虚拟机健壮入侵检测技术的研究

论文摘要

随着人们对计算机网络的依赖性不断增强，网络安全越来越受到重视。网络中的入侵行为主要是指入侵者对计算机系统资源的非授权访问，可以造成系统数据的丢失和破坏、系统拒绝服务等危害的行为。入侵已经成为网络中一个越来越严重且日益普遍的问题。由于入侵检测能有效弥补传统防御技术的缺陷，近年来得到了学术界和业界的广泛关注。而随着入侵检测系统研究和应用范围的日益广泛，也造成了对其本身攻击方法的日益成熟。当今入侵检测的体系结构迫使入侵检测系统的设计者必须做出一个艰难的选择。如果将入侵检测系统置于被监控的主机之上，它对主机应用程序中的所有事件都能检测到。另一方面，如果将入侵检测系统放置在网络中，它的抗攻击能力将会更强，但是对主机的监控能力就相对下降，攻击者比较容易绕过入侵检测系统的检测。近年来沉寂已久的虚拟机监控器又重新成为了学术研究领域的热门话题。随着虚拟机监控器在安全领域的应用，针对现存入侵检测系统存在的问题，本文提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口，在单一的硬件实体上运行多个系统实例。因为虚拟机监控器处于操作系统和硬件之间，从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置，并处于一个独立于操作系统之外的受保护的空间内，增强了入侵检测系统的独立性、健壮性和检测能力，是传统的基于主机和网络的入侵检测系统优点的完美结合。本文主要做了以下工作：1)深入分析虚拟机监控器技术；介绍了UML的特点及配置过程。提出了一种在虚拟机监控器基础上的入侵检测体系结构，并对各个功能模块作了详细说明分析。2)本文在分析基于系统调用序列入侵检测系统原理及现有系统调用序列采集方法的基础上，实现了在虚拟环境下对虚拟机上的操作系统中运行的程序所产生的系统调用序列的采集。3)通过测试，证明了虽然运行虚拟环境对系统资源造成了一定的影响，但入侵检测系统仍然可以有效地工作。通过与一般计算环境下系统资源利用率的对比，证明了本文所提出的结构模型在实际应用中的可行性。总之，本文描述了一种使用虚拟机来增强计算环境安全性的结构模型。这个想法的基本原理是通过一个位于虚拟机之外的入侵检测系统来监控虚拟机上操作系统中进程的状态。入侵检测所使用的数据由虚拟机监控器来采集并由位于物理机器上的入侵检测系统来分析。虚拟机上的进程不能够访问检测系统，入侵者也就不能对检测系统造成破坏。实验证明，这种设想是合理的，也必将为提高入侵检测系统自身的安全性做出贡献。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 课题背景

1.1.1 国内外网络安全现状

1.1.2 入侵检测技术的分类

1.1.3 本文的研究重点

1.2 本文的主要研究内容

第二章基于系统调用序列的入侵检测

2.1 基于系统调用的入侵检测

2.2 系统调用的相关理论

2.2.1 操作系统的分层与保护机制

2.2.2 Linux系统调用的实现

2.2.3 系统调用的优点

2.3 系统调用号序列的采集

2.3.1 strace

2.3.2 采用截获系统调用表的方式

2.3.3 ptrace（）

2.4 本章小结

第三章虚拟机入侵检测关键技术的原理与分析

3.1 虚拟机监控器

3.1.1 VMM发展

3.1.2 VMM在安全方面的优势

3.1.3 VMM特点

3.1.4 典型的几种虚拟机技术

3.2 用户模式 Linux

3.2.1 UML的主要特点

3.2.2 UML详细介绍

3.3 UML的安装与配置

3.3.1 UML内核的安装

3.3.2 根文件系统的配置

3.4 本章小结

第四章基于 VMM的入侵检测系统的原理

4.1 系统设计目标

4.2 设计原理

4.3 总体设计

4.4 模块设计

4.4.1 VMM接口

4.4.2 数据采集模块

4.4.3 数据分析模块

4.4.4 响应模块

4.4.5 策略模块

4.5 本系统的优点

4.6 分析

4.7 本章小结

第五章数据采集的实现及对系统资源占用的分析

5.1 数据采集的实现

5.2 虚拟环境对主机资源影响的分析

5.2.1 虚拟环境对占用 CPU时间百分比的影响

5.2.2 虚拟环境对主机内存利用率的影响

5.2.3 虚拟环境对进程执行时间的影响

5.2.4 实验结果分析

5.3 本章小结

第六章结束语

6.1 论文工作总结

6.2 后续工作的展望

参考文献

致谢

攻读学位期间发表的学术论文目录

虚拟机健壮入侵检测技术的研究

论文摘要

论文目录

相关论文文献

猜你喜欢