万方数据基于操作系统容器虚拟化技术的S模型的研究JB麟安至技7It与应用39蕊弓l言JBS模型实现细节JBS虚拟机监视器吴革李健赖英旭北京工业大学计算机学院北京1摘要：本文提出一种基于操作系统容器虚拟化技术的日志备份系统(JournalingSystem，JBS)模型，该模型可用于软件审查，入侵检测，分析和系统恢复等方面。JBS模型主要的功能为监测软件交互过程并生成事务日志和对系统资源进行隔离。本文基于Linux—Vserver平台实现虚拟化容器技术，支持不同硬件平台，经过一系列系统调用测试，基于JBS模型的虚拟化容器所产生的系统调用数量远低本地系统，实验证明本文提出的JBS模型，降低了需要被监测系统调用的数量，提高系统监测性能。关键词：虚拟化；容器；检测；应用程序；交互0随着互联网的发展，软件网络化、云计算等技术越来越普及。越来越多的私有软件被放在公共计算平台上运行，软件之间的行为变得十分复杂，系统安全面I临前所未有的挑战。11．1JBS模型是基于容器虚拟化技术(Container—basedVirtualization)，而不是完全虚拟化技术，不需要转换敏感指令，提供接近本地操作系统的效率。Linux版本JBS模型实现主要是基于Linux内核2．6．22．19和JBS模型资源划分：CPU调度资源划分是通过复写标记桶(TokellBucket，TB)数据结构，提供硬件级别的CPU调度控制。在操作系统中，每更新一次时问票据(timertick)，都会减少进程所在的虚拟容器的TB的容量。I／0的资源共享通过使用分级标记桶(HierarchicalBucket，HTB)，每个HTB都有对应预定概率(reservedrate)和共享属性(share)。每个数据包发送出去都有自己的内核上下文Id属性，JBS模型通过计算包上的预定概率和共享属性，可以确定每个虚拟容器发送数据的次序和发送的数量，从而提供有效共享服务和预定服务。存储限制功能，分为磁盘存储限制和内存存储限制。对于内存存储限制，应用的技术如下：①最大可用的常驻内存(maximumsize，RSS)；②可用内存页(numberhave，ANON)；③已经被应用的内存页，通过使用mlock方法和mlockall方法进行标记。对于磁盘存储限制，通过使用虚拟容器标识(XID)对文件系统进行标识，让运行于不同虚拟容器中的进程可以访问同一个宿主系统分区，而不能访问不同容器中的文件。JBS模型安全隔离：JBS模型中的进程隔离主要是对宿主操作系统中的进程标识虚拟容器标识(XID)，使每个进程的PID不再是全局名字空间，而是虚拟容器名字空间。JBS模型中的网络隔离主要是根据虚拟容器动态创建出的IP地址进行隔离的。chroot命令在Linux系统中，被用于改变系统根目录位置，这会导致虚拟容器的根目录的变动。在JBSToken00124BackupOpermingSystemLinux—VServer2．2．0．7。residentofanonymousmemoryset2010．4万方数据40隅安室技7It与应用2010．41．2虚拟容器的应用JBS系统测试系统调用对比测试系统中，引用了虚拟容器根目录屏蔽技术(Chroot使用一个特殊的文件属性(specialattribute)，阻止退出虚拟容器根目录和修改它。现在的Linux兼容性系统中，并没有完全实现POSIX兼容性标准。为了提供更安全的进程保护，JBS增强了Linux兼容性，通过使用虚拟容器上下文的掩码(mask)技术，来限制进程执行权限。近来的大量研究主要贡献是通过检测虚拟环境中应用程序行为，来保护虚拟环境。相反，JBS模型更关注于虚拟容器间的交互，或者虚拟容器与远程主机之间交互。每初始化一个虚拟容器，就需要创建所对应的虚拟容器的根VI录(rootsystem)，每个虚拟容器都会被分配在某个统一分支文件名称空问下。基于对已有的UnionFS文件系统的研究，改进了现有Linux-VServer虚拟容器创建方法，应用统一名称空间的文件系统。例如，修改后的JBS模型内核的Debian操作系统中安装通用应用程序／bin／Apache和／bin／Firefox，这两个可执行文件和配置文件直接保存在宿主操作系统中。通过使用JBS远程虚拟容器管理工具，创建两个虚拟容器／JBS／vsl和／JBS／vs2，分别用来承载／bin／Apache和／bin／Firefox。Apache和Firefox应用程序在运行时都会产生临时文件(例如历史记录)，并需要将临时文件或者程序结束产生的持久数据，保存在文件系统中。因此应用程序在虚拟容器环境下，会把数据分别保存到自己新创建出的文件夹下／JBS／vsl／．apache，／JBS／vs2／．Mozilla，／