Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Artículo
Un modelo de control de acceso para prevenir el
ataque de salto de máquina virtual
Ying Dong * y Zhou Lei
Escuela de Ingeniería Informática y Ciencia, Universidad de Shanghai, Shanghai 200444, China;
leiz@shu.edu.cn
* * Correspondencia: Cyvil@shu.edu.cn ; Tel .: + 86-1316-711-5161
comprobar
Recibido: 27 de febrero de 2019; Aceptado: 23 de marzo de 2019; Publicado: 26 Eor
de marzo de 2019 actualizaci
ones
Palabras clave: seguridad en la nube; salto de máquina virtual; Modelo BLP; Modelo Biba; Modelo
PVMH
1. Introducción
La computación en la nube es un modelo de computación de red emergente basado en Internet.
Es otro nuevo concepto de computación después de la computación paralela, la computación en
cuadrícula y la informática de servicios públicos [1] Es considerado como otra revolución en el
campo de la informática. Con el desarrollo gradual y las ventajas de la computación en la nube, los
gobiernos, las empresas y las instituciones de investigación científica han valorado enormemente las
principales tecnologías y aplicaciones de la computación en la nube. Muchas empresas de TI como
Google [2], Amazon [3], Azure y Alibaba han tomado la computación en la nube como una dirección
importante para la innovación tecnológica futura y han invertido mucho en investigación y
desarrollo. Muchos países incluso consideran la computación en la nube como una oportunidad
importante para desarrollar y actualizar la industria de la información y promover el desarrollo de
la sociedad de la información. En el informe de investigación del estado de RightScale 2018, el 96%
de los profesionales de TI encuestados dijeron que su compañía estaba adoptando servicios de
computación en la nube, y el 92% dijeron que usaban nubes públicas. A medida que las empresas
mueven más aplicaciones a la nube, el mercado de computación en la nube está en auge. Según la
firma de investigación Gartner, el valor del mercado de la nube pública alcanzará los 186.400
millones de dólares en 2018, un aumento del 21,4% respecto al año pasado.
El ataque de salto de máquina virtual (VM) [4 4,5 5] estudiado en este documento implica
principalmente la seguridad entre diferentes máquinas virtuales en el mismo host y la seguridad
entre la máquina virtual y el host. En una plataforma en la nube, varias máquinas virtuales se
distribuyen juntas en la misma máquina física. Si una máquina virtual se ve comprometida o un
intruso ilegal obtiene la máxima autoridad de una máquina virtual por algún medio, existe un
riesgo de seguridad de que un usuario ilegal use la máquina virtual como trampolín para atacar
otras máquinas virtuales e incluso atacar al administrador de la máquina virtual para obtener
ilegalmente archivos de datos en la máquina virtual. Existen diversas vulnerabilidades en diferentes
plataformas de virtualización. Un funcionario de Xen anunció una importante vulnerabilidad de
seguridad, con el nombre en código "Dome Breaking" (XSA-148 / CVE-2015-7835).
Internet futuro 201911, 82; doi:10.3390 / fi11030082 www.mdpi.com/journal/futureinternet
Internet futuro 201911, 82 2 de 21
ataques de salto y ataques de escape de máquinas virtuales. Jason Geffner de CrowdStrike encontró
una vulnerabilidad de seguridad relacionada con el controlador de disquete virtual en el emulador
de computadora de código abierto QEMU, con nombre en código "VENOM" (CVE-2015-3456).
Existía en muchas plataformas de virtualización de computadoras (especialmente Xen, KVM,
VirtualBox y el cliente nativo QEMU). Esta vulnerabilidad podría permitir a un atacante deshacerse
de las restricciones de identidad de invitado de una máquina virtual infectada y probablemente
obtener derechos de ejecución de código del host. Además, un atacante puede usarlo para acceder al
sistema host y a todas las máquinas virtuales que se ejecutan en el host, y puede elevar los permisos
de acceso para que los atacantes puedan acceder a la red local del host y a los sistemas vecinos. Otra
vulnerabilidad (CVE-2018-10853) indicó que KVM
4.10 y versiones posteriores en el kernel de Linux tienen fallas de seguridad en la implementación
debido a la falla al detectar el CPL (el nivel de privilegio de la tarea o programa actualmente en
ejecución). Un atacante podría aprovechar esta vulnerabilidad para elevar los privilegios y causar
ataques de salto de máquina virtual. Dado que el ataque de salto de máquina virtual es un riesgo de
seguridad de la capa de virtualización, los riesgos de seguridad en la capa de virtualización pueden
causar el colapso del sistema de seguridad de toda la plataforma de computación en la nube. Por lo
tanto, si se produce un ataque de salto de máquina virtual en la plataforma de la nube, se produce
un daño enorme en toda la plataforma de la nube.
