，將虛擬機部署過程劃分為分組選擇和主機選擇，消除了現有虛擬機分配方法中存在的並行放置局部性漏洞；針對同駐虛擬機之間資源爭用導致相互干擾的問題，提出了一種基於套用感知的衝突虛擬機遷移方法，設計了一種基於協方差的套用差異性量化方法，以預測虛擬機之間在某個時間鄰域內的衝突機率。針對雲服務中明文圖片編輯計算時的隱私泄露問題，提出了一種支持密文編輯的圖片加密方案，可以在不解密圖片的情況下直接對加密後的圖片進行編輯；針對雲環境下的移動廣告安全定向投放問題，提出一種支持隱私保護和精準投放的移動廣告定向投放架構；針對雲環境下的息票安全定向投放問題，提出了一個針對第三方平台的定向息票安全投放架構以及一種能平衡隱私與權益安全的移動息票定向投放方法；針對虛擬機的隱私數據保護和分析需要，提出了一種高效的支持密文四則算術運算的同態加密方案以及一種利用貝葉斯原理在擾動數據上進行分類的方法。 本項目研究成果對保障雲計算的服務安全具有重要價值。