虛擬機(jī)健壯主機(jī)入侵檢測(cè)數(shù)據(jù)采集技術(shù)的研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的結(jié)構(gòu)變得越來越復(fù)雜，網(wǎng)絡(luò)安全也變得日益重要和復(fù)雜。一個(gè)健全的網(wǎng)絡(luò)信息系統(tǒng)安全方案應(yīng)該包括防護(hù)、檢測(cè)、反應(yīng)和恢復(fù)4個(gè)層面。目前經(jīng)常使用的安全技術(shù)，如防火墻、防病毒軟件、用戶認(rèn)證、加密等技術(shù)屬于防護(hù)層面的措施，然而，僅僅依靠防護(hù)措施來維護(hù)系統(tǒng)安全是遠(yuǎn)遠(yuǎn)不夠的。入侵檢測(cè)是一種從更深層次上進(jìn)行主動(dòng)網(wǎng)絡(luò)安全防御措施，它不僅可以通過監(jiān)測(cè)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)內(nèi)部攻擊、外部入侵和誤操作的實(shí)時(shí)保護(hù)，有效地彌補(bǔ)防火墻的不足，而且能結(jié)合

2、其他網(wǎng)絡(luò)安全產(chǎn)品，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)，具有主動(dòng)性和實(shí)時(shí)性的特點(diǎn)。
　　 傳統(tǒng)的主機(jī)入侵檢測(cè)系統(tǒng)置于被監(jiān)控的主機(jī)之上，它能檢測(cè)到主機(jī)應(yīng)用程序中的所有事件，但它的抗攻擊能力非常的弱，篡改或者偽裝都可以使入侵者成功地繞開入侵檢測(cè)系統(tǒng)。
　　 近年來沉寂已久的虛擬機(jī)監(jiān)控器又重新成為了學(xué)術(shù)研究領(lǐng)域的熱門話題。隨著虛擬機(jī)監(jiān)控器在安全領(lǐng)域的應(yīng)用，針對(duì)現(xiàn)存主機(jī)入侵檢測(cè)系統(tǒng)存在的問題，本文研究了通過虛擬機(jī)監(jiān)控器來提高主機(jī)入侵檢測(cè)系

3、統(tǒng)的健壯性。由虛擬機(jī)監(jiān)控器來虛擬硬件接口，在單一的硬件實(shí)體上運(yùn)行多個(gè)系統(tǒng)實(shí)例。因?yàn)樘摂M機(jī)監(jiān)控器處于操作系統(tǒng)和硬件之間，從而使得這個(gè)主機(jī)入侵檢測(cè)系統(tǒng)位于監(jiān)控所有對(duì)操作系統(tǒng)的入侵事件的最佳位置，并處于一個(gè)獨(dú)立于操作系統(tǒng)之外的受保護(hù)的空間內(nèi)，健壯了主機(jī)入侵檢測(cè)系統(tǒng)。本文主要做了以下工作：
　　 1)深入分析虛擬機(jī)技術(shù)的發(fā)展以及實(shí)際應(yīng)用；闡述了主機(jī)入侵檢測(cè)的關(guān)鍵技術(shù)；介紹了Xen的特點(diǎn)、核心模塊以及配置過程。提出了通過虛擬機(jī)監(jiān)控器健壯主

4、機(jī)入侵檢測(cè)，并對(duì)原理以及主要技術(shù)做了詳細(xì)說明分析。
　　 2)本文在分析基于系統(tǒng)調(diào)用序列入侵檢測(cè)系統(tǒng)原理及現(xiàn)有系統(tǒng)調(diào)用序列采集方法的基礎(chǔ)上，實(shí)現(xiàn)了在虛擬環(huán)境下對(duì)虛擬機(jī)上的操作系統(tǒng)中運(yùn)行的程序所產(chǎn)生的系統(tǒng)調(diào)用序列的采集。
　　 3)通過測(cè)試，證明了雖然運(yùn)行虛擬環(huán)境對(duì)系統(tǒng)資源造成了一定的影響，但與保證了入侵檢測(cè)系統(tǒng)安全性和較高的檢測(cè)效率相比其影響可以忽略。通過與一般計(jì)算環(huán)境下系統(tǒng)資源利用率的對(duì)比，驗(yàn)證了本文所提出的結(jié)構(gòu)模型在