• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 춘계학술발표대회
• /
• pp.770-771
• /
• 2009

리눅스 커널을 VMM(Virtual Machine Monitor)로 만들어 주는 KVM의 메모리 관리 기법을 분석한다. Xen과의 차이점과 KVM의 구조를 알아보고 KVM에서의 메모리 관리 기법에 대해 분석하였다. 또한 CPU의 가상화 기능인 Intel VT-x가 어떻게 적용되었는지 분석한다.

• 정보처리학회논문지C
• /
• 제18C권3호
• /
• pp.157-166
• /
• 2011

가상화 계층은 커널 보다 높은 권한 계층에서 수행되어 운영체제가 사용하고 있는 자원 정보를 모니터링 하는데 적합하다. 하지만 기존 가상화 기반 모니터링 시스템은 CPU나 메모리 사용률과 같은 기초적인 정보만을 제공하고 있다. 본 논문에서 메모리, 레지스터 GDT, IDT 그리고 시스템 콜과 같은 동적인 시스템 커널 객체를 모니터링하기 위하여 전가상화 방식의 모니터링 시스템을 제안한다. 모니터링 시스템을 검증하기 위해 커널의 수정 없이 바로 리눅스 커널에 적용된 전가상화 방식의 KVM을 기반으로 시스템을 구현하였다. 구현된 시스템은 KVM 내부 객체에 접근하기 위한 KvmAccess 모듈, 그리고 가상머신 모니터링 결과를 외부 모듈에서도 사용할 수 있도록 API를 제공하였다. 구현된 모니터링 시스템의 성능을 측정한 결과 1초 주기로 시스템을 모니터링을 하더라도 0.37% 정도의 CPU 점유율을 차지하여 그 성능 부하가 아주 작았다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제22권9호
• /
• pp.473-478
• /
• 2016

가상화 기술은 한정된 물리자원을 추상화하여 다수의 가상 자원 형태로 사용자에게 제공하는 기술로써 자원 활용률을 높이고 유동적으로 서비스를 제공할 수 있다는 장점이 있다. 하지만 한정된 물리자원을 다수의 가상머신이 공유하는 가상화 기술의 특성상, 자원 공유로 인한 성능 간섭 현상이 발생하는 문제가 있다. 이는 호스트 운영체제의 CPU 스케줄러가 가상머신에서 실행중인 프로세스의 특성을 고려하지 않고 스케줄링 하기 때문이다. 이러한 문제를 해결하기 위해 다양한 연구들이 진행되었지만 실제 근본적인 성능 간섭의 원인 분석에 대해서는 다루고 있지 않다. 본 논문에서는 KVM 기반 가상화 환경에서 가상머신의 성능 간섭의 원인을 분석하기 위해 다양한 시나리오에서의 프로파일링을 수행하고, 그 결과를 분석하여 CPU 스케줄링 관점에서 성능 간섭 현상의 원인과 그 해결 방안을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권12호
• /
• pp.5375-5400
• /
• 2016

IOMMU is a hardware unit that is indispensable for DMA. Besides address translation and remapping, it also provides I/O virtual address space isolation among devices and memory access control on DMA transactions. However, currently commodity virtualization platforms lack of IOMMU virtualization, so that the virtual machines are vulnerable to DMA security threats. Previous works focus only on DMA security problem of directly assigned devices. Moreover, these solutions either introduce significant overhead or require modifications on the guest OS to optimize performance, and none can achieve high I/O efficiency and good compatibility with the guest OS simultaneously, which are both necessary for production environments. However, for simulated virtual devices the DMA security problem also exists, and previous works cannot solve this problem. The reason behind that is IOMMU circuits on the host do not work for this kind of devices as DMA operations of which are simulated by memory copy of CPU. Motivated by the above observations, we propose an IOMMU para-virtualization solution called PVIOMMU, which provides general functionalities especially DMA security guarantees for both directly assigned devices and simulated devices. The prototype of PVIOMMU is implemented in Qemu/KVM based on the virtio framework and can be dynamically loaded into guest kernel as a module, As a result, modifying and rebuilding guest kernel are not required. In addition, the device model of Qemu is revised to implement DMA access control by separating the device simulator from the address space of the guest virtual machine. Experimental evaluations on three kinds of network devices including Intel I210 (1Gbps), simulated E1000 (1Gbps) and IB ConnectX-3 (40Gbps) show that, PVIOMMU introduces little overhead on DMA transactions, and in general the network I/O performance is close to that in the native KVM implementation without IOMMU virtualization.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권11호
• /
• pp.5642-5670
• /
• 2017

Antivirus is an important issue to the security of virtual machine (VM). According to where the antivirus system resides, the existing approaches can be categorized into three classes: internal approach, external approach and hybrid approach. However, for the internal approach, it is susceptible to attacks and may cause antivirus storm and rollback vulnerability problems. On the other hand, for the external approach, the antivirus systems built upon virtual machine introspection (VMI) technology cannot find and prohibit viruses promptly. Although the hybrid approach performs virus scanning out of the virtual machine, it is still vulnerable to attacks since it completely depends on the agent and hooks to deliver events in the guest operating system. To solve the aforementioned problems, based on in-memory signature scanning, we propose an agentless runtime antivirus system VirtAV, which scans each piece of binary codes to execute in guest VMs on the VMM side to detect and prevent viruses. As an external approach, VirtAV does not rely on any hooks or agents in the guest OS, and exposes no attack surface to the outside world, so it guarantees the security of itself to the greatest extent. In addition, it solves the antivirus storm problem and the rollback vulnerability problem in virtualization environment. We implemented a prototype based on Qemu/KVM hypervisor and ClamAV antivirus engine. Experimental results demonstrate that VirtAV is able to detect both user-level and kernel-level virus programs inside Windows and Linux guest, no matter whether they are packed or not. From the performance aspect, the overhead of VirtAV on guest performance is acceptable. Especially, VirtAV has little impact on the performance of common desktop applications, such as video playing, web browsing and Microsoft Office series.