虚拟入侵服务器,面向虚拟化平台的入侵检测系统的研究

面向虚拟化平台的入侵检测系统的研究

(3页)

本资源提供全文预览，点击全文预览即可全文预览,如果喜欢文档就下载吧，查找使用更方便哦！

9.9 积分

面向虚拟化平台的入侵检测系统的研究面向虚拟化平台的入侵检测系统的研究摘要：在当今虚拟网络中，传统的入侵检测系统明显表现出 不适应性。虽然它能够向被监测中的活动主机给予很好的安全保护, 清晰地反馈对受监测中网络的运作情况，并对系统发出异常请求的数 据包进行拦截分析评估报警，同时又能排查网络发生的故障。但是, 随着虚拟化网络的发展，传统的入侵检测系统也逐渐在虚拟环境中表 现的有心无力O因此针对虚拟机的入侵检测系统是一个值得研究的课 题。关键词：虚拟化；入侵检测中图分类号：TP393. 08随着云技术的风靡与发展，传统的入侵检测系统已无法满足云环 境下基于虚拟机的服务器的安全检测工作，虚拟化的入侵检测系统已 成为大势所趋。该项目研发成功后定能满足现在云服务器的安全检测 需求，适合于保障虚拟机的安全进程。1血临难题在运用日趋平凡的今天，传统的入侵检测系统无法实现云环境下 服务器的安全检测工作。那些基于物理硬件的入侵检测设备只能防护 传统的同样是基于硬件的服务器，而对丁云服务器来说，我们只能用 虚拟入侵检测系统来防护其安全。而现在市场上已有的面向虚拟化的 入侵检测机制大概暴露出以下不足：(1) 一个虚拟入侵检测系统只能监测一台物理主机入侵检测系统只能检测到运行在同一台物理主机上的虚拟机。如 果想实现对任何物理机上的虚拟机进行监测，那势必耍在所有物理机 上配备虚拟入侵检测系统，这样会加大系统的维护难度。(2) 入侵检测系统会监测所有数据包当部署了虚拟IDS之后，所有数据包通过都会被检测一遍，这样 就必然大量占取CPU等资源，同时更是降低了虚拟网络的工作效率等 性能。(3) 虚拟IDS的崩溃会导致同一物理机下的其它虚拟机受到不 同程度的影响虚拟入侵检测系统一旦瘫痪，物理机上的虚拟网络就会随Z down 掉，给同一物理机上的虚拟机造成不可估量的损失。但是，物理机已 然正常工作，而冃能够保持与外界网络的通信。然而最大的问题是, 我们不能将受害的虚拟机从原來的物理机上移植到其他物理机上。(4) 在同一安全域的数据会被检测多次即使同一物理机上的虚拟机Z间发送的数据包均属于同一个安 全域，它们还是会被重复检测，但是这是传统入侵检测系统没有的地 方。2系统方案木系统的功能模块主要包括数据探测模块、入侵检测引擎、响应 模块和跨虚拟机的通信机制。以图1为例，如图所示为传统的虚拟网 络架构，当有操作系统请求网络数据或是遭受到不明网络攻击时，对 于其他操作系统上的网络嗅探器则无法侦测到本操作系统的动作。这 是由于物理隔离的存在。因此我们必须为我们用于测试用的实验平台 openSUSE的内核和kvm打上某种补丁从而使作为其中一台虚拟机的 入侵检测系统能够全盘检测并截获在整个网络里活动的任何一个数 据包。据我们得知，vPF_RING可以通过创建主机内核空间和来宾用 户空间Z间的映射，允许数据包按照直线路径从网卡到虚拟机上运行 的监测应用做到这一点。也就是数据包被捕获一次，并分派到各个虚 拟机。因此，我们大胆地猜测如果将pf.ring协议作为补丁引入内核 中，应该会产生不一样的效果。以网络嗅探方式启动snort并对本虚拟网络实行监听，捕获分析 分片数据包负载状况。ping请求数据包是以分片方式发送出来的， 其中数据串“15161718191A”被分割到两个数据包中单独进行发送, 接收方由TCP/IP的第三层(网络层)对分片进行重组，进而才将 “15161718191A”重组到一个数据包中。4结束语vPF_RINR技术可以通过创建主机内核空间和來宾用户空间之间 的映射，允许数据包按照直线路径从网卡到虚拟机上运行，也就是数 据包被捕获一次，并分派到各个虚拟机。从而能实现入侵检测系统能 够全盘检测并截获在整个网络里活动的任何一个数据包，真正达到监 测目的。参考文献：[ljBellard F QEMU： A Fast and Portable Dynamic Translator2012?[2] Sun Weiqing； Liang Zhenkai ； Venkatakrishnan V N One-Way Isolation： An Effective Approach for Realizing Safe Execution Environments? 2011.[3] Liang Z； Venkatakrishnan V N； Sekar R Isolated Program Execution： An Application Transparent Approach for Executing Untrusted Programs? 2009.[4] Whitaker A； Shaw M； Gribble S D Denali： Lightweight Virtual Machines for Distributed and NetworkedApplications2010.[5] Whitaker A； Shaw M； Gribble S D Denali： A Scalable Isolation Kerne1. 2009?[6] Chen P M； Noble B D When Virtual is Better Than Real. 2011.[7] Chess D M； White S R An Undetectable Computer Virus. 2007.[8] 新浪博客.http： //blog. sina. com. cn/z65c00m 小叫花子的I曲作者简介：董研(1990. 06-),男，河北人，星网络安全社成员， 本科，研究方向：网络安全；吴文康(1992. 07-)，男，广东人，七 星网络安全社成员，本科，研究方向：web开发与安全；王鹏飞 (1993. 02-),男，甘肃人，七星网络安全社成员，木科，研究方向： 网络安全。作者单位：北京信息科技大学，北京100000 关 键 词： 面向 虚拟 平台 入侵 检测 系统 研究

 天天文库所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。