云计算,从概念提出,到落地生根,短短的几年经历了巨大的变革。目前,国内外的商用云计算业务都已进入蓬勃发展的重要时期,云计算也越来越多地被视为存储数据和部署服务的下一代IT基础设施。云计算模式具有经济规模、动态配置、低资本支出的优势,但同时也带来了一些新的安全隐患。多租户动态聚合、边界泛化的特点使得云计算平台天生就难以抵抗虚拟机之间共享计算资源所带来的安全威胁。其中,虚拟机同驻威胁首当其冲,即将属于攻击者的虚拟机实例运行在目标虚拟机所在的物理主机上。由于云环境“虚拟隔离,物理共存”的特点,云平台允许同驻的虚拟机共享物理主机的大部分资源,因此同驻威胁难以避免,其主要包括资源干扰、拒绝服务、隐蔽/侧信道、虚拟机跳跃、虚拟机逃逸和迁移间隙等。恶意的虚拟机同驻可能破坏云平台中数据的机密性和资源的可用性,导致严重的安全问题,从而对大型云租户和普通云用户都会造成极大危害。“工欲善其事,必先利其器。”如果攻击者意图实施针对云计算平台的攻击,则必须先实现其恶意虚拟机与目标虚拟机的同驻。本文提出一种普适的虚拟机同驻方法。该方法结合基于隐蔽信道的虚拟机同驻检测方法和自动化虚拟机洪泛策略,在国内知名商业云平台——阿里云上进行了实验验证。所提出的同驻检测方法误检率不超过5‰,同时鲁棒性强;自动化洪泛策略成功率高,开销少,且不会破坏云平台本身隔离性。作为一种典型的针对云平台的恶意行为,本同驻方法通用性强,潜在威胁极大,亟需各大云服务提供商重视与防范,且对其后的面向云平台同驻的攻击研究打下基础,对增强现有商用云平台的安全性有重要意义。