（计算机应用技术专业论文）虚拟机健壮日志安全研究.pdf

太原理工大学硕士研究生学位论文 虚拟机健壮日志安全研究 摘要 随着人们对计算机网络的依赖性不断增强，网络安全越来越受到重 视。计算机系统目志主要提供系统和网络状态的信息报告，网络中的入侵 者逶过删除、篡改系统日志来销毁被攻击系统上的操作记录，躲避系统管 理员和专业人员的追踪、审计和取证，因此，系统嚣志的安全直接关系到 计算机系统的安全。 为了解决系统日志的安全问题，通常的解决方法是：在被保护系统之 外的机器上对系统日志进行实时备份。当前，存在很多备份系统日志的方 法，但是都有一些不足之处：或是造成了资源浪费，或是降低了日志备份 过程的安全性。 。 近年来，虚拟机技术成为了学术研究领域的一个热门话题参随着虚拟 机技术在网络安全领域的应用，针对现有的系统日志备份方法存在的问 题，本文提出了一个运行于虚拟机之上的日志实时备份体系。由虚拟机监 控器来虚拟硬件接口，在单一的硬件资源上运行多个系统实例，遥过系统 实例之间的共享内存传输系统日志，完全避免了豳志数据在传输过程中被 暴露在网络上的危险，增强了系统日志的安全性，并且节约了大量的硬件 资源。本文主要做了以下几个方面的工作： 1 ) 深入分析了虚拟机技术的发展、现状、实际应用以及虚拟机技术 的分类；阐述了l i n u x 系统目志技术及s y s l o g 技术；介绍了x e n 的特点、 配置过程以及基于x e n 的各系统实例之间的通信原理拳提出了种在虚拟 机监控器基础上的日志实时备份体系，并对各个功能模块，乍了详细的说明 分析。 2 ) 本文分析了基于x e n 虚拟机的系统实例间信息交互的基本原理以 及详细介绍了x e n 的体系架构，在此基础上实现了遥过系统实例之闻的共 享内存实时备份系统日志。 3 ) 通过测试，证明了本文提出的日志实时备份体系虽然对系统的资 源造成了一定的影响，与保证了系统日志较高的安全性和较高的日志实时 备份效率相比其影响可以忽略；通过与一般计算环境下系统资源利用率的 对比，证明了本文所提出的结构模型在实际应用中的可行性。 太原理工大学硕士研究生学位论文 另外，本文还对l i n u x 系统中的守护进程技术进行了深入的研究，并 且通过一个自己编写的守护进程保证了系统日志采集及传输过程中的实时 性。 总之，本文描述了一种使用虚拟机来提高计算机系统日志安全的结构 模型，其基本原理是通过运行在虚拟机上的不同的系统实例之间的共享内 存传输日志数据，并且利用虚拟机监控器接口保证了日志数据传输的同步 性和实时性。实验证明，这种方法是合理的，也必将为系统日志备份的安 全性做出贡献。 关键词：网络安全，虚拟机监控器，系统日志，实时备份 太原理工大学硕士研究生学位论文 s t r o n gs y s t e ml o gs e c u l u t yb a s e do n r t u a lm a c m n e a b s t r a c t a sp e o p l ea r em o r ea n dm o r ed e p e n d i n go nc o m p u t e rn e t w o r k , n e t w o r k s e c u r i t yi sb e c o m i n gd r a m a t i c a l l yi m p o r t a n t c o m p u t e rs y s t e m sl o gd a t am i g h t h a v ei m p o r t a n ti n f o r m a t i o na b o u tt h es y s t e ma n dn e t w o r k ss t a t e s o n c et h e a t t a c k e rs u c c e s s f u l l yp e n e t r a t e sap r o t e c t e ds y s t e m , h 1o r d e rt oe v a d et h et r a c i n g ， a u d i t i n ga n do b t a i n i n ge v i d e n c ef r o ma d m i n i s t r a t o r sa n dp r o f e s s i o n a l ，h e s h e n e v e rf a i l st om o d i f yt h el o gd a t a , o re v e nw o r s e ，d e l e t e st h e m t h e r e f o r e ，t h e s e c u r i t yo fs y s t e ml o gd a t ai sd i r e c t l yr e l a t e dt ot h es e c u r i t yo fc o m p u t e rs y s t e m t oa v o i ds u c had i s a s t e r , i ti sc o m m o na n db e s tt ok e 印l o gd a t ai na n o t h e r m a c h i n eb yf o r w a r d i n gt h e mt oac e n t r a ll o gs e r v e r c u r r e n t l y , t h e r ea 聆 a p p r o a c h e st os e c u r et h el o gd a t a u n f 龇a t e t y , t 1 1 e ya l lh a v eu n p l e a s a n tf l a w s ： al a r g ea m o u n to fh a r d w a r er e s o u r c e si sw a s t e do rt h el o gd a t ac o u l db es e c r e t l y 嘶毹d r e c e n t l y , v m u a lm a c h i n em o n i t o r i sb e c o m i n gah o t t o p i c 砸a c a d e m i c a n d r e s e a r c ha l e a a tt h es a m et i m e ，w i t