En resumen, la investigación sobre cómo mejorar la seguridad de la plataforma de
computación en la nube y prevenir ataques maliciosos en el entorno de computación en la nube
tiene un significado teórico y práctico para promover el desarrollo saludable de las plataformas de
computación en la nube y sus aplicaciones. El ataque de salto de VM es un método de ataque muy
dañino. Los investigadores deben prestar suficiente atención a la prevención de ataques de salto de
VM para hacer que la plataforma en la nube sea más estable y confiable.
En este artículo, estudiamos el contenido relacionado de los ataques de salto de máquinas
virtuales. De acuerdo con el modelo BLP y el modelo Biba, el modelo de prevención de salto de VM
(PVMH) se propone combinando la integridad y confidencialidad de la seguridad informática, y se
esfuerza por evitar ataques de salto de máquina virtual.
El resto de este documento está organizado de la siguiente manera: Sección 2 describe varios
estudios que están estrechamente relacionados con nuestra investigación; Sección3 introduce
algunos conocimientos básicos, incluidos ataques de salto de máquinas virtuales y técnicas de
control de acceso; Sección4 4 detalla el diseño e implementación de nuestro modelo PVMH
propuesto; por varios experimentos en la sección5 5, demostramos la efectividad de nuestro modelo
PVMH; y, finalmente, concluimos el documento y discutimos el trabajo futuro en la Sección6 6.
2. Obras relacionadas
La computación en la nube y las tecnologías de TI tradicionales tienen diferentes modelos de
servicio, modos operativos, formas de intercambio de información y tecnologías que brindan
servicios en la nube, lo que hace que la computación en la nube enfrente diferentes amenazas y
riesgos de las tecnologías de TI tradicionales. La virtualización juega un papel importante en la
construcción de la computación en la nube. Sin embargo, hay varias vulnerabilidades en las
implementaciones de virtualización actuales, y la capa de virtualización [6 6] enfrenta varios
desafíos de seguridad. Con la ayuda de la virtualización de la red, una única infraestructura de red
se puede dividir en varias arquitecturas virtuales. Esto beneficia a una amplia gama de aplicaciones,
incluidas las infraestructuras de computación en la nube. En [7 7], Bays y col. discutió varios
desafíos y amenazas principales relacionados con la seguridad de la red virtual, y presentó las
soluciones correspondientes, así como los aspectos de seguridad que aún no se habían abordado. En
un entorno de nube, la seguridad es vital para detectar intrusiones en la capa de red virtual. Nathiya
y col. [8] propuso un sistema híbrido de detección de intrusos (H-IDS) para monitorear la seguridad
en una capa de red virtual, pero no implementaron ni verificaron el experimento.
Los problemas de seguridad en la virtualización se pueden dividir en dos categorías: riesgos de
seguridad de virtualización y ataques de seguridad de virtualización. Ataques de virtualización
comunes [9] incluyen robo y manipulación de máquinas virtuales, salto de máquinas virtuales,
escape de máquinas virtuales, ataques de rootkit basados en máquinas virtuales (VMBR) y ataques
de denegación de servicio. Basado en el modelo BLP, Jiang et al. [10] propuso PVME para evitar que
la máquina virtual escape de los aspectos del control de acceso. Agregaron dos nuevas propiedades
Internet futuro 201911, 82 3 de 21
de acceso (ejecutar (e *) y control (c *)) al modelo PVME y formularon varias reglas para diferentes
estados de VM. Nguyen y col. [11] demostró que el conmutador virtual en sí mismo puede
retransmitir TCP
paquetes, que pueden ser abusados para ataques de amplificación por atacantes internos.
