【论文总结】针对操作系统级虚拟化的抽象资源攻击

最新推荐文章于 2026-06-15 16:18:06 发布
原创 最新推荐文章于 2026-06-15 16:18:06 发布 · 1k 阅读 · 2
标签
#安全 #云计算 #容器

介绍

这是一篇来自2021CCS的论文,作者有Nanzi Yang, Wenbo Shen, Jinku Li, Yutian Yang, Kangjie Lu, Jietao Xiao, Tianyu Zhou, Chenggang Qin, Wang Yu, Jianfeng Ma, Kui Ren。

概述

本文的贡献如下:

  1. 新的攻击面:作者揭示了一个影响操作系统主要功能,影响多个操作系统,操作系统虚拟化共有的抽象资源攻击。

  2. 攻击实用性评估:四大云计算厂商提供的self-deployed native container环境均受到抽象资源攻击影响。

  3. 系统化分析:作者设计并实现了一个静态分析工具,并识别出501个可被容器重复触发的抽象资源。

  4. 作者将工具源码以及结果开源在Github上了

    Github地址:https://github.com/ZJU-SEC/AbstractResourceAttack

概述

这篇论文揭示了一种操作系统级虚拟化的固有问题-共享内核变量和数据结构。和物理资源(CPU,内存)相比,这些内核变量和数据结构也被称为抽象资源。基于这些共享抽象资源,该论文提出一种新型攻击 - 抽象资源攻击。通过实验证明,抽象资源攻击可影响操作系统所有主要功能,包含进程管理、内存管理、存储管理、IO管理,造成系统崩溃或者性能大幅度下降;同时可攻击大多数主流操作系统,包含Linux,FreeBSD以及Fuchsia内核;同时该论文进一步在四大云厂商环境进行验证,证明抽象资源攻击在其上部署的共享内核容器环境中依然可行,揭示该攻击影响的广泛性和严重性。该论文实现并开源了一个静态分析工具,系统化分析出Linux中潜在的抽象资源攻击,找出了超过500个Linux内核中易受攻击的抽象资源。

