关于对基于虚拟化的安全监控探讨.docVIP

关于对基于虚拟化的安全监控探讨 　　近年来，虚拟化技术发展迅速，给安全监控的发展指明了方向，虚拟化技术可提高安全监控质量，尤其使监控工具防攻击性与有效性得以大大提高，具有广阔的发展前景。因此，加强基于虚拟化安全监控的探讨，对提高安全监控水平与质量具有重要的现实意义。本文对基于虚拟化安全监控的分类进行阐述，并对相关技术进行探讨，希望对我国基于虚拟化安全监控的发展提供参考。 　　【关键词】虚拟化 安全监控 探讨 　　在计算机及网络技术飞速发展推动下，我国虚拟化技术得到了蓬勃发展，尤其将虚拟化技术与安全监控相关技术加以有机融合，一定程度上提高了安全工具监控水平及质量，因此被广泛应用在诸多企业的生产经营活动中，提高了企业信息化水平及竞争力。 　　1 基于虚拟化的监控分类 　　基于虚拟化的监控有内部监控与外部监控之分，其中内部监控主要通过虚拟机内核模块的加载，实现对目标虚拟机内部事件的拦截，而虚拟机的管理器负责内核模块的保护。内部监控则是在虚拟机管理器中拦截虚拟机的事件，并在虚拟机外部实施检测。 　　1.1 内部监控 　　内部监控的架构为：在目标虚拟机中运行处于被监控的系统，并在隔离的虚拟域部署安全工具。在该架构中可将钩子函数部署在虚拟机中客户操作系统的任意位置，以实现对某些事件的拦截。考虑到客户操作系统具有一定的不可信性，因此需要保护这些钩子函数，即，当客户操作系统加载钩子函数时，会将其所占的内存空间告知虚拟机管理器，由内存保护模块实施保护，避免人为篡改与攻击。一旦虚拟机中有相关事件发生时，钩子函数会经由跳转模块，将事件传递给管理域中的安全驱动。同时，安全工具通过某些安全策略的执行对安全驱动进行响应，以采取相关措施。另外，为避免人为篡改与攻击，跳转模块和钩子函数均是自包含的，无法实现其他函数的调用。该种架构中对事件的截获在虚拟机中，因此可获得操作系统级语义，无需重构语义避免了性能的开销。 　　1.2 外部监控 　　外部监控发生在目标虚拟机外部，依据相关策略通过安全工具实施检测。此种监控中监控点位于虚拟机管理器中，负责发生事件的拦截。同时，完成高级语义的重构及向安全工具的传递。安全工具依据产生的响应，借助监控点对目标虚拟机进行控制。虚拟机管理器将目标虚拟机和安全工具隔开，使安全工具的安全性得以较大提高。同时，考虑到虚拟管理器处于目标虚拟器底端，因此，监控点能够观测到目标虚拟机的内存页面、CPU信息等一些信息。在虚拟管理器辅助下，安全工具实现对目标虚拟机的检测。通常情况下，外部监控包括语义重构与事件截获两项功能，其中事件截获对虚拟机中发生的事件进行拦截，而后通过安全工具对其进行检测。但虚拟管理器仅能实现低级语义的获取，而监控工具为针对操作系统层面的语义之间有语义鸿沟，因此，为了使监控工具更好的对发生的事件加以理解，需对语义进行重构。 　　2 基于虚拟化的安全监控 　　安全监控的目的在于及时发现操作系统中存在的恶意攻击等不良行为，确保计算机系统的安全运行，接下来从入侵检测、系统日志、恶意代码检测和分析三个方面探讨基于虚拟化安全监控。 　　2.1 入侵检测 　　入侵检测系统主要发现未经授权的破坏、处理信息以及信息存取等行为的安全工具，一定程度上提高了计算机系统的安全性，但也存在一些弊端。例如，当在主机上部署入侵检测系统时，其能方便的观察到主机系统状况，不过被屏蔽、恶意攻击的机率大大增加。当在网络上部署入侵检测系统时其能较好的对攻击行为进行防御，不过无法获得主机的内部状况，攻击者能轻易逃脱。 　　为防止上述问题的出现，相关专家提出基于虚拟化的入侵检测系统，实现与被监控系统的隔离。虚拟机管理器可方便的掌握被监控系统的内部情况，通过对其内存的直接访问实现操作系统内核数据结构的重构，利用单独的入侵检测系统实现检测。而且通过对VMware Workstation的修改可实现抵御攻击，避免攻击者逃脱。 　　2.2 系统日志 　　系统日志可监视并记录系统发生的事件，给系统管理员分析错误原因提供依据。但就目前开看系统日志并不完善。表现在：系统日志应保证完整，未被破坏，如果攻击者对系统日志造成了破坏，就无法获得准确的日志信息；无法对非确定事件进行重放，增加了系统管理员工作难度。为此，在虚拟机管理器中，实现客户操作系统在系统日志中的记录，用于专门记录一些非确定事件，为分析攻击行为提供参考。另外，通过系统重放或操作系统中系统调用，可实现入侵发生序列的自动定位。这些方法通过某个检查点对系统回访实现攻击行为的重现，而将通过内存机制，将日志信息传输相对安全的隔离区，可躲避攻击者嗅探，而且大大提高了日志传输效率。 　　2.3 恶意代码分析和检测 　　恶意代码是一种较为隐蔽的依据攻击者意图运行的程序，通常不易发现。当在被监控系统中