Rakotondravony y col. [12] presentó una nueva clasificación de ataques de malware en entornos de
nube IaaS, que ayuda a los profesionales en las primeras etapas del diseño de mecanismos de
mitigación basados en introspección de máquinas virtuales mediante la identificación de ataques
relevantes.
Central para el entorno de la nube es la tecnología de virtualización, cuyo núcleo es la máquina
virtual (VM). Por lo tanto, las capacidades de comunicación entre máquinas virtuales son
primordiales. Para los usuarios de la nube, la mala comunicación de la VM extiende las tareas de los
inquilinos y el tiempo de arrendamiento de la VM, lo que eventualmente aumenta sus costos. Por
otro lado, la mala comunicación entre las máquinas virtuales también introduce vulnerabilidades de
seguridad [13] Al-Said y col. [14] describió los desafíos de seguridad que existen en las técnicas de
virtualización y que se utilizan para admitir a varios clientes en una infraestructura física
compartida. Ren y col. [15] analizó las amenazas y desafíos de seguridad que enfrentaban las
máquinas virtuales y presentó varios ataques típicos a la máquina virtual en la plataforma Xen.
Elmrabet y col. [dieciséis] propuso una nueva arquitectura de seguridad de tres capas, que se
compone de conmutador virtual, firewall virtual y VLAN, para evitar ataques a máquinas virtuales,
como inhalación, suplantación e inundación de mac. Sathya y col. [17] introdujo un modelo
confiable para la seguridad de VM en la computación en la nube. Encriptaron las imágenes de VM y
utilizaron la técnica de instantánea y un monitor de terceros, todo lo cual mejora la
confidencialidad, integridad y disponibilidad de VM en la nube. Mohammad-Mahdi y col. [18 años]
presentó un enfoque para detectar de manera eficiente los ataques de canal lateral basados en la
memoria caché entre máquinas virtuales, utilizando información detallada del hardware
proporcionada por la Tecnología de monitorización de caché de Intel (CMT) y los Contadores de
rendimiento de hardware (HPC).
Estos estudios sobre seguridad de virtualización han logrado resultados relativamente
satisfactorios en la prevención de seguridad de virtualización. Sin embargo, al centrarse en el
problema del ataque de salto de máquina virtual, estos estudios son relativamente unilaterales y no
resuelven bien este problema. Una vez que ocurren los ataques de salto de máquina virtual, los
archivos en la máquina virtual atacada quedan completamente expuestos al atacante, e incluso toda
la capa de virtualización está implicada, lo que resulta en una fuga a mayor escala. Por lo tanto, la
prevención de ataques de salto de máquinas virtuales tiene un valor de investigación muy alto.
3. Preliminares
3.1. VM Hopping
4. Métodos
El modelo BLP permite que la información fluya de baja seguridad a alta seguridad y prohíbe
el flujo de información en la dirección opuesta. El modelo Biba permite que la información fluya de
alta integridad a baja integridad, y prohíbe el flujo de información en la dirección opuesta. Si el
modelo BLP se combina directamente con el modelo Biba, que implementa una política de
integridad estricta, las entidades en diferentes niveles no pueden comunicarse entre sí, lo que
resulta en "islas de información" en el sistema. Por lo tanto, en la aplicación práctica, estos dos
modelos no pueden aplicarse directamente, un modelo tiene que hacerse con las modificaciones
correspondientes al otro modelo.
Si la decisión es "sí", agregue una nueva regla que indique que Si puede acceder a Oj en modo de
solo lectura (r) en el conjunto de acceso actual.
Regla2 (PVMH - R2 (get-append)). Materia virtual Si
accesos
objeto de máquina virtual Oj en solo escritura o anexar (a) modo La definición es
.
dom(PVMH - R2) = ,Rk El | gramo,Si, Oj, aΣ ∈ R (1) ,. El pseudocódigo es el siguiente:
(?, v)
. . ΣΣ Σ yo F RΣk ∈/ / dom (PVMH - R2 )
si, si
..
, METRO, Si [R ∈
dom(PVMH R- )] y una
Syo , Oj , Σ .Σ
f, HΣΣ M y F (S). < fO
∪ una ∈2 ijk ΣΣ ΣΣ
PVMH - R2 (Rk , v) = unre ΣF ht (S yo ) ≥ F oC O j
sr oyo
y FCarolina del Sur . (S
Σyo ) ≥ flt Oj
o [Syo ∈ ST ] Σ
(No, v) de otra manera
Si la decisión es "sí", agregue una nueva regla que indique que Si tiene acceso a Oj en modo de
solo escritura o anexe (a) al conjunto de acceso actual.
