虚拟机健壮入侵检测技术.pdf

虚拟机健壮入侵检测技术的研究摘要拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监随着人们对计算机网络的依赖性不断增强,网络安全越来越受到重视。网络中的入侵行为主要是指入侵者对计算机系统资源的非授权访问,可以造成系统数据的丢失和破坏、系统拒绝服务等危害的行为。入侵已经成为网络中一个越来越严重且日益普遍的问题。由于入侵检测能有效弥补传统防御技术的缺陷,近年来得到了学术界和业界的广泛关注。而随着入侵检测系统研究和应用范围的日益广泛,也造成了对其本身攻击方法的日益成熟。当今入侵检测的体系结构迫使入侵检测系统的设计者必须做出一个艰难的选择。如果将入侵检测系统置于被监控的主机之上,它对主机应用程序中的所有事件都能检测到。另一方面,如果将入侵检测系统放置在网络中,它的抗攻击能力将会更强,但是对主机的监控能力就相对下降,攻击者比较容易绕过入侵检测系统的检测。近年来沉寂己久的虚拟机监控器又重新成为了学术研究领域的热门话题。随着虚拟机监控器在安全领域的应用,针对现存入侵检测系统存在的问题,本文提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例。因为虚控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性、健壮性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。本文主要太原理工大学硕士研究生学位论文
做了以下工作:深入分析虚拟机监控器技术;介绍了奶氐慵芭渲霉獭L出了一种在虚拟机监控器基础上的入侵检测体系结构,并对各个功能模块作了详细说明分析。本文在分析基于系统调用序列入侵检测系统原理及现有系统调用序列采集方法的基础上,实现了在虚拟环境下对虚拟机上的操作系统中运行的程序所产生的系统调用序列的采集。通过测试,证明了虽然运行虚拟环境对系统资源造成了一定的影响,但入侵检测系统仍然可以有效地工作。通过与一般计算环境下系统资源利用率的对比,证明了本文所提出的结构模型在实际应用中的可行性。总之,本文描述了一种使用虚拟机来增强计算环境安全性的结构模型。这个想法的基本原理是通过一个位于虚拟机之外的入侵检测系统来监控虚拟机上操作系统中进程的状态。入侵检测所使用的数据由虚拟机监控器来采集并由位于物理机器上的入侵检测系统来分析。虚拟机上的进程不能够访问检测系统,入侵者也就不能对检测系统造成破坏。实验证明,这种设想是合理的,也必将为提高入侵检测系统自身的安全性做出贡献。关键词:网络安全,入侵检测,系统调用,虚拟机监控器太原理工大学硕士研究生学位论文
甒琲,,甀...,,,太原理工大学硕士研究生学位论文’甌瓸’.
.瑃..琣.,.,;瓵,,太原理工大学硕士研究生学位论文,,’.
‘痶簄甅瑆’,,甀疭瑂太原理工大学硕士研究生学位论文瓸—瑃疭甌甌痑,.,
彰廷叁卫电孟鲨郝黤螅幔甁关于学位论文使用权的说明中包括:①学校有权保管、并向有关部门送交学位论文的原件与复印独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究本人完全了解太原理工大学有关保管、使用学位论文的规定。其件;②学校可以采用影凇⑺跤』蚱渌粗剖侄胃粗撇⒈4嫜宦畚模③学校可允许学位论文被查阅或借阅;④学校可以学术交流为目的,复制赠送和交换学位论文;⑤学校可以公布学位论文的全部或部分内声本人郑重声明:所呈交的学位论文,是本人在指导教师的指导下,做出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名:容C苎宦畚脑诮饷芎笞袷卮斯娑。签名:导师签名:日期:明
第一章绪论课题背景,的地位举足轻重。它对主机或网络的运行状态进行监视,发现各种攻击和入侵的企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。当计算系统的服务遭到攻击时,虚拟机可以用来增强系统的安计算机的运行通常都离不开一个合适的操作系统,一个特定的指令集迪炙挠τ贸绦颍沧癢的机器无法直接运行挠τ贸绦颍硗络上的信息安全。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性,真实性和可控性的相关技术和理论都是网络安全的研究领域。随着网络技术的发展,网络环境变得越来越复杂,对于网络安全来说,单纯的防攻击,不能提供实时入侵检测能力,对病毒束手无策等。这种情况下,就需要提出更多,更强大的主动策略和方案来增强网络系统的安全性,其中一个有效的解决途径就是采用入侵检测技术。入侵检测系统可以弥补防火墙的不足,提供了及时的入侵检测功能及相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等,这就引发了人们对入侵检测技术的研究热情。许多工具在改进计算系统的安全性方面都有巨大的作用,这其中,入侵检测系统全性】