背景

操作系统级虚拟化是云计算中的一项核心技

最低0.47元/天 解锁文章
浙江大学百人计划研究员申文博:容器场景下的内核安全
m0_46700908的博客
06-22 2128
浙江大学百人计划研究员、博士生导师申文博以内核传统攻击和防护演化为切入,分享了容器给内核安全带来的新挑战——抽象资源攻击和内存计数问题。
虚拟化学习小总结
栎梓天冲的专栏
05-27 7846
虚拟化的学习总结
一个小小指针,竟把Linux内核攻陷了!
wangxi06的专栏
03-23 363
作者丨轩辕之风O 来源丨编程技术宇宙(ID:xuanyuancoding) 怎样攻进操作系统内核? 这是一个很有意思也很硬核的问题。 黑客通过应用程序的漏洞(如Java、PHP、Apache、IE、Chrome、Adobe、office等)获得执行代码能力后,由于操作系统安全方面的设定,很多情况下都是在沙盒或者低权限进程中运行,许多操作都无法进行。要想做更多高权限的事情,黑客通常会使用工具来提权。 x86 arm 操作系统安全防线是建立在内核至高权限掌控的基础之上,无论是杀毒软件,沙
[4]云计算概念、技术与架构Thomas Erl-第6章 基本云安全
m0_57656758的博客
10-10 2238
信息安全是技术、科技、规章和行为的复杂组合,它们联合起来保护计算机系统和数据的完整性和对之的访问。IT安全举措旨在防御由于恶意的企图和无心的用户错误造成的威胁和干扰。目录0.前言第六章 基本云安全6.1基本术语和概念6.1.1保密性6.1.2完整性6.2 威胁作用者6.2.1匿名攻击者6.2.2恶意服务作用者6.2.3授信的攻击者6.2.4恶意的内部人员6.2.5小结6.3云安全威胁6.3.1流量窃听6.3.2恶意媒介6.3.3拒绝服务6.3.4授权不足6.3.5虚拟化攻击6.3.6信任边界重叠。
操作系统第一章理论知识
weixin_44575660的博客
07-09 1061
计算机系统的层次结构 硬件层、操作系统层 、支撑软件层、应用层 操作系统的主要目标 方便用户使用—方便性 管理系统资源 —有效性 提高系统效率 —有效性 扩大机器功能—可扩充性 构筑开放环境 —开放性(兼 容机) 操作系统资源管理技术 资源管理技术的出发点:(1)物理资源有限;(2)物理资源在硬件上复杂,不易使用 资源管理技术: (1)资源复用:解决物理资源数量不足 (2)资源虚化:解决物理资源数量不足,提高服务的能力和水平 (3)资源抽象:处理系统的复杂性,解决资源的易用性 资源复用 空分复用共享 该资
linux隔离机制,面向工业控制服务器的Linux虚拟隔离机制研究与实现
weixin_39818631的博客
05-14 215
摘要:工业控制系统广泛用于电力、交通运输等多个重要行业。随着信息化进程的推动,工业控制系统更多地基于工业以太网,使用标准的计算机、操作系统和网络协议,IT系统的安全威胁也影响到了工业控制网络。典型的如Stuxnet病毒事件,我国也遭受到了该病毒的攻击论文针对工业控制系统的安全需求,主要完成了以下的工作:1)研究和分析了工业控制系统安全防护体系工业控制系统面临着DDoS攻击、恶意代码等多种威胁。论...
关于论文《保护机密虚拟机免受硬件性能计数器侧信道攻击》的理解
m0_70980326的博客
06-03 454
Aegis 能在仅引入 3% 执行时间开销和 7% CPU 开销的情况下,将所有 HPC 侧信道攻击的准确率从 90% 以上降到接近随机猜测的 2%,并且提供严格的差分隐私可证明安全性,是目前现有 AMD SEV 机密云环境下最实用、最有效的 HPC 侧信道防御方案。论文用三个最常见的机密计算场景,演示了 HPC 侧信道的威力。最后,一种常见的侧信道防御策略是模糊攻击者的观测结果,最直接的方法是直接注入随机噪声,但该方法会向虚拟机中引入额外噪声,带来额外的性能开销,且随机注入噪声无法提供严格的隐私保障。
14、智能资源分配提升云安全
y9z0a1b的博客
06-19 56
本文探讨了现代云平台中由于微架构组件和网络共享导致的安全与性能隔离问题,并提出通过智能资源分配策略来提升云环境的安全性和资源利用率。文章分析了当前云安全的挑战,介绍了对分布式系统和应用的精细建模方法,包括微架构组件建模、分布式系统层次建模以及应用需求建模。基于这些模型,设计了资源分配算法,并提出了优化策略,通过实践案例验证了其在金融行业和科研机构云平台中的有效性。最后总结了关键要点,并展望了未来的研究方向。
Mythos安全大模型:攻击状态机与对抗强化学习驱动的漏洞发现革命
最新发布
dielucui7698的博客
06-15 397
大语言模型在网络安全领域的应用正从基础代码生成迈向深度攻防推理。其核心在于对漏洞语义、操作系统机制与防护体系的联合建模能力,而不仅是参数规模或上下文长度的提升。Mythos通过分层状态缓存(HSC)实现长程攻击路径的稳定追踪,并依托对抗性强化学习(Adversarial RL)构建具备扰动鲁棒性的利用生成能力,显著突破传统fuzzing与静态分析的边界。这种技术范式升,使模型能在真实企业环境中完成侦察、渗透、提权到持久化的全链路闭环,支撑自动化红队、深度风险评估与合规即代码等高价值场景。本文聚焦Mytho
操作系统资源管理技术
yang__king的博客
10-17 4680
资源管理资源复用1)空分复用共享2)时分复用共享资源虚拟资源抽象总结 众所周知,现代计算机系统都包含各种各样的硬件和软件资源操作系统的 主要任务之一是对资源进行管理,在相互竞争的应用程序之间有序的控制软硬件资源的分配、使用和回收,使资源能够在多个程序之间共享。由于物理资源有限,而竞争资源的应用程序过多,必须很好地解决物理资源数量不足的和合理分配资源这两个问题。要实现资源的易用性,只能借助系统所提供的功能或者其他设施来控制与使用。从更高的层次来看,操作系统将物理计算机的功能加以扩展,使之成为接口好、功能强、