Regla 3 (PVMH - R3 (get-write)). La máquina virtual del sujeto Si accede a la máquina
virtual del objeto Oj
o ST (sujeto de confianza) accedió a la máquina virtual de objetos Oj en modo lectura-escritura (w).
La definición es
.
dom(PVMH - R3) = ,Rk El | gramo,Si, Oj, wΣ ∈ R (1) ,. Este pseudocódigo es el siguiente:
PVMH - R (R , v) = .
(?, v) yo F Rk ∈/ / dom (PVMH
. .. ΣΣ
si, si - R3 )
Syo , Oj , w , METRO, Σ Σ
3 ∪ f, HΣΣ Si [R ∈
dom(PVMH R- )] y w
Σ .
∈3 ijkΣΣ M y fsr (Syo ) = fo
Oj
o [Syo ∈ ST ]
(No, v) de otra manera
Si la decisión es "sí", agregue una nueva regla que indique que Si tiene acceso a Oj en modo
lectura-escritura (w) en el conjunto de acceso actual.
Regla 4 (PVMH - R4 (dar-leer / agregar / escribir)).
Hipervisor (Sλ) necesita
setpermissionforsubjectvirtualmachine Si
accessingobjectvirtualmachine Oj
en cierto modo, incluido, solo lectura, solo escritura
, o lectura-escritura. La definición es
.
dom(PVMH - R4) = Rk El | Sλ,
gramo, Si, Oj, xΣ ∈ R (2), x ∈ A. Este pseudocódigo es el siguiente:
(?, v) yo F Rk ∈/ / dom (PVMH
.
. - R4) Si [Rk ∈ dom (PVMH
PVMH - R4 (Rk, v) = si, si, M \ Mij ← {x}, f,
HΣΣ - R4)] y [Sλ ∈ ST ] unre Oj
∈/ / O R Σ
(nov) Σ
de otra manera
La notación flt se refiere al nivel más bajo de redacción de la asignatura, mientras que "Más
bajo" se refiere al nivel más bajo de redacción de la asignatura otorgado por la administración. Si la
decisión es "sí", el nivel más bajo de redacción del tema se actualiza a "Más bajo".
Regla 11 (control de acceso discrecional). La matriz de acceso permite que la máquina virtual
de sujeto Si acceda a la máquina virtual de objeto Oj en modo x solo si x está contenido tanto en el
elemento de fila de Si como en el elemento de columna de Oj en la matriz de control de acceso. El
.
estado v satisface la característica de seguridad discrecional si y solo si Si, Oj, x ∈ b ⇒ x ∈ Mij.
Al establecer el nivel deΣ redacción más alto y el nivel de redacción más bajo que cada sujeto
puede
escriba en, el modelo PVMH implementa restricciones de integridad más estrictas, manteniendo la
mayoría de las características de seguridad del modelo BLP, por lo que también tiene una mayor
seguridad.
El sistema prototipo de marco PVMH se divide en dos partes, con la parte central en el
hipervisor y la otra parte en el sistema operativo host. El sistema operativo host tiene un módulo de
gestión de acceso. El hipervisor incluye un módulo de matriz de acceso, un módulo de control de
acceso (PVMH-ACM), un módulo de información PVMH y un módulo de decisión de acceso.
Cuando la máquina virtual emite una solicitud de acceso, el módulo PVMH-ACM determina si se
debe permitir el acceso al recurso de acuerdo con las reglas de control de acceso correspondientes.
El diagrama de flujo de control de acceso se muestra en la Figura2:
(1) El módulo PVMH-ACM consulta el conjunto de acceso actual b (S) de la máquina virtual en
cuestión desde el módulo de información PVMH. Si encuentra el par de destino (OID, R), el
módulo PVMH-ACM acepta la solicitud y devuelve "sí" directamente; de lo contrario, salta a
(2) para continuar.
