基于虛擬機的安全監(jiān)控系統(tǒng)設計與實現(xiàn).pdf

1、互聯(lián)網(wǎng)數(shù)據(jù)量的飛速增長以及虛擬化技術的逐漸成熟使得越來越多的計算系統(tǒng)和后臺程序被部署在虛擬化環(huán)境中。虛擬化技術憑借其高效的隔離性和動態(tài)性,能夠有效的支撐龐大的互聯(lián)網(wǎng)業(yè)務。由于虛擬化技術只是將不同的虛擬子系統(tǒng)進行隔離,而單個的子系統(tǒng)和傳統(tǒng)的計算機系統(tǒng)一樣會因為暴露在網(wǎng)絡環(huán)境中而遭到攻擊者的入侵。為了在虛擬化環(huán)境中檢測黑客的入侵行為,必須要部署有效的安全監(jiān)控系統(tǒng)。傳統(tǒng)的方法是在每個虛擬子系統(tǒng)中分別部署監(jiān)控系統(tǒng),但是由于監(jiān)控系統(tǒng)本身暴露在目標

2、操作系統(tǒng)中,很容易被攻擊者攻擊或者繞過;此外,這種基于主機的監(jiān)控系統(tǒng)往往還需要修改被監(jiān)控系統(tǒng)的內(nèi)核,這樣可能會給運行在目標操作系統(tǒng)上的應用帶來不穩(wěn)定的因素。
　　本論文在保證監(jiān)控系統(tǒng)的安全性和不修改目標操作系統(tǒng)的基礎之上,設計并實現(xiàn)了一個基于Xen虛擬機的安全監(jiān)控系統(tǒng)。論文根據(jù)Xen虛擬機的特點,將安全監(jiān)控系統(tǒng)部署在虛擬環(huán)境的一個特權域上,切斷了攻擊者和監(jiān)控系統(tǒng)之間的攻擊路徑,保證監(jiān)控系統(tǒng)本身的安全性。并且,通過在特權域部署一個監(jiān)

3、控系統(tǒng),就可以對虛擬化環(huán)境中的所有子系統(tǒng)進行安全監(jiān)控,提高了監(jiān)控的可維護性和靈活性。
　　為了從不同層面保護虛擬機的安全,本系統(tǒng)通過三個功能模塊實現(xiàn)對虛擬子系統(tǒng)的監(jiān)控,包括進程監(jiān)控、文件監(jiān)控和網(wǎng)絡監(jiān)控。首先,利用虛擬機監(jiān)控器提供的特權指令接口,將虛擬子系統(tǒng)中進程結構體的虛擬地址轉換成物理機器的內(nèi)存地址,再通過迭代目標操作系統(tǒng)內(nèi)核的進程樹得到所有進程信息。其次,利用Xen虛擬機半虛擬化I/O驅動的機制,在特權域上對所有的I/O數(shù)據(jù)流