Spring的资源抽象Resource实体类
汪小哥
01-23 4606
Spring的资源抽象Resource实体类 FileSystemResource 文件系统资源FileSystemResource,资源以文件系统路径的方式表示,FileSystemResource 和以前的File一样的,只是增加了一些简单的操作,并且让spring统一处理Resource资源的信息。 public class FileSystemResource extends A
REST - 如何抽象资源(Resource)
weixin_34389926的博客
03-07 545
原文发表在我的个人博客:REST - 如何抽象资源(Resource) HTTP 协议最初的目的是为了提供一种发布和接收 HTML 页面的方法。HTTP 1.0 之前的版本,支持的 Method 只有 GET,用于获取用 URI 定义的 HTML 文件。 URI(Uniform Resource Identifiers)的含义是“统一资源定位符”,即从 HTTP 诞生之初,就是围绕着**资源(R...
【Spring4揭秘 基础3】统一抽象资源---Resource
要啥自行车
05-30 2775
JDK操纵底层资源基本就是 java.net.URL 、java.io.File 、java.util.Properties这些。 没有一个统一的接口可以使用,正因为这样,Spring开发者抽象了一个Resource接口,它代表所有的应用程序外部资源,提供了更强大的访问外部资源的能力。一. Resource简介Resouce接口并不是一个根接口,它继承了一个简单的父接口 InputStreamSou
操作系统教程》第5版-Chapter1-操作系统概述知识点整理
AlphaCat的博客
02-11 2300
A操作系统资源管理技术:复用,虚拟和抽象 复用:时分复用,空分复用 虚拟:物理资源与逻辑资源的对应。如SPOOLing,虚拟内存,VFS 时间换空间:虚拟存储技术 空间换时间:SPOOLing 抽象资源体现为接口,接口表现为一组操作 操作系统最基础的抽象:进程抽象,虚存抽象,文件抽象 进程抽象:进入内存的执行程序在处理器上操作的状态集的一个抽象。对于用户来说,就是...
操作系统知识概要——第一章 操作系统概观
BrightHao_zi的博客
06-30 764
第一章 操作系统概观 1.操作系统定义: 操作系统是管理系统资源、控制程序执行,改善人机界面,提供各种服务,合理组织计算机工作流程和为用户有效使用计算机提供良好运行环境的一种系统软件。 2.操作系统目标 方便用户使用 扩大机器功能 管理系统资源 提高系统效率 构筑开放环境 3.资源管理的主要技术 复用 虚化 抽象 3.1复用 操作系统让众多进程共享有限的物理资源 空分复用:资源可以进一步分割成更多和更小的单位供进程使用 时分复用:进程可以在一个时间片内以独占方式使用整个物理资源 进程能够空分复用
虚拟化逃逸攻击
Finlinlts的博客
10-02 2143
虚拟化逃逸指的是突破虚拟机或者容器的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟化逃逸感染宿主机或者在宿主机上运行恶意软件。
虚拟化:侧信道攻击案例
virtualization_的博客
10-13 754
具体实例:一个真实的在线医疗系统 在线医疗是一个很私人的信息服务系统,它由信誉最好的企业研发,并且在数据传输的过程中采用了HTTPS协议对用户的信息进行了加密传输。一旦登陆,用户可以建立自己的健康档案,包括症状、用药、疗程等内容,甚至还可以寻找医生。在研究中发现,入侵者可以完全可以推断出一个用户服用的药物,疗程以及他寻找的医生的类型。 如上图所示,是该医疗系统的添加病例的页面。此时用户所选择的是症状标签,用户可以在这个界面中键入自己的症状,在键入的过程中,系统会帮助用户弹出一个小的提示窗口。对于其他的用药
虚拟化漏洞
sdulibh的专栏
12-31 5031
KVM虚拟化新型漏洞CVE-2015-6815技术分析 360MarvelTeam2015-09-15共51132人围观,发现10个不明物体漏洞 云计算业务目前已经触及到多个行业,无论是云存储,云音乐等生活中随处可见的业务,就连银行金融,支付信息等服务也都和云紧密相关。 作为云服务的基础,虚拟化系统扮演着非常重要的角色,因为在云生态中主机的硬件
虚拟化网络攻防实践报告
03-18 633
虚拟化网络攻防实践实验 1.虚拟化网络攻防实践实验组成: l 靶机:包含应用系统和应用程序安全漏洞,髌骨走位攻击目标的主机。 l 攻击机:安装一些专用的攻击软件,用于发起网络攻击的主机。 l 攻击检测、分析与防御平添:最佳位置是靶机的网管,可以给予Linux操作系统构建网管主机,病痛继承各种软件是其具备网络攻击检测、分析与防御的功能;此外靶机上也通过自带或附加的工具进行系...
【分布式计算】学习笔记(期末复习)
05-20 4653
【分布式计算】期末复习笔记1. 云计算的基本概念、特性和基本交付模式; 1. 云计算的基本概念、特性和基本交付模式; 概念 云计算是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。 云其实是网络、互联网的一种比喻说法。 云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。 狭义上的云计算指IT基础设施的交付和使用模式,指通过网络以按需、可扩展的方式获得所需资源;广义上的云计算
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值