(2) Todos los elementos de la matriz de acceso asociados con SID y OID se almacenan en una lista
vinculada. El módulo PVMH-ACM busca en la lista vinculada desde el nodo principal. Si
encuentra la tupla objetivo (SID, OID, 1XXX) (X es 0 o 1), salta a (3) para una decisión adicional;
de lo contrario, rechaza la solicitud y devuelve "no" directamente.
(3) El módulo PVMH-ACM encuentra la información de la máquina virtual del objeto en el
módulo de información PVMH y compara el nivel de confidencialidad de la máquina virtual
del sujeto con el de la máquina virtual del objeto. Si se cumple la regla PVMH - R1, el PVMH-
ACM devuelve "sí"
como resultado de una decisión y agrega el par de valores (OID, R) en el conjunto de acceso
actual b (S); de otra manera,
rechaza la solicitud y devuelve "no".
5. Los experimentos
HardwareParameter
CPU Intel Core i7-6700, 3.4 GHz Memoria
8GB
Difícil disco1TB
En este experimento, Xen se usa como la plataforma de nube privada impulsada por el entorno
de virtualización, y la herramienta "virt-manager" se usa para administrar máquinas virtuales. Por
conveniencia, el sistema operativo host está configurado con la interfaz gráfica, y dado que la
máquina virtual solo requiere un entorno básico, la interfaz gráfica se elimina del sistema operativo
invitado. Los detalles se muestran en la tabla4 4.
Tabla 4. Entorno del sistema operativo.
Después de la creación, enumere todas las máquinas virtuales en ejecución, como se muestra en
la Figura 4 4.
Figura 4. Comando que enumera todas las máquinas virtuales en ejecución.
Obviamente, VM1> VM2> VM3 cuando se compara la confidencialidad y VM1> VM2 = VM3
cuando se trata de integridad. Sin PVMH, VM1, VM2 y VM3 pueden acceder entre sí. Sin embargo,
después de configurar PVMH, VM1 puede acceder a VM2 y VM3, mientras que VM2 y VM3 no
pueden acceder a VM1.
La matriz de acceso se da en la tabla 6 6.
Acceso Atributo
Sujeto objeto SID = OID Bandera
R UNA W
VM1 0000 0000 0000 1 1 1 1 1
VM2 0000 0000 0001 0 00 00 00 1
VM3 0000 0000 0001 1 00 00 00 00
La función del núcleo en VM1: Primero tome una página física de tamaño 4K; luego escriba
"Hola, por DY en DOM # 1" en esta página; la dirección de memoria inicial es 0xdb566000 en el
espacio de direcciones de VM1; luego autorice de acuerdo con el número de identificación de VM2 y
VM3 y devuelva el identificador de referencia de concesión correspondiente, que es 797 para VM2 y
798 para VM3.
Según el número de identificación de VM1 y el identificador de referencia de concesión
mencionado anteriormente, la memoria compartida se referencia en la VM2 a través del núcleo
dinámico. Sin PVMH, VM2 lee con éxito la información compartida escrita por VM1, como se
muestra en la Figura6 6.
Figura 6 Consulte la memoria compartida en VM2, sin el módulo PVMH.
La función del núcleo en VM2: Primero, el tamaño de 4K se divide del espacio de direcciones
para mapear la página compartida. Luego, VM2 asigna la página compartida a su propio espacio de
direcciones de acuerdo con el número de ID de VM1 y el identificador de referencia de concesión;
en VM2, la dirección inicial de esta página asignada es 0xe19c0000; después de eso, la información
"Hola, por DY en DOM # 1" escrita por VM1 se puede leer y se completa el acceso.
Para verificar la función del módulo PVMH, el núcleo dinámico debe ser eliminado de VM2 al
principio, luego el módulo PVMH habilitado y el núcleo dinámico reinsertado en VM2, como se
muestra en las Figuras 7 7 y 8 respectivamente.
Después de iniciar el módulo PVMH, VM2 pierde su permiso para acceder a la memoria
compartida, lo que resulta en la falla de la inserción dinámica del núcleo. Se pueden observar
resultados similares en VM3 con y sin el módulo PVMH. Esto es consistente con las reglas PVMH,
porque VM2 tiene una confidencialidad y una integridad más bajas que VM1.
