Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud

L’introspection de machine virtuelle (VM) consiste à superviser les états et les activités de celles-ci depuis la couche de virtualisation, tirant ainsi avantage de son emplacement qui offre à la fois une bonne visibilité des états et des activités des VMs ainsi qu’une bonne isolation de ces dernièr...

Full description

Bibliographic Details
Main Author: Hebbal, Yacine
Other Authors: Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire
Language:en
Published: 2017
Subjects:
004
Online Access:http://www.theses.fr/2017IMTA0029/document
id ndltd-theses.fr-2017IMTA0029
record_format oai_dc
spelling ndltd-theses.fr-2017IMTA00292018-05-23T04:20:02Z Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud Mécanismes de monitoring sémantique dédiés à la sécurité des infrastructures cloud IaaS Introspection de Machine Virtuelle Le Fossé Sémantique Analyse Binaire Statique Réutilisation du Code Binaire Virtual Machine Introspection Semantic Gap Static Binary Analysis Binary Code Reuse 004 L’introspection de machine virtuelle (VM) consiste à superviser les états et les activités de celles-ci depuis la couche de virtualisation, tirant ainsi avantage de son emplacement qui offre à la fois une bonne visibilité des états et des activités des VMs ainsi qu’une bonne isolation de ces dernières. Cependant, les états et les activités des VMs à superviser sont vus par la couche de virtualisation comme une suite binaire de bits et d’octets en plus des états des ressources virtuelles. L’écart entre la vue brute disponible à la couche de virtualisation et celle nécessaire pour la supervision de sécurité des VMs constitue un challenge pour l’introspection appelé « le fossé sémantique ». Pour obtenir des informations sémantiques sur les états et les activités des VMs à fin de superviser leur sécurité, nous présentons dans cette thèse un ensemble de techniques basé sur l’analyse binaire et la réutilisation du code binaire du noyau d’une VM. Ces techniques permettent d’identifier les adresses et les noms de la plupart des fonctions noyau d’une VM puis de les instrumenter (intercepter, appeler et analyser) pour franchir le fossé sémantique de manière automatique et efficiente même dans les cas des optimisations du compilateur et de la randomisation de l’emplacement du code noyau dans la mémoire de la VM. Virtual Machine Introspection (VMI) consists inmonitoring VMs security from the hypervisor layer which offers thanks to its location a strong visibility on their activities in addition to a strong isolation from them. However, hypervisor view of VMs is just raw bits and bytes in addition to hardware states. The semantic difference between this raw view and the one needed for VM security monitoring presents a significant challenge for VMI called “the semantic gap”. In order to obtain semantic information about VM states and activities for monitoring their security from the hypervisor layer, we present in this thesis a set of techniques based on analysis and reuse of VM kernel binary code. These techniques enable to identify addresses and names of most VM kernel functions then instrument (call, intercept and analyze) them to automatically bridge the semantic gap regardless of challenges presented by compiler optimizations and kernel base address randomization. Electronic Thesis or Dissertation Text en http://www.theses.fr/2017IMTA0029/document Hebbal, Yacine 2017-09-18 Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire Menaud, Jean-Marc
collection NDLTD
language en
sources NDLTD
topic Introspection de Machine Virtuelle
Le Fossé Sémantique
Analyse Binaire Statique
Réutilisation du Code Binaire
Virtual Machine Introspection
Semantic Gap
Static Binary Analysis
Binary Code Reuse
004
spellingShingle Introspection de Machine Virtuelle
Le Fossé Sémantique
Analyse Binaire Statique
Réutilisation du Code Binaire
Virtual Machine Introspection
Semantic Gap
Static Binary Analysis
Binary Code Reuse
004
Hebbal, Yacine
Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud
description L’introspection de machine virtuelle (VM) consiste à superviser les états et les activités de celles-ci depuis la couche de virtualisation, tirant ainsi avantage de son emplacement qui offre à la fois une bonne visibilité des états et des activités des VMs ainsi qu’une bonne isolation de ces dernières. Cependant, les états et les activités des VMs à superviser sont vus par la couche de virtualisation comme une suite binaire de bits et d’octets en plus des états des ressources virtuelles. L’écart entre la vue brute disponible à la couche de virtualisation et celle nécessaire pour la supervision de sécurité des VMs constitue un challenge pour l’introspection appelé « le fossé sémantique ». Pour obtenir des informations sémantiques sur les états et les activités des VMs à fin de superviser leur sécurité, nous présentons dans cette thèse un ensemble de techniques basé sur l’analyse binaire et la réutilisation du code binaire du noyau d’une VM. Ces techniques permettent d’identifier les adresses et les noms de la plupart des fonctions noyau d’une VM puis de les instrumenter (intercepter, appeler et analyser) pour franchir le fossé sémantique de manière automatique et efficiente même dans les cas des optimisations du compilateur et de la randomisation de l’emplacement du code noyau dans la mémoire de la VM. === Virtual Machine Introspection (VMI) consists inmonitoring VMs security from the hypervisor layer which offers thanks to its location a strong visibility on their activities in addition to a strong isolation from them. However, hypervisor view of VMs is just raw bits and bytes in addition to hardware states. The semantic difference between this raw view and the one needed for VM security monitoring presents a significant challenge for VMI called “the semantic gap”. In order to obtain semantic information about VM states and activities for monitoring their security from the hypervisor layer, we present in this thesis a set of techniques based on analysis and reuse of VM kernel binary code. These techniques enable to identify addresses and names of most VM kernel functions then instrument (call, intercept and analyze) them to automatically bridge the semantic gap regardless of challenges presented by compiler optimizations and kernel base address randomization.
author2 Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire
author_facet Ecole nationale supérieure Mines-Télécom Atlantique Bretagne Pays de la Loire
Hebbal, Yacine
author Hebbal, Yacine
author_sort Hebbal, Yacine
title Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud
title_short Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud
title_full Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud
title_fullStr Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud
title_full_unstemmed Semantic monitoring mechanisms dedicated to security monitoring in IaaS cloud
title_sort semantic monitoring mechanisms dedicated to security monitoring in iaas cloud
publishDate 2017
url http://www.theses.fr/2017IMTA0029/document
work_keys_str_mv AT hebbalyacine semanticmonitoringmechanismsdedicatedtosecuritymonitoringiniaascloud
AT hebbalyacine mecanismesdemonitoringsemantiquedediesalasecuritedesinfrastructurescloudiaas
_version_ 1718641308188278784