公开(公告)号：CN114489948A

公开(公告)日：2022-05-13

申请号：CN202210096519.9

申请日：2022-01-26

Applicant: 中国科学院信息工程研究所

Inventor： 王宇翔 ,  黄晓 ,  任军帅 ,  李静颖 ,  乔杰 ,  陶小结

IPC: G06F9/455 ,  G06F11/30

Abstract: 本发明涉及一种跨虚拟机侧信道攻击核心防御方法及系统，其方法包括：S1：通过修改敏感库函数的执行调用语句，从而让受保护虚拟机主动地发生VMExit事件，继而进入Hypercall处理模块；S2：Hypercall处理模块解析得到受保护虚拟机的敏感库函数的具体执行位置并传给事件通知模块；S3：事件通知模块接收来自Hypercall处理模块的通知，并建立内核空间与用户空间的通信信道后，将通知发给Cache监控模块；S4：Cache监控模块接收来自事件通知模块的通知，启动硬件性能计数器以实现对同驻虚拟机的性能监控，根据监控结果决定是否将受保护的虚拟机进行迁移。本发明提供的方法，不需要增加和修改硬件设备，同时减少不必要的性能开销，提升了整体防御架构的可移植性和扩展性。

公开(公告)号：CN114416303A

公开(公告)日：2022-04-29

申请号：CN202210096528.8

申请日：2022-01-26

Applicant: 中国科学院信息工程研究所

Inventor： 侯雨桥 ,  井春蕾 ,  陈凯 ,  卢至彤 ,  乔杰 ,  谢茹

IPC: G06F9/455 ,  G06K9/62

Abstract: 本发明涉及一种抵抗同驻攻击的虚拟机分配方法及系统，其方法包括：S1：基于租户行为分析，将租户分为正常租户和可疑租户，并分别为对应虚拟机分配威胁值和脆弱值；S2：设置阈值tenantPerPM限制每台物理机上租户数量；将承载的租户的数量小于tenantPerPM的物理机加入列表avaPMs；S3：对于正常租户的虚拟机请求，选择使其受同驻攻击的风险最小的物理机进行分配；S4：对于可疑租户的虚拟机请求，选择使其攻击正常租户的风险最小的物理机进行分配。本发明提供的方法在降低同驻攻击风险的同时均衡数据中心和单个租户的负载。