Escenario de ataque 2: El atacante usa el VM4 para montar y modificar la partición / boot de
VM5 a través del hipervisor. Como resultado, VM5 no se puede iniciar, lo que provoca el ataque de
salto de máquina virtual. Resultado esperado: después de iniciar el módulo PVMH, si no se cumple
la regla de control de acceso,
VM4 no puede acceder a la partición / boot de VM5, incluso utilizando la máquina virtual
privilegiada Dom0.
Establezca el nivel de seguridad y la categoría de VM4 y VM5, como se muestra en la Tabla 7 7.
Obviamente, VM4 <VM5 al comparar tanto la confidencialidad como la integridad. Sin PVMH,
VM4 puede montar la partición / boot de VM5 a través de Dom0. Sin embargo, después de que se
inicia PVMH, VM4 ya no puede acceder a VM5.
La matriz de acceso se da en la tabla 8.
Acceso Atributo
Sujeto objeto SID = OID Bandera
R UNA W
VM4 0000 0000 0010 0 1 00 1 1
VM5 0000 0000 0010 1 1 00 00 1
VM4 usa la máquina virtual privilegiada Dom0 para ver la partición de VM5, como se muestra
en la Figura 9.
El disco de VM5 se divide en dos particiones: / y / boot. Antes de habilitar el módulo PVMH,
VM4 monta y accede a la partición / boot de VM5 a través de Dom0. El valor "Inicio" de la
partición / arranque, 2048, se utiliza para calcular el desplazamiento en el montaje del comando,
como se muestra en la Figura10:
Dado que VM4 puede modificar la partición / boot de VM5, puede atacar VM5 fácilmente.
Desmonte la partición, habilite el módulo PVMH y vuelva a montar la partición / boot de VM5. Los
resultados son como se muestran en la Figura11.
Después de habilitar el módulo PVMH, VM4 no puede montar la partición / boot de VM5.
Cabe señalar que la operación de montaje corresponde a una serie de llamadas al sistema Linux. En
nuestra implementación, después de la intercepción del módulo PVMH, afecta la entrada de
llamadas posteriores del sistema, por lo que el mensaje de error es "No existe tal archivo o
directorio".
A través de estos dos experimentos de escenarios específicos, se puede ver que el módulo
PVMH ha desempeñado un papel en la prevención de ataques de salto de máquina virtual. Además
de los resultados experimentales anteriores, se requieren pruebas de costo de rendimiento de
PVMH para comprender el impacto de integrar PVMH en la plataforma de virtualización original.
Experimento de gastos generales de rendimiento: tomando el escenario de ataque 1 como
ejemplo, el paso más crítico y lento en la comunicación de memoria compartida es generar una
interrupción del sistema a través de la función HYPERVISOR_grant_table_op, y luego llamar a un
conjunto de hipercalls. Antes y después de
El módulo PVMH está habilitado, el tiempo real de la llamada de función se prueba por separado
para medir el impacto en el rendimiento del módulo PVMH en la plataforma de virtualización
original.
Como se muestra en la figura 12, sin el módulo PVMH, se necesitan 853 microsegundos para
llamar a un conjunto de hipercalls a través de HYPERVISOR_grant_table_op. Después de cargar el
módulo PVMH, el tiempo promedio es de 932 microsegundos, lo que resulta en una pérdida de
tiempo adicional del 9%.
1,000
900 932
800 853
Tiempo (Unidad: ms)
700
600
sin PVMH
500 con PVMH
400
300
200
100
00
Figura 12 Rendimiento con y sin el módulo PVMH.
Del análisis anterior se puede ver que el módulo PVMH puede prevenir efectivamente el
problema de salto de máquina virtual en el entorno de computación en la nube sin reducir
significativamente el rendimiento del sistema.
6. Conclusiones
Al analizar los resultados experimentales anteriores, queda claro que PVMH puede prevenir
eficazmente los ataques de salto de máquinas virtuales y garantizar la seguridad entre diferentes
máquinas virtuales en el mismo host. Como el módulo PVMH necesita llamar a la función del
sistema cuando se está ejecutando, consume una cierta cantidad de rendimiento del sistema, pero
para el efecto general, la pérdida adicional está dentro de un rango aceptable.
En futuras investigaciones, las reglas de seguridad de PVMH podrían simplificarse aún más,
haciendo que el modelo PVMH sea más adecuado para prevenir ataques de salto de máquinas
virtuales. Además, necesitamos fortalecer la conexión entre el módulo PVMH y el módulo LSM, lo
que podría reducir la carga de trabajo y lograr mejores efectos preventivos.
