虚拟机UML下的HIDS的数据采集模块的设计与实现

摘要

从60年代开始人们由于应用的需要就提出了虚拟机技术，从硬件到软件都有。随着计算机技术的飞速发展，CPU的速度越来越快，存储容量越来越大，虚拟机技术也如雨后春笋般地发展起来，许多软件虚拟化技术也不断涌现。通过给计算机增加一个软件层，将一个物理计算机的资源划分成许多虚拟的软件计算机，这些虚拟机具备一个计算机的基本功能，拥有自己的操作系统和用户空间，可以独立运行自己的应用程序。 由于通过软件而形成的虚拟机是以一个文件的形式存在于主机上，相当于主机的一个文件，所以如果虚拟机发生故障，就可以通过结束虚拟机(即关闭这个文件)或者重新启动来解决问题，而无需关闭主机，如果虚拟机被入侵，可以通过软件回放的形式，回到入侵前的状态，而无需重装系统。此外由于虚拟机具备一台物理计算机的功能，所以它可以将一台物理计算机通过划分成多个虚拟机而形成分布式结构或网络结构，为一个小型的公司或部门采用，可节省好多资源。 用户模式的虚拟机UML是一种位于主机操作系统之上的虚拟机，是一种将linux内核输出到linux操作系统上的方法，可以用于linux内核、驱动的开发和调试，也可以用作服务器提供专门的服务，或者形成局域网。 如果虚拟机联网，尽管它本身会比单独的主机上网安全很多，但是也不会避免被入侵的可能。所以寻找一种维护虚拟机网络安全的方法就显得很重要了。本文提出了一种UML下的基于主机的入侵检测方法，即主机系统调用的入侵检测方法。主机系统调用的入侵检测其实在物理计算机上已经得到很好的研究，它主要由三个模块组成，即采集系统调用号模块和数据分析模块，和报警模块，在主机上已经有了许多产品，如STIDE等。本文将这种方法移植到虚拟机上，但是传统的系统调用的入侵检测是在机器内部进行，本文将这个入侵检测系统移植到虚拟机UML的虚拟机管理器上。UML有两种模式，即TT模式和SKAS模式，本文采用更加安全和高效的SKAS模式。在SKAS模式下，UML虚拟机的管理器由两部分组成，即位于它下边的host OS和由四个进程组成的UML Arch部分，本文将分析模块和报警模块放在host OS上，以host OS的两条用户进程的形式运行，和在主机上的运行方式相同。这里的关键部分是采集系统调用号模块的设计，因为UML下的四条进程中有一条专门负责系统调的处理(通过int0x80)，故而可以修改这条进程，通过在其中增加采集系统调用号的代码来完成这个模块，这种方式既提高了数据采集速度(因为是通过修改一些内核代码)，又可以让多个虚拟机共同使用一个入侵检测系统(如果在虚拟机内部，则每个虚拟机都需要一个入侵检测系统)，另一个优点就是如果将这个入侵检测系统置于虚拟机内部，如果虚拟机被入侵，那么这个进程就可能被结束，无法继续进行数据的采集，而将这个模块置于虚拟机管理器上就不会出现这种情况。 最后，为了检验采集到的数据的正确性，本文从理论和实验两方面对其进行了验证，从理论和实验上保证了数据的正确性。 本文介绍了虚拟机的体系结构，入侵检测的发展过程，实现了UML下的数据采集模块，并分析了实验结果。

目录

文摘

英文文摘

声明

第一章绪论

1.1研究的目的和意义

1.2国内外的研究情况

1.2.1国内外虚拟机的研究情况

1.2.2国内外虚拟机入侵检测的研究

1.3本文的研究

第二章虚拟机技术

2.1虚拟化技术

2.1.1虚拟化技术的概述

2.1.2虚拟化的目的和意义

2.1.3虚拟机的特点

2.2 x86平台上的虚拟化技术

2.2.1虚拟化技术的原理

2.2.2 X86体系结构下虚拟化所面临的问题

2.3虚拟机的实现方法

2.3.1硬件仿真

2.3.2完全虚拟化

2.3.3超虚拟化

2.3.4操作系统级的虚拟化

2.3.5应用级的虚拟化

2.3.6硬件辅助的虚拟化技术

2.4虚拟机的分类

2.4.1按虚拟机的寄居架构分类

2.4.2按不同的面向对象分类

2.5本章小结

第三章网络信息安全

3.1网络信息安全概述

3.1.1网络信息安全的概念与安全威胁

3.1.2网络信息安全问题的产生原因

3.1.3网络信息安全技术与安全组件

3.2入侵检测概述

3.2.1入侵检测的模型

3.2.2入侵检测的分类

3.3本章小结

第四章基于系统调用的主机入侵检测

4.1特权进程监控

4.2系统调用

4.2.1系统调用的定义

4.2.2系统调用的执行过程

4.3系统调用号的截获方法

4.3.1用内核修改法

4.3.2 strace采集系统调用号方法

4.3.3 ptrace编程法

4.4本章小结

第五章UML下的主机系统调用的入侵检测

5.1用户模式的虚拟机UMI

5.1.1 UML的体系结构

5.1.2 UML如何处理系统调用

5.1.3 UML如何处理特权指令

5.1.4 UML的两种模式

5.2虚拟机UML上的入侵检测

5.2.1 UML上入侵检测方法的选择

5.2.2 UML上主机入侵检测的实现方法

5.3系统调用号的采集算法

5.3.1虚拟机用户进程系统调用号的采集原理

5.3.2寻找处理系统调用号的函数的方法

5.3.3普通进程系统调用号的采集算法

5.3.4特权进程系统调用号的采集

5.4编译与运行

5.5本章小结

第六章UML的HIDS的系统调用号的采集实验

6.1试验环境的选择

6.1.1关于Linux的版本

6.1.2开发工具

6.2实验环境的搭建

6.2.1 Linux内核升级需要注意事项

6.2.2虚拟机的配置

6.3 sendmail的配置

6.3.1 sendmail邮件发送服务器配置

6.3.2 sendmail邮件接收服务器POP的配置

6.3.3域名服务器的配置：

6.3.4局域网中域名服务器的配置和测试：

6.3.5 Sendmail服务器的测试

6.4数据采集

6.5数据分析

6.5.1数据正确性的理论分析

6.5.2数据正确性的实验分析

6.5.3两种数据的比较

第七章总结和展望

参考文献

附录 在虚拟机外部采集数据时的代码：

致谢

攻读学位期间发表的学术论文目录