一種面向云計算環(huán)境下虛擬機的威脅建模方法

(1)用戶層可能面臨的威脅
威脅①：攻擊者有可能在用戶向云服務(wù)(以Web服務(wù)器為例)提交信息或者Web服務(wù)器應(yīng)答用戶響應(yīng)請求的過程中查看或者篡改數(shù)據(jù)(信息泄露／篡改數(shù)據(jù))。
(2)應(yīng)用層可能面臨的威脅
威脅②：攻擊者可能發(fā)動應(yīng)用層級的DDoS攻擊，致使Web服務(wù)器無法響應(yīng)合法用戶的請求(拒絕服務(wù))。
威脅③：攻擊者可能通過攻擊篡改服務(wù)器中的Web頁面(篡改數(shù)據(jù))。
(3)系統(tǒng)層可能面臨的威脅
威脅④：攻擊者可能利用虛擬機操作系統(tǒng)的漏洞或者管理配置錯誤進行攻擊，獲取虛擬機的管理權(quán)限，從而竊取Web服務(wù)器信息(信息泄露／提升權(quán)限)。
威脅⑤：攻擊者可能運用DNS欺騙、ARP緩存中毒攻擊、會話劫持等中間人攻擊技術(shù)，對虛擬機遷移過程進行嗅探、入侵和攻擊，檢測、竊取或肆意破壞虛擬機遷移中的網(wǎng)路數(shù)據(jù)流，達到敏感數(shù)據(jù)竊取、數(shù)據(jù)篡改、密碼破譯等目的(信息泄露／篡改數(shù)據(jù)／權(quán)限提升／欺騙)。
威脅⑧：攻擊者可能通過字典攻擊或者暴力破解等方式破解客戶操作系統(tǒng)的身份驗證，從而可以冒充合法用戶(欺騙／信息泄露／提升權(quán)限)。
(4)監(jiān)控器層可能面臨的威脅
威脅⑥：攻擊者可能利用虛擬機監(jiān)控器程序漏洞、設(shè)備驅(qū)動漏洞或者配置不當進行攻擊，獲取虛擬機監(jiān)控器的管理權(quán)限，攻擊者可以進入主機系統(tǒng)和在主機上運行的其他虛擬機(信息泄露／篡改數(shù)據(jù)／權(quán)限提升／欺騙)。
威脅⑦：攻擊者可能利用系統(tǒng)間隱蔽通道，如基于共享內(nèi)存、緩存Cache和CPU負載的隱蔽通道獲取其他用戶的數(shù)據(jù)信息(信息泄露)。
威脅⑧：攻擊者可能通過字典攻擊或者暴力破解等方式破解虛擬化管理系統(tǒng)的身份驗證，從而可以冒充合法用戶(欺騙／信息泄露／提升權(quán)限)。
(5)硬件層可能面臨的威脅
威脅⑨：攻擊者可能通過發(fā)動DDOS、Botnet攻擊，占用網(wǎng)絡(luò)帶寬或使得服務(wù)器無法響應(yīng)合法用戶的請求(拒絕服務(wù))。
威脅⑩：攻擊者(內(nèi)部人員或者取得數(shù)據(jù)庫權(quán)限的攻擊者)可能直接訪問服務(wù)器，竊取或者篡改服務(wù)器中的數(shù)據(jù)(信息泄露／篡改數(shù)據(jù))。

4 威脅量化評估
通過建立威脅量化模型，對威脅識別過程中記錄的所有威脅發(fā)生的可能性和嚴重程度進行量化。
威脅可能性度量P是威脅重現(xiàn)性、威脅可發(fā)現(xiàn)性、威脅可利用性3個屬性的量化值之和。每個屬性量化值范圍為1～5的整數(shù)。
威脅嚴重度D是威脅潛在的損失、影響的用戶和資產(chǎn)價值3個要素量化值之和，每個要素的取值范圍為1～5。
攻擊因子A是攻擊技術(shù)流行度、攻擊技術(shù)難易度以及攻擊后果3個屬性量化值的綜合平均值，每種屬性的取值范圍為1～5的整數(shù)。
虛擬化系統(tǒng)面臨威脅取決于3個因素：威脅發(fā)生的可能性、威脅發(fā)生后的嚴重度及攻擊因子?？傻玫酵{值計算公式：R=P×D×A。虛擬機的安全威脅最終表現(xiàn)為安全事件對虛擬機服務(wù)的影響，即云計算系統(tǒng)面臨威脅的量化值R是評價虛擬機安全威脅的決定因素。

5 結(jié)語
本文在綜合分析云計算環(huán)境下虛擬機可能面臨的威脅和攻擊的基礎(chǔ)上，提出了一種基于STRIDE的虛擬機安全威脅模型。并對虛擬機安全威脅進行量化和評估，分析各層面威脅嚴重程度對于云計算環(huán)境下虛擬機安全服務(wù)的影響，進而評估整個云計算環(huán)境下虛擬機的整體安全威脅。