Contribuciones de autor: Ying Dong y Zhou Lei concibieron y diseñaron el modelo PVMH; Ying Dong realizó
los experimentos y escribió el artículo; Zhou Lei revisó el documento.
Fondos: Esta investigación no recibió fondos externos.
Conflictos de interés: Los autores declaran no tener ningún conflicto de intereses.
Referencias
1. GRAMOulati, GRAMO. Multiinquilino Arquitectura. En UNA Nube privada ;
REGAZO Lambert Académico Editorial: Saarbrücken, Alemania, 2012.
2. Dean, J .; Ghemawat, S. MapReduce: una herramienta de procesamiento de datos flexible. Commun. ACM
2010, 53, 72–77. [CrossRef]
3. DeCandia, G .; Hastorun, D .; Jampani, M .; Kakulapati, G .; Lakshman, A .; Pilchin, A .; Sivasubramanian,
S .; Vosshall, P .; Vogels, W. Dynamo: la tienda de valor-clave altamente disponible de Amazon. En las
actas del vigésimo primer simposio SIGOPS de ACM sobre principios de sistemas operativos (SOSP'07),
Stevenson, WA, EE. UU.,14-17 de octubre de 2007; ACM: Nueva York, NY, EE. UU., 2007; pp. 205–220.
4. Catteddu, D .; Hogben, G. Cloud Computing: beneficios, riesgos y recomendaciones para la seguridad de
la información. En Actas de la Conferencia de Seguridad de Aplicaciones Web Ibéricas 2009, Madrid,
España, 10-11 de diciembre de 2009; Springer: Berlín Heidelberg, 2010.
5. Ormandy, T. Un estudio empírico sobre la exposición de seguridad a hosts de entornos hostiles
virtualizados. En Actas de la Conferencia de Seguridad Aplicada CanSecWest, Vancouver, Canadá, 18 de
marzo de 2007; pp. 1-18.
6. Modi, CN; Acha, K. Retos de seguridad de la capa de virtualización y sistemas de detección / prevención
de intrusos en computación en la nube: una revisión exhaustiva. J. Supercomput. 2017, 73, 1192–1234.
[CrossRef]
7. Bahías, LR; Oliveira, RR; Barcellos, MP; Gaspary, LP; Madeira, ER Seguridad de red virtual:
amenazas,contramedidas y desafíos. J. Internet Serv. Appl. 2015, 6, 1. [CrossRef]
8. Nathiya, T .; Suseendran, G. Un sistema de detección de intrusiones híbrido eficaz para su uso en el
monitoreo de seguridad en la capa de red virtual de la tecnología de computación en la nube. En Gestión
de Datos, Análisis e Innovación. Avances en Sistemas Inteligentes y Computación; Balas, V., Sharma, N.,
Chakrabarti, A., Eds .; Saltador:Singapur, 2019; Volumen 839.
9. Pan, W .; Zhang, Y .; Yu, M .; Jing, J. Mejora de la seguridad de virtualización al dividir el hipervisor en
componentes más pequeños. En la Conferencia Anual IFIP sobre Seguridad y Privacidad de Datos y
Aplicaciones, París, Francia, del 11 al 13 de julio de 2012. Notas de la conferencia en Ciencias de la
Computación (incluidas las Notas de la Subserie en Inteligencia artificial y Conferencia Notas en
bioinformática); Springer Nature: Basilea, Suiza, 2012; Volumen 7371, págs. 298-313.
10. Wu, J .; Lei, Z .; Chen, S .; Shen, W. Un modelo de control de acceso para prevenir el ataque de escape de
máquina virtual.
Internet futuro 2017, 9, 20. [CrossRef]
11. Nguyen, SD; Mimura, M .; Tanaka, H. Abusando de la retransmisión TCP para el ataque DoS dentro de la
red virtual. En aplicaciones de seguridad de la información. WISA 2017; Apuntes de Lectura en
Informática; Kang, B., Kim, T., Eds .;Springer: Cham, Suiza, 2018; Volumen 10763.