ht h ed e v e l o p m e n to ft h ea p p l i c a t i o no f v m mi nt h es e c u r i t ya r e a , 证o r d e rt or e s o l v et h ep r o b l e m sm e n t i o n e da b o v e ， t h i sr e s e a r c he x p l o r e st h ei m p l e m e n t a t i o no fav i r t u a lm a c h i n em o n i t o rb a s e d l o gd a t ar e a lt i m ec o p yi nw h i c ht h ev i r t u a lm a c h i n em o n f t o rv i r t u a l i z e dt h e h a r d w a r ei n t e r f a c e ，a n dc a nb eu s e dt or u nm u l t i p l eo p e r a t h a gs y s t e mi n s t a n c e s o nas i n g l ei n s t a n c eo fh a r d w a r e a l lt h el o gd a t ac a nb es e n tt oc e n t r a ll o g s e r v e rv i aas h a r e dm e m o r ya m o n gi n s t a n c e s ，t h u sn ow h a t s o e v e rd a t an e e d st o g e tt h r o u g ht h en e t w o r ks t a c k ，a n da l lt h ec o m p o n e n t ，i n c l u d i n gt h ed a t as o u r c e ， d a t at a r g e ta n de v e nd a t at r a f f i cd on o tn e e dt oe x p o s et ot h en e t w o r ks t a c k t h i s s o l u t i o ni sa b l et os e c u r et h el o gd a t aa n ds a v e al a r g em o u n to fh a r d w a r e r e s o u r c e s t h e r ea r et h r e ea s p e c t so fo u rm a i nr e s e a r c hw o r k ： 1 a tf i r s t ，t h i sp a p e rd e e p l ya n a l y s i st h ed e v e l o p m e n ts t a t u s ，p r a c t i c a l a p p l i c a t i o n s a n dc l a s s i f i c a t i o no fv i r t u a lm a c h i n et e c h i n i q u e s e c o n d l y , i t i i i e x p a t i a t e so nl o gt e c h n o l o g yo fl i n u xa n ds y s l o gt e c h n o l o g yi nd e t a i l a n dt h e n i ti n t r o d u c e st h ec h a r a c t e r i s t i c sa n dc o n f i g u r a t i o no fx e n a n dc o n u n u i l i c 撕o n s p r i n c i p l ea m o n gi n s t a n c e sb a s e do nx e nv i r t u a lm a c h i n e t h e nad e s i g ns c h e m e o fav i r t u a lm a c h i n em o n i t o rb a s e dl o gd a t ar e a lt i m ec o p ya r c h i t e c t u r e ，a l lt h e s y s t e mm o d u l e sa n dt h e i rf u n c t i o ni m p l e m e n t a t i o na r ei n t r o d u c e d 2 t h i sp a p e ra n a l y i st h eb a s i cc o m m u n i c a t i o n sp r i n c i p l ea m o n g i n s t a n c e s b a s e do nx e nv i r t u a lm a c h i n e ，i n t r o d u c e st h ex e nv i r t u a lm a c h i i l e 锄c h i t e c t 啪 m d e t a i l ，a n ds u c c e s s f u l l yi m p l e m e n t st h el o gd a t ar e a lt i m ec o p ya r c h i t e c t u r e b a s e do nx e nv i r t u a lm a c h i n e 3 t h ea r c h i t e c t u r e v a l i d i t yi sp r o v e dt h r o u g hs y s t e mt e s t i n g a l t h o u g h t h i sa r c h i t e c t u r ea f f e c t ss y s t e mh a r d w a r er e s o u r c ei ns o m e s o r t , t h i s 砌i t e c 咖 i sm o r es e c u r e ，e f f e c t i v ea