Xen虛擬化平臺下入侵檢測系統(tǒng)研究與實現(xiàn).pdf

1、在計算機信息技術快速發(fā)展的同時，計算機信息安全問題也得到越來越廣泛的重視。針對操作系統(tǒng)的各種攻擊技術層出不窮，屢屢導致信息丟失、竊取等安全事故的發(fā)生。對于這些攻擊，傳統(tǒng)入侵檢測系統(tǒng)(Intrusion Detection System，IDS)起到了一定的防御作用，但其框架本身也存在一些局限性。
　　 傳統(tǒng)入侵檢測框架使得IDS面臨一個艱難的抉擇。一方面，如果讓IDS寄宿于被檢測系統(tǒng)之上，那么它對主機上軟件運行信息有很好的了解，

2、但是這樣會降低它與被監(jiān)控系統(tǒng)間的隔離，使得易于遭受直接攻擊，安全性不高。另一方面，如果讓IDS通過網(wǎng)絡來進行監(jiān)控，這使得它具有很好的抗攻擊性能，但是只能獲取很少的主機內(nèi)部信息，對檢測入侵的范圍和準確性不高。在本文中我們提出了一種入侵檢測框架，它能夠?qū)DS剝離出被監(jiān)控系統(tǒng)，并保持著與基于主機的IDS(Host-based Intrusion Detection System，HIDS)具有相同或者更高的可見性。
　　 近年來云計

3、算的興起，使得虛擬化技術得到了快速的發(fā)展和廣泛的應用。而且隨著計算機硬件的購買成本不斷下降，和運維成本不斷上升，虛擬化技術作為解決該問題的核心技術，將會得到更廣泛的應用。虛擬化技術的成熟以及它能在多個虛擬機之間提供很強的隔離性，同時又能保持對虛擬機內(nèi)部信息的完全可見性，使它可以很好的滿足一些入侵檢測系統(tǒng)的需求，并能保持與被監(jiān)控系統(tǒng)的高隔離性。
　　 本文設計的入侵檢測系統(tǒng)框架，是建立在虛擬化技術之上的。虛擬化監(jiān)控器可以使入侵檢測

4、系統(tǒng)與被監(jiān)控虛擬機運行在同一物理機上，同時又讓入侵檢測系統(tǒng)與被監(jiān)控虛擬機保持很好的隔離。入侵檢測系統(tǒng)可以利用虛擬機監(jiān)控器提供的機制，直接觀察被監(jiān)控系統(tǒng)的硬件狀態(tài)和事件，然后用該信息推斷出被監(jiān)控系統(tǒng)之上的軟件狀態(tài)，這可以獲得與HIDS相近的可見性。而且直接觀察硬件狀態(tài)能夠獲取比HIDS獲取的系統(tǒng)視圖更加真實可靠?；谔摂M機的入侵檢測系統(tǒng)在被監(jiān)控虛擬機被完全綁架的情況下，依然能夠維持系統(tǒng)的某些可見性。
　　 本文在Xen虛擬化平臺之