虚拟化条件下的入侵检测系统.docVIP

虚拟化条件下的入侵检测系统 　　摘要：云计算使得计算机领域发生了深刻的变革，它虽然提高了使用效率，但是在用户信息资产安全与隐私保护方面却存在的一定的问题。因此安全成为云计算领域急需突破的重要问题。现阶段云计算安全方向的研究主要分为内部监控和外部监控两个方面。该文采用外部监控中的入侵检测对虚拟机进行保护。传统的入侵检测系统作为一种被动的监控，而且部署都面临两难的窘境，部署在虚拟机内部则容易被攻破，部署在网络中则存在语义鸿沟无法精确捕获。在虚拟化平台下，所有的虚拟机均是通过虚拟机监控器发送请求完成相应操作命令。因此该文将入侵检测系统部署在虚拟机监控器内部，同时加入学习模块加缩短入侵检测的响应时间，达到对虚拟机保护的目的。 　　关键词：云计算；入侵检测系统；外部监控 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）30-0010-03 　　虚拟化技术（virtualization） 改变了底层硬件与系统软件紧耦合的方式，能够更加灵活地配置与管理计算系统，因此在企业中得到了广泛的应用。随着互联网经济时代的到来，大数据、云计算成为当前最常接触的内容，通过虚拟化技术来实现各种资源的合理配置与使用成为各个企业或者是用户所求之处。因而，虚拟化技术在未来企业信息平台的构建之中具有广阔的应用价值。在当前虚拟化技术根据虚拟层次的差异，被分为指令级虚拟化、硬件抽象级虚拟化、操作系统级虚拟化、运行库级虚拟化和编程语言级虚拟化。在各个虚拟环境下运行的操作系统及应用程序被称之为虚拟机，而能够为数量众多的虚拟机运转使用的虚拟化软件称之为虚拟机管理器。 　　绝大多数云平台均是建立在虚拟化环境上，而且许多商家已经提供云服务，因此如何解决虚拟化层中的安全问题变得尤为重要。下面我们分析造成这个安全问题的来源，虚拟化平台的安全问题可能来自于四个方面：一是同一平台下相互之间具有竞争的关系的企业为获取对方信息做出的信息窃取，二是来自网络的入侵攻击，三是虚拟层管理员为获取用户信息做出的信息窃取，最后是本身系统内层泄漏导致用户数据泄密。本文只探讨如何解决前面两种安全问题，因为虚拟层管理员对用户信息做出的篡改这可根据其企业的制度来处理，平台的好坏由市场来决定，用户对其自行选择。 　　从目前来看，在虚拟机架构基础上增强安全工具的安全性研究，例如系统日志、入侵检测、完整性监控、恶意代码检测与分析、监控通用性和安全监控架构等已经成为时下研究的重点。 　　1 基于虚拟化安全监控条件下的分类 　　由于虚拟机管理器具有更好的隔离性等优势，因此近几年来基于虚拟机的安全监控都是利用虚拟机管理器来保护特定的安全工具并进行隔离。因此基于虚拟化安全监控的相关研究工作从安全监控实现技术的角度来看可以分为两大类： 　　1）内部监控 　　内部监控主要是在虚拟机使用过程中通过内核模块的加载来拦截系统主机所受到的外部入侵行为，并通过虚拟机管理器对内核模块的安全进行保护。 　　在该监控类型下，所有的安全防护软件或工具都将被统一部署在被虚拟隔离出来的空间。而采取此种架构形式则能够实现入侵检测系统防护的虚拟机正常运转的操作系统中任意位置植入钩子函数，继而发挥出相应的拦截作用。而其拦截的对象在当前可以包括操作进程的创建、内部重要文件的读写与修改等。此外，由于目标虚拟机的使用者所使用的操作系统可信度并不是很高，因而植入的钩子函数同样需要入侵检测系统的保护，在虚拟机运行该函数时，将相应的信息反馈到入侵检测系统，开辟出相应的存储空间来为其运行提供必要空间支持，并且加以保护，防止该函数被恶意篡改。钩子函数在被启动运行之后，在探测到目标虚拟主机之中不良事件发生时，将会自动嵌入到虚拟主机管理器之中，利用跳转模块来将该不良事件转移至安全的空间后进行驱动，之后利用操作系统之中所加载的安全防护工具或软件对其进行评估与分析，针对入侵行为所产生的不良事件做出动态反应。 　　采用此架构能够辅助目标虚拟主机在运行过程中实现不良事件的拦截目的，在获取系统相应的操作指令后不需要系统管理员再次对其操作指令进行重新编写即可以直接运行，降低了安全防护性能方面的不必要费用支出。尽管此架构具有较高的应用价值，但是由于该架构直接植入在了目标虚拟主机所使用的操作系统内核模块之中，同时内存保护以及跳转两个模块是独立运行，对于目标虚拟主机而言其透明性以及通用性在当前仍然处于较低水平，影响其推广使用。 　　2）外部监控 　　外部监控是在虚拟机管理器中对虚拟机中的事件进行拦截，以此为基础在虚拟机外部由位于安全域的安全工具按照某种策略对其进行检测。 　　和内部监控不同，外部监控具有一定的优势。其监控点部署在虚拟机管理器中，是目标虚拟机和安全域中的安全工具进行通信的桥梁。通过监控点拦截目标虚拟机中发