虛擬機UML下的HIDS的數(shù)據(jù)采集模塊的設計與實現(xiàn).pdf

1、從60年代開始人們由于應用的需要就提出了虛擬機技術，從硬件到軟件都有。隨著計算機技術的飛速發(fā)展，CPU的速度越來越快，存儲容量越來越大，虛擬機技術也如雨后春筍般地發(fā)展起來，許多軟件虛擬化技術也不斷涌現(xiàn)。通過給計算機增加一個軟件層，將一個物理計算機的資源劃分成許多虛擬的軟件計算機，這些虛擬機具備一個計算機的基本功能，擁有自己的操作系統(tǒng)和用戶空間，可以獨立運行自己的應用程序。 由于通過軟件而形成的虛擬機是以一個文件的形式存在于主機上

2、，相當于主機的一個文件，所以如果虛擬機發(fā)生故障，就可以通過結束虛擬機(即關閉這個文件)或者重新啟動來解決問題，而無需關閉主機，如果虛擬機被入侵，可以通過軟件回放的形式，回到入侵前的狀態(tài)，而無需重裝系統(tǒng)。此外由于虛擬機具備一臺物理計算機的功能，所以它可以將一臺物理計算機通過劃分成多個虛擬機而形成分布式結構或網(wǎng)絡結構，為一個小型的公司或部門采用，可節(jié)省好多資源。 用戶模式的虛擬機UML是一種位于主機操作系統(tǒng)之上的虛擬機，是一種將li

3、nux內(nèi)核輸出到linux操作系統(tǒng)上的方法，可以用于linux內(nèi)核、驅(qū)動的開發(fā)和調(diào)試，也可以用作服務器提供專門的服務，或者形成局域網(wǎng)。 如果虛擬機聯(lián)網(wǎng)，盡管它本身會比單獨的主機上網(wǎng)安全很多，但是也不會避免被入侵的可能。所以尋找一種維護虛擬機網(wǎng)絡安全的方法就顯得很重要了。本文提出了一種UML下的基于主機的入侵檢測方法，即主機系統(tǒng)調(diào)用的入侵檢測方法。主機系統(tǒng)調(diào)用的入侵檢測其實在物理計算機上已經(jīng)得到很好的研究，它主要由三個模塊組成，即

4、采集系統(tǒng)調(diào)用號模塊和數(shù)據(jù)分析模塊，和報警模塊，在主機上已經(jīng)有了許多產(chǎn)品，如STIDE等。本文將這種方法移植到虛擬機上，但是傳統(tǒng)的系統(tǒng)調(diào)用的入侵檢測是在機器內(nèi)部進行，本文將這個入侵檢測系統(tǒng)移植到虛擬機UML的虛擬機管理器上。UML有兩種模式，即TT模式和SKAS模式，本文采用更加安全和高效的SKAS模式。在SKAS模式下，UML虛擬機的管理器由兩部分組成，即位于它下邊的host OS和由四個進程組成的UML Arch部分，本文將分析模塊和

5、報警模塊放在host OS上，以host OS的兩條用戶進程的形式運行，和在主機上的運行方式相同。這里的關鍵部分是采集系統(tǒng)調(diào)用號模塊的設計，因為UML下的四條進程中有一條專門負責系統(tǒng)調(diào)的處理(通過int0x80)，故而可以修改這條進程，通過在其中增加采集系統(tǒng)調(diào)用號的代碼來完成這個模塊，這種方式既提高了數(shù)據(jù)采集速度(因為是通過修改一些內(nèi)核代碼)，又可以讓多個虛擬機共同使用一個入侵檢測系統(tǒng)(如果在虛擬機內(nèi)部，則每個虛擬機都需要一個入侵檢測系