面向虚拟化平台的入侵检测系统的研究.docVIP

面向虚拟化平台的入侵检测系统的研究 摘 要：在当今虚拟网络中，传统的入侵检测系统明显表现出不适应性。虽然它能够向被监测中的活动主机给予很好的安全保护，清晰地反馈对受监测中网络的运作情况，并对系统发出异常请求的数据包进行拦截分析评估报警，同时又能排查网络发生的故障。但是，随着虚拟化网络的发展，传统的入侵检测系统也逐渐在虚拟环境中表现的有心无力。因此针对虚拟机的入侵检测系统是一个值得研究的课题。 关键词：虚拟化；入侵检测 中图分类号：TP393.08 随着云技术的风靡与发展，传统的入侵检测系统已无法满足云环境下基于虚拟机的服务器的安全检测工作，虚拟化的入侵检测系统已成为大势所趋。该项目研发成功后定能满足现在云服务器的安全检测需求，适合于保障虚拟机的安全进程。 1 面临难题 在运用日趋平凡的今天，传统的入侵检测系统无法实现云环境下服务器的安全检测工作。那些基于物理硬件的入侵检测设备只能防护传统的同样是基于硬件的服务器，而对于云服务器来说，我们只能用虚拟入侵检测系统来防护其安全。而现在市场上已有的面向虚拟化的入侵检测机制大概暴露出以下不足： （1）一个虚拟入侵检测系统只能监测一台物理主机 入侵检测系统只能检测到运行在同一台物理主机上的虚拟机。如果想实现对任何物理机上的虚拟机进行监测，那势必要在所有物理机上配备虚拟入侵检测系统，这样会加大系统的维护难度。 （2）入侵检测系统会监测所有数据包 当部署了虚拟IDS之后，所有数据包通过都会被检测一遍，这样就必然大量占取CPU等资源，同时更是降低了虚拟网络的工作效率等性能。 （3）虚拟IDS的崩溃会导致同一物理机下的其它虚拟机受到不同程度的影响 虚拟入侵检测系统一旦瘫痪，物理机上的虚拟网络就会随之down掉，给同一物理机上的虚拟机造成不可估量的损失。但是，物理机已然正常工作，而且能够保持与外界网络的通信。然而最大的问题是，我们不能将受害的虚拟机从原来的物理机上移植到其他物理机上。 （4）在同一安全域的数据会被检测多次 即使同一物理机上的虚拟机之间发送的数据包均属于同一个安全域，它们还是会被重复检测，但是这是传统入侵检测系统没有的地方。 2 系统方案 本系统的功能模块主要包括数据探测模块、入侵检测引擎、响应模块和跨虚拟机的通信机制。以图1为例，如图所示为传统的虚拟网络架构，当有操作系统请求网络数据或是遭受到不明网络攻击时，对于其他操作系统上的网络嗅探器则无法侦测到本操作系统的动作。这是由于物理隔离的存在。因此我们必须为我们用于测试用的实验平台openSUSE的内核和kvm打上某种补丁从而使作为其中一台虚拟机的入侵检测系统能够全盘检测并截获在整个网络里活动的任何一个数据包。据我们得知，vPF_RING可以通过创建主机内核空间和来宾用户空间之间的映射，允许数据包按照直线路径从网卡到虚拟机上运行的监测应用做到这一点。也就是数据包被捕获一次，并分派到各个虚拟机。因此，我们大胆地猜测如果将pf_ring协议作为补丁引入内核中，应该会产生不一样的效果。 以网络嗅探方式启动snort并对本虚拟网络实行监听，捕获分析分片数据包负载状况。ping请求数据包是以分片方式发送出来的，其中数据串“1座机电话号码91A”被分割到两个数据包中单独进行发送，接收方由TCP/IP的第三层（网络层）对分片进行重组，进而才将“1座机电话号码91A”重组到一个数据包中。 4 结束语 vPF_RINR技术可以通过创建主机内核空间和来宾用户空间之间的映射，允许数据包按照直线路径从网卡到虚拟机上运行，也就是数据包被捕获一次，并分派到各个虚拟机。从而能实现入侵检测系统能够全盘检测并截获在整个网络里活动的任何一个数据包，真正达到监测目的。 参考文献： [1]Bellard F QEMU：A Fast and Portable Dynamic Translator2012. [2]Sun Weiqing；Liang Zhenkai；Venkatakrishnan V N One-Way Isolation：An Effective Approach for Realizing Safe Execution Environments.2011. [3]Liang Z；Venkatakrishnan V N；Sekar R Isolated Program Execution：An Application Transparent Approach for Executing Untrusted Programs.2009. [4]Whitaker A；Shaw M；Gribble S D Denali：Lightweight Virtual Machines for Distributed and NetworkedApplications2010.