Xen虛擬化平臺(tái)下入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、在計(jì)算機(jī)信息技術(shù)快速發(fā)展的同時(shí)，計(jì)算機(jī)信息安全問(wèn)題也得到越來(lái)越廣泛的重視。針對(duì)操作系統(tǒng)的各種攻擊技術(shù)層出不窮，屢屢導(dǎo)致信息丟失、竊取等安全事故的發(fā)生。對(duì)于這些攻擊，傳統(tǒng)入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)起到了一定的防御作用，但其框架本身也存在一些局限性。
　　 傳統(tǒng)入侵檢測(cè)框架使得IDS面臨一個(gè)艱難的抉擇。一方面，如果讓IDS寄宿于被檢測(cè)系統(tǒng)之上，那么它對(duì)主機(jī)上軟件運(yùn)行信息有很好的了解，

2、但是這樣會(huì)降低它與被監(jiān)控系統(tǒng)間的隔離，使得易于遭受直接攻擊，安全性不高。另一方面，如果讓IDS通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行監(jiān)控，這使得它具有很好的抗攻擊性能，但是只能獲取很少的主機(jī)內(nèi)部信息，對(duì)檢測(cè)入侵的范圍和準(zhǔn)確性不高。在本文中我們提出了一種入侵檢測(cè)框架，它能夠?qū)DS剝離出被監(jiān)控系統(tǒng)，并保持著與基于主機(jī)的IDS(Host-based Intrusion Detection System，HIDS)具有相同或者更高的可見(jiàn)性。
　　 近年來(lái)云計(jì)

3、算的興起，使得虛擬化技術(shù)得到了快速的發(fā)展和廣泛的應(yīng)用。而且隨著計(jì)算機(jī)硬件的購(gòu)買成本不斷下降，和運(yùn)維成本不斷上升，虛擬化技術(shù)作為解決該問(wèn)題的核心技術(shù)，將會(huì)得到更廣泛的應(yīng)用。虛擬化技術(shù)的成熟以及它能在多個(gè)虛擬機(jī)之間提供很強(qiáng)的隔離性，同時(shí)又能保持對(duì)虛擬機(jī)內(nèi)部信息的完全可見(jiàn)性，使它可以很好的滿足一些入侵檢測(cè)系統(tǒng)的需求，并能保持與被監(jiān)控系統(tǒng)的高隔離性。
　　 本文設(shè)計(jì)的入侵檢測(cè)系統(tǒng)框架，是建立在虛擬化技術(shù)之上的。虛擬化監(jiān)控器可以使入侵檢測(cè)

4、系統(tǒng)與被監(jiān)控虛擬機(jī)運(yùn)行在同一物理機(jī)上，同時(shí)又讓入侵檢測(cè)系統(tǒng)與被監(jiān)控虛擬機(jī)保持很好的隔離。入侵檢測(cè)系統(tǒng)可以利用虛擬機(jī)監(jiān)控器提供的機(jī)制，直接觀察被監(jiān)控系統(tǒng)的硬件狀態(tài)和事件，然后用該信息推斷出被監(jiān)控系統(tǒng)之上的軟件狀態(tài)，這可以獲得與HIDS相近的可見(jiàn)性。而且直接觀察硬件狀態(tài)能夠獲取比HIDS獲取的系統(tǒng)視圖更加真實(shí)可靠。基于虛擬機(jī)的入侵檢測(cè)系統(tǒng)在被監(jiān)控虛擬機(jī)被完全綁架的情況下，依然能夠維持系統(tǒng)的某些可見(jiàn)性。
　　 本文在Xen虛擬化平臺(tái)之