基于操作系统容器虚拟化技术的JBS模型的研究.pdfVIP

基于操作系统容器虚拟化技术的 JB S模型的研究 吴革李健赖英旭 124 北京工业大学计算机学院北京100 摘要：本文提出一种基于操作系统容器虚拟化技术的日志备份系统(JournalingBackup 软件审查，入侵检测，分析和系统恢复等方面。JBS模型主要的功能为监测软件交互过程并生成事务日志和对系统资源进行 虚拟化容器所产生的系统调用数量远低本地系统，实验证明本文提出的JBS模型，降低了需要被监测系统调用的数量，提 高系统监测性能。 关键词：虚拟化；容器；检测；应用程序；交互 0 弓l言 据包发送出去都有自己的内核上下文Id属性，JBS模型通过 随着互联网的发展，软件网络化、云计算等技术越来越 计算包上的预定概率和共享属性，可以确定每个虚拟容器发 普及。越来越多的私有软件被放在公共计算平台上运行，软 送数据的次序和发送的数量，从而提供有效共享服务和预定 件之间的行为变得十分复杂，系统安全面I临前所未有的挑战。 服务。存储限制功能，分为磁盘存储限制和内存存储限制。 1 JBS模型实现细节 对于内存存储限制，应用的技术如下：①最大可用的常驻内 1．1 JBS虚拟机监视器 residentset of 存(maximum JBS模型是基于容器虚拟化技术(Container—based have，ANON)；③已经被应用的内存页， anonymousmemory SystemVirtualization)，而不是完全虚拟化技术，不 Operming 需要转换敏感指令，提供接近本地操作系统的效率。Linux 储限制，通过使用虚拟容器标识(XID)对文件系统进行标识， 版本JBS模型实现主要是基于Linux内核2．6．22．19和让运行于不同虚拟容器中的进程可以访问同一个宿主系统 Linux—VServer2．2．0．7。 分区，而不能访问不同容器中的文件。 JBS模型资源划分：CPU调度资源划分是通过复写标记 JBS模型安全隔离：JBS模型中的进程隔离主要是对宿 桶(TokellBucket，TB)数据结构，提供硬件级别的CPU调度控主操作系统中的进程标识虚拟容器标识(XID)，使每个进程的 PID不再是全局名字空间，而是虚拟容器名字空间。JBS模 制。在操作系统中，每更新一次时问票据(timertick)，都会 减少进程所在的虚拟容器的TB的容量。I／0的资源共享通过型中的网络隔离主要是根据虚拟容器动态创建出的IP地址 Token 使用分级标记桶(HierarchicalBucket，HTB)，每个HTB 都有对应预定概率(reservedrate)和共享属性(share)。每个数根目录位置，这会导致虚拟容器的根目录的变动。在JBS 蕊 2010．4麟安至技7It与应用39 万方数据 Barrier)， 系统中，引用了虚拟容器根目录屏蔽技术(Chroot file attribute)，阻止退出虚 使用一个特殊的文件属性(special 拟容器根目录和修改它。现在的Linux兼容性系统中，并没 有完全实现POSIX兼容性标准。为了提供更安全的进程保 护，JBS增强了Linux兼容性，通过使用虚拟容器上下文的 掩码(mask)技术，来限制进程执行权限。 1．2虚拟容器的