一種面向云計(jì)算環(huán)境下虛擬機(jī)的威脅建模方法

(1)用戶層可能面臨的威脅
威脅①：攻擊者有可能在用戶向云服務(wù)(以Web服務(wù)器為例)提交信息或者Web服務(wù)器應(yīng)答用戶響應(yīng)請(qǐng)求的過(guò)程中查看或者篡改數(shù)據(jù)(信息泄露／篡改數(shù)據(jù))。
(2)應(yīng)用層可能面臨的威脅
威脅②：攻擊者可能發(fā)動(dòng)應(yīng)用層級(jí)的DDoS攻擊，致使Web服務(wù)器無(wú)法響應(yīng)合法用戶的請(qǐng)求(拒絕服務(wù))。
威脅③：攻擊者可能通過(guò)攻擊篡改服務(wù)器中的Web頁(yè)面(篡改數(shù)據(jù))。
(3)系統(tǒng)層可能面臨的威脅
威脅④：攻擊者可能利用虛擬機(jī)操作系統(tǒng)的漏洞或者管理配置錯(cuò)誤進(jìn)行攻擊，獲取虛擬機(jī)的管理權(quán)限，從而竊取Web服務(wù)器信息(信息泄露／提升權(quán)限)。
威脅⑤：攻擊者可能運(yùn)用DNS欺騙、ARP緩存中毒攻擊、會(huì)話劫持等中間人攻擊技術(shù)，對(duì)虛擬機(jī)遷移過(guò)程進(jìn)行嗅探、入侵和攻擊，檢測(cè)、竊取或肆意破壞虛擬機(jī)遷移中的網(wǎng)路數(shù)據(jù)流，達(dá)到敏感數(shù)據(jù)竊取、數(shù)據(jù)篡改、密碼破譯等目的(信息泄露／篡改數(shù)據(jù)／權(quán)限提升／欺騙)。
威脅⑧：攻擊者可能通過(guò)字典攻擊或者暴力破解等方式破解客戶操作系統(tǒng)的身份驗(yàn)證，從而可以冒充合法用戶(欺騙／信息泄露／提升權(quán)限)。
(4)監(jiān)控器層可能面臨的威脅
威脅⑥：攻擊者可能利用虛擬機(jī)監(jiān)控器程序漏洞、設(shè)備驅(qū)動(dòng)漏洞或者配置不當(dāng)進(jìn)行攻擊，獲取虛擬機(jī)監(jiān)控器的管理權(quán)限，攻擊者可以進(jìn)入主機(jī)系統(tǒng)和在主機(jī)上運(yùn)行的其他虛擬機(jī)(信息泄露／篡改數(shù)據(jù)／權(quán)限提升／欺騙)。
威脅⑦：攻擊者可能利用系統(tǒng)間隱蔽通道，如基于共享內(nèi)存、緩存Cache和CPU負(fù)載的隱蔽通道獲取其他用戶的數(shù)據(jù)信息(信息泄露)。
威脅⑧：攻擊者可能通過(guò)字典攻擊或者暴力破解等方式破解虛擬化管理系統(tǒng)的身份驗(yàn)證，從而可以冒充合法用戶(欺騙／信息泄露／提升權(quán)限)。
(5)硬件層可能面臨的威脅
威脅⑨：攻擊者可能通過(guò)發(fā)動(dòng)DDOS、Botnet攻擊，占用網(wǎng)絡(luò)帶寬或使得服務(wù)器無(wú)法響應(yīng)合法用戶的請(qǐng)求(拒絕服務(wù))。
威脅⑩：攻擊者(內(nèi)部人員或者取得數(shù)據(jù)庫(kù)權(quán)限的攻擊者)可能直接訪問(wèn)服務(wù)器，竊取或者篡改服務(wù)器中的數(shù)據(jù)(信息泄露／篡改數(shù)據(jù))。

4 威脅量化評(píng)估
通過(guò)建立威脅量化模型，對(duì)威脅識(shí)別過(guò)程中記錄的所有威脅發(fā)生的可能性和嚴(yán)重程度進(jìn)行量化。
威脅可能性度量P是威脅重現(xiàn)性、威脅可發(fā)現(xiàn)性、威脅可利用性3個(gè)屬性的量化值之和。每個(gè)屬性量化值范圍為1～5的整數(shù)。
威脅嚴(yán)重度D是威脅潛在的損失、影響的用戶和資產(chǎn)價(jià)值3個(gè)要素量化值之和，每個(gè)要素的取值范圍為1～5。
攻擊因子A是攻擊技術(shù)流行度、攻擊技術(shù)難易度以及攻擊后果3個(gè)屬性量化值的綜合平均值，每種屬性的取值范圍為1～5的整數(shù)。
虛擬化系統(tǒng)面臨威脅取決于3個(gè)因素：威脅發(fā)生的可能性、威脅發(fā)生后的嚴(yán)重度及攻擊因子。可得到威脅值計(jì)算公式：R=P×D×A。虛擬機(jī)的安全威脅最終表現(xiàn)為安全事件對(duì)虛擬機(jī)服務(wù)的影響，即云計(jì)算系統(tǒng)面臨威脅的量化值R是評(píng)價(jià)虛擬機(jī)安全威脅的決定因素。

5 結(jié)語(yǔ)
本文在綜合分析云計(jì)算環(huán)境下虛擬機(jī)可能面臨的威脅和攻擊的基礎(chǔ)上，提出了一種基于STRIDE的虛擬機(jī)安全威脅模型。并對(duì)虛擬機(jī)安全威脅進(jìn)行量化和評(píng)估，分析各層面威脅嚴(yán)重程度對(duì)于云計(jì)算環(huán)境下虛擬機(jī)安全服務(wù)的影響，進(jìn)而評(píng)估整個(gè)云計(jì)算環(huán)境下虛擬機(jī)的整體安全威脅。