虚拟机环境中基于用户异常等级的入侵检测技术研究

摘要

云计算作为一种新兴的商业模式,通过Internet以按需服务的形式为用户提供服务,这种开放的模式在方便用户访问的同时,也带来了潜在的安全威胁,其中大多数威胁都来自用户终端。虚拟机系统作为云计算的底层架构,保障虚拟机的安全是云计算的基础。在虚拟机环境下的网络入侵检测系统是重要的虚拟机运行安全保障机制。
　　利用虚拟机管理器(Virtual Machine Manager,简称VMM)负责管理和调度多个客户操作系统对底层单一物理资源的共享,这种体系结构的改变使传统入侵检测系统对云计算环境具有一定的不适合性。面向虚拟机的网络入侵检测系统需要针对虚拟机的隔离性和服务的多样性,提供不同等级的安全保护。
　　鉴于终端用户的可信性对虚拟机可信性的影响,本文利用动态的行为可信性机制和社会信任的思想,设计了一种基于滑动窗口的用户行为评估模型(User Behavior Assessment Model Based on Sliding Window,简称UBAMSW),为动态配置虚拟机的防护等级提供基础。在该评估模型中,首先通过考察终端用户的直接行为证据,用量化的行为证据来处理不确定的、模糊的用户可信评估问题;其次,通过对窗口大小、记录滑动条件、不信记录和过期信任记录在窗口内的更新和替换来保障用户异常等级评估的可信性;第三,采用双滑动窗口机制,通过小窗口控制防止用户的信任欺骗,通过大窗口控制保证评估的扩展性。对 UBAMSW模型的有效性和抗攻击能力进行了分析和实验验证,结果表明,该评估模型能够有效地应用于虚拟化环境。
　　为实现根据用户异常等级为虚拟机提供不同的等级防御策略,在入侵检测系统设计中采用了分域动态规则链技术,研究了基于集中配置和分域配置相结合的方式。集中配置采用通用的安全策略,保证整个系统安全级别不至于太低;分域配置满足服务多样性需求,针对用户需求或用户的异常等级来为虚拟机提供不同级别的安全保护。同时,针对入侵检测引擎的性能问题,利用数据缓存技术和动态加权轮转调度策略(Dynamic Weighted Rotation Scheduling Strategy,简称DWRSS)提供负载平衡能力。
　　最后,在开源的网络入侵检测系统 Snort上进行原型研究,从系统的抓包率、不同防御等级事件处理效率、检测率和漏报率等方面验证效果。测试结果表明工作成果基本达到了系统的设计目标,能适应虚拟机系统中各个虚拟机的动态部署和撤销,并支持为不同的虚拟机提供不同的入侵检测配置能力。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景

1.2 研究意义和主要内容

1.3 论文的组织结构

第二章 面向虚拟机的入侵检测系统和技术研究概述

2.1 传统的入侵检测

2.2 面向虚拟机的可信计算

2.3 面向虚拟机的入侵检测

2.4 信任评估机制

2.5 本章小结

第三章 基于滑动窗口的用户异常等级评估模型

3.1多安全等级的虚拟机入侵检测框架

3.2用户异常等级评估模型

3.3 实验及分析

3.4 本章小结

第四章 面向安全等级的虚拟机入侵检测实现方案研究

4.1 Snort规则分析

4.2 Snort规则解析过程

4.3 分域动态规则链的实现机制

4.4 基于WRR的入侵检测引擎调度策略

4.3 本章小结

第五章 原型测试及分析

5.1 测试环境

5.2 实验分析

5.3本章小结

第六章 结束语

6.1 本文工作总结

6.2 工作展望

参考文献

致谢