虛擬機(jī)健壯主機(jī)入侵檢測數(shù)據(jù)采集技術(shù)的研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的結(jié)構(gòu)變得越來越復(fù)雜，網(wǎng)絡(luò)安全也變得日益重要和復(fù)雜。一個健全的網(wǎng)絡(luò)信息系統(tǒng)安全方案應(yīng)該包括防護(hù)、檢測、反應(yīng)和恢復(fù)4個層面。目前經(jīng)常使用的安全技術(shù)，如防火墻、防病毒軟件、用戶認(rèn)證、加密等技術(shù)屬于防護(hù)層面的措施，然而，僅僅依靠防護(hù)措施來維護(hù)系統(tǒng)安全是遠(yuǎn)遠(yuǎn)不夠的。入侵檢測是一種從更深層次上進(jìn)行主動網(wǎng)絡(luò)安全防御措施，它不僅可以通過監(jiān)測網(wǎng)絡(luò)實現(xiàn)對內(nèi)部攻擊、外部入侵和誤操作的實時保護(hù)，有效地彌補(bǔ)防火墻的不足，而且能結(jié)合

2、其他網(wǎng)絡(luò)安全產(chǎn)品，對網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)，具有主動性和實時性的特點。
　　 傳統(tǒng)的主機(jī)入侵檢測系統(tǒng)置于被監(jiān)控的主機(jī)之上，它能檢測到主機(jī)應(yīng)用程序中的所有事件，但它的抗攻擊能力非常的弱，篡改或者偽裝都可以使入侵者成功地繞開入侵檢測系統(tǒng)。
　　 近年來沉寂已久的虛擬機(jī)監(jiān)控器又重新成為了學(xué)術(shù)研究領(lǐng)域的熱門話題。隨著虛擬機(jī)監(jiān)控器在安全領(lǐng)域的應(yīng)用，針對現(xiàn)存主機(jī)入侵檢測系統(tǒng)存在的問題，本文研究了通過虛擬機(jī)監(jiān)控器來提高主機(jī)入侵檢測系

3、統(tǒng)的健壯性。由虛擬機(jī)監(jiān)控器來虛擬硬件接口，在單一的硬件實體上運行多個系統(tǒng)實例。因為虛擬機(jī)監(jiān)控器處于操作系統(tǒng)和硬件之間，從而使得這個主機(jī)入侵檢測系統(tǒng)位于監(jiān)控所有對操作系統(tǒng)的入侵事件的最佳位置，并處于一個獨立于操作系統(tǒng)之外的受保護(hù)的空間內(nèi)，健壯了主機(jī)入侵檢測系統(tǒng)。本文主要做了以下工作：
　　 1)深入分析虛擬機(jī)技術(shù)的發(fā)展以及實際應(yīng)用；闡述了主機(jī)入侵檢測的關(guān)鍵技術(shù)；介紹了Xen的特點、核心模塊以及配置過程。提出了通過虛擬機(jī)監(jiān)控器健壯主

4、機(jī)入侵檢測，并對原理以及主要技術(shù)做了詳細(xì)說明分析。
　　 2)本文在分析基于系統(tǒng)調(diào)用序列入侵檢測系統(tǒng)原理及現(xiàn)有系統(tǒng)調(diào)用序列采集方法的基礎(chǔ)上，實現(xiàn)了在虛擬環(huán)境下對虛擬機(jī)上的操作系統(tǒng)中運行的程序所產(chǎn)生的系統(tǒng)調(diào)用序列的采集。
　　 3)通過測試，證明了雖然運行虛擬環(huán)境對系統(tǒng)資源造成了一定的影響，但與保證了入侵檢測系統(tǒng)安全性和較高的檢測效率相比其影響可以忽略。通過與一般計算環(huán)境下系統(tǒng)資源利用率的對比，驗證了本文所提出的結(jié)構(gòu)模型在