12. Rakotondravony, N .; Taubmann, B .; Mandarawi, W .; Weishäupl, E .; Xu, P .; Kolosnjaji, B .; Protsenko, M .; De Meer,
H .;Reiser, HP Clasificando ataques de malware en entornos de nube IaaS. J. Cloud Comput. 2017, 6, 26.
[CrossRef]
13. Mthunzi, SN; Benkhelifa, E .; Alsmirat, MA; Jararweh, Y. Análisis de la comunicación VM para sistemas
de seguridad en la nube basados en VM. En Actas de la Quinta Conferencia Internacional de 2018 sobre
software definidoSystems (SDS), Barcelona, España, 23–26 de abril de 2018; pp. 182-188.
14. Dicho, TA; Rana, OF Análisis de seguridad de máquinas virtuales en sistemas en la nube. En actas de la
Conferencia internacional sobre computación inteligente en la nube, Muscat, Omán, 24–26 de febrero de
2014.
15. Ren, X .; Zhou, Y. Una revisión del ataque de máquina virtual basada en Xen. En Actas de la Internacional
Seminario sobre física aplicada, optoelectrónica y fotónica (APOP 2016), Shanghai, China, 28-29 de mayo
de 2016.
16. Elmrabet, Z .; Elghazi, H .; Sadiki, T .; Elghazi, H. Una nueva arquitectura de red segura para aumentar la
seguridad entre máquinas virtuales en la computación en la nube. En avances en redes ubicuas; Notas de
clase enIngenieria Eléctrica; Sabir, E., Medromi, H., Sadik, M., Eds .; Springer: Singapur, 2016; Tomo 366.
17. Sathya Narayana, K .; Pasupuleti, SK Modelo de confianza para la seguridad de máquinas virtuales en
Cloud Computing. En curso en informática, análisis y redes. Avances en Sistemas Inteligentes y
Computación; Pattnaik, P., Rautaray S., Das, H., Nayak, J., Eds .; Springer: Singapur, 2018; Volumen 710.
18. Bazm, M.-M .; Sautereau, T .; Lacoste, M .; Südholt, M .; Menaud, J.-M. Detección de ataques de canal
lateral basados en caché a través de la tecnología de monitoreo de caché Intel y contadores de
rendimiento de hardware. En las Actas de la Tercera Conferencia Internacional IEEE sobre Niebla y
Mobile Edge Computing (FMEC 2018), Barcelona,España, 23–26 de abril de 2018; pp. 1-6.
19. Silva, EF; Muchaluat-Saade, DC; Fernandes, NC ACROSS: un marco genérico para el control de acceso
basado en atributos con políticas distribuidas para organizaciones virtuales. Futuro Gener. Comput Syst.
2017, 78, 1–7. [CrossRef]
20. Graham, GS; Denning, Protección PJ: Principios y práctica. En las actas de la computadora conjunta
SpringConferencia (AFIPS '72), Atlantic City, NJ, EE. UU., 16-18 de mayo de 1972; ACM: Nueva York, NY, EE. UU.,
1972; págs. 417–429.
21. Bell, DE; La Padula, LJ Secure Computer System: Exposición unificada e interpretación de multics;
Documento DTIC; Mitre Corp .: Bedford, MA, EE. UU., 1976.
22. Sandhu, RS Modelos de control de acceso basados en roles. Computer 1996, 29, 38–47. [CrossRef]
23. Jha, S .; Sural, S .; Atluri, V .; Vaidya, J. Especificación y verificación de separación de restricciones de
servicio enControl de acceso basado en atributos. IEEE Trans. Inf. Forense Secur. 2018, 13, 897–911.
[CrossRef]
24. Bell, DE; La Padula, LJ Sistemas informáticos seguros: fundamentos matemáticos; Informe técnico MTR-
2457; Mitre Corporation: McLean, VA, EE. UU., 1973.
25. Biba, KJ Consideraciones de integridad para un sistema informático seguro; ESD-76-372; División de
Sistema Electrónico PSAF, Base de la Fuerza Aérea Hanscom: Bedford, MA, EE. UU., 1977.
© 2019 por los autores. Licenciatario MDPI, Basilea, Suiza. Este artículo es un artículo
de acceso abierto distribuido bajo los términos y condiciones de la licencia Creative
Commons Attribution (CC BY)(http://creativecommons.org/licenses/by/4.0/)