虛擬機(jī)UML下的HIDS的數(shù)據(jù)采集模塊的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、從60年代開始人們由于應(yīng)用的需要就提出了虛擬機(jī)技術(shù)，從硬件到軟件都有。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，CPU的速度越來越快，存儲容量越來越大，虛擬機(jī)技術(shù)也如雨后春筍般地發(fā)展起來，許多軟件虛擬化技術(shù)也不斷涌現(xiàn)。通過給計(jì)算機(jī)增加一個軟件層，將一個物理計(jì)算機(jī)的資源劃分成許多虛擬的軟件計(jì)算機(jī)，這些虛擬機(jī)具備一個計(jì)算機(jī)的基本功能，擁有自己的操作系統(tǒng)和用戶空間，可以獨(dú)立運(yùn)行自己的應(yīng)用程序。 由于通過軟件而形成的虛擬機(jī)是以一個文件的形式存在于主機(jī)上

2、，相當(dāng)于主機(jī)的一個文件，所以如果虛擬機(jī)發(fā)生故障，就可以通過結(jié)束虛擬機(jī)(即關(guān)閉這個文件)或者重新啟動來解決問題，而無需關(guān)閉主機(jī)，如果虛擬機(jī)被入侵，可以通過軟件回放的形式，回到入侵前的狀態(tài)，而無需重裝系統(tǒng)。此外由于虛擬機(jī)具備一臺物理計(jì)算機(jī)的功能，所以它可以將一臺物理計(jì)算機(jī)通過劃分成多個虛擬機(jī)而形成分布式結(jié)構(gòu)或網(wǎng)絡(luò)結(jié)構(gòu)，為一個小型的公司或部門采用，可節(jié)省好多資源。 用戶模式的虛擬機(jī)UML是一種位于主機(jī)操作系統(tǒng)之上的虛擬機(jī)，是一種將li

3、nux內(nèi)核輸出到linux操作系統(tǒng)上的方法，可以用于linux內(nèi)核、驅(qū)動的開發(fā)和調(diào)試，也可以用作服務(wù)器提供專門的服務(wù)，或者形成局域網(wǎng)。 如果虛擬機(jī)聯(lián)網(wǎng)，盡管它本身會比單獨(dú)的主機(jī)上網(wǎng)安全很多，但是也不會避免被入侵的可能。所以尋找一種維護(hù)虛擬機(jī)網(wǎng)絡(luò)安全的方法就顯得很重要了。本文提出了一種UML下的基于主機(jī)的入侵檢測方法，即主機(jī)系統(tǒng)調(diào)用的入侵檢測方法。主機(jī)系統(tǒng)調(diào)用的入侵檢測其實(shí)在物理計(jì)算機(jī)上已經(jīng)得到很好的研究，它主要由三個模塊組成，即

4、采集系統(tǒng)調(diào)用號模塊和數(shù)據(jù)分析模塊，和報警模塊，在主機(jī)上已經(jīng)有了許多產(chǎn)品，如STIDE等。本文將這種方法移植到虛擬機(jī)上，但是傳統(tǒng)的系統(tǒng)調(diào)用的入侵檢測是在機(jī)器內(nèi)部進(jìn)行，本文將這個入侵檢測系統(tǒng)移植到虛擬機(jī)UML的虛擬機(jī)管理器上。UML有兩種模式，即TT模式和SKAS模式，本文采用更加安全和高效的SKAS模式。在SKAS模式下，UML虛擬機(jī)的管理器由兩部分組成，即位于它下邊的host OS和由四個進(jìn)程組成的UML Arch部分，本文將分析模塊和

5、報警模塊放在host OS上，以host OS的兩條用戶進(jìn)程的形式運(yùn)行，和在主機(jī)上的運(yùn)行方式相同。這里的關(guān)鍵部分是采集系統(tǒng)調(diào)用號模塊的設(shè)計(jì)，因?yàn)閁ML下的四條進(jìn)程中有一條專門負(fù)責(zé)系統(tǒng)調(diào)的處理(通過int0x80)，故而可以修改這條進(jìn)程，通過在其中增加采集系統(tǒng)調(diào)用號的代碼來完成這個模塊，這種方式既提高了數(shù)據(jù)采集速度(因?yàn)槭峭ㄟ^修改一些內(nèi)核代碼)，又可以讓多個虛擬機(jī)共同使用一個入侵檢測系統(tǒng)(如果在虛擬機(jī)內(nèi)部，則每個虛擬機(jī)都需要一個入侵檢測系