n d r e l i a b l e m o r e o v e r , c o m p a r e dt on o r m a lc o m p u t i n g s y s t e m i ns y s t e mr e s o u r c e so c c u p a n c yr a t e ，i ti sp r o v e dt h a tt h i sa r c h i t e c t i l r ei s f a rs u p e r i o rt ot h o s ei nm e n o r m a le n v i r o m e n t i na d d i t i o n ，t h i sp a p e ra l s od o e sr e s e a r c h e si nd e p t hd a e m o n t e c h n 0 1 0 9 y u n d e rl i n u xs y s t e m ，a n de n s u r e st h eg a t h e r i n ga n d t r a n s m i t t i n go fl o gd a t aa ta 1 1 i g hr e a l t i m ep e r f o r m a n c e i naw o r d ，t h i sp a p e rd e s c r i b e sa p r o p o s a lt oi n c r e a s et h es e c u r i t yo fs y s t e m l o gd a t au s i n gv i r t u a lm a c h i n em o n i t o r t h eb a s i cp r i n c i p l ei st r a n s m i t t i n gl o g d a t at h r o u g hs h a r em e m o r y a m o n gd i f f e r e n ti n s t a n c e sr u n n i n go nt h ex e nv i r t u a l m a c h i n e ，a n dt a k ea d v a n t a g eo fv i r t u a lm a c h i n em o n i t o ri n t e r f a c ee n s u r es y s t e m l o gd a t at r a n s m i t t i n gp r o c e d u r eh a st h e h i g hr e a l t i m ea n ds y n c h r o n i s m e x p e r i m e n t a lr e s u l t sp r o v et h a tt h i sa p p r o a c hi sr e a s o n a b l ea n dw i l lc o n 仃i b u t e t ot h ei m p r o v e m e n to f l o gd a t ab a c k u p ss e c u r i t y k e yw o r d s ：n e t w o r k s e c u r i t y , r e a l t i m ec o p y v i r t u a lm a c h i n e m o n i t o r , s y s t e ml o g ， i v 声明尸明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名：童壁日期： 鲥f 肜 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定，其 中包括：学校有权保管、并向有关部门送交学位论文的原件与复印 件；学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；。学校可以学术交流为目的， 复制赠送和交换学位论文；学校可以公布学位论文的全部或部分内 容( 保密学位论文在解密后遵守此规定) 。 j 签日期： 导师签名：彰垫叁 1 3 , 辫1 ： 试ts | s 函帆焉r 1 伊 太原理工大学硕士研究生学位论文 1 1 课题背景 第一章绪论 随着人们对软彳牛兼容性和可移植性的需求剧增，虚拟机( v t r t ：l l a lm a c h i n e , v m ) 逐 渐成为计算机世界一个非常重要的概念。随着计算机网络的迅猛发展，人们希望能够 像移植数据一样方便的在网络中移植应用程序，但是在一个大型网络中往往包含基于 各种可移植性差的操作系统的计算机，于是导致了软件可移植性的矛盾的激化。而虚 拟枫概念的引入就缓解了这种局限性，并且提供7 更高程度的可移植性和灵活性。简 单的讲，虚拟机的实现就是通过在硬件执行平螽上加一层软件，使它看起来像另一个 不同的平台，或者多个平台。 虚拟计算机的概念最早由m m 公司在上世纪六七十年代提出，并将其运用于 v m 3 7 0 系统中瑟l 。之后的发展起起伏伏，一度由于分时操作系统的出现而处于停滞状 态r 上世纪九十年代随着j a v a 虚拟枫的推出，尤其是之薏v m w a r e 公司v v 1 w a r ee s x s e r v e r 和v m w a r ew o r k s t a t i o n 虚拟机的推出，使对虚拟机技术的研究再次成为处理器设 计入员、软件设计人员、服务器设计人员和网络安全设计人员的热门研究课题。 虚拟机技术使得一台物理计算机可以生成多个不同的虚拟机分别运行不同或相同 的操作系统，逶过将不同的应用程序运行在不阕的虚拟橇上，可以将不同应用程序完 全隔离圆。虚拟机良好的隰离性以及对资源的高度整会性，使褥其在如今互联网高速发 展的背景下有着广阔的前景和应用空间。美国华尔街因报将虚拟机技术评为2 0 0 4 年全 球技术创新奖中软件类第二名。 1 1 1 国内外网络安全现状 网络安全是一门涉及计算机科学、溺络技术、密码技术、通信技术、信息安全技 术、应用数学、信息论、数论等多种学科的综合性学科。网络安全是指嬲络系统的硬 件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、泄露、 更改，系统连续可靠地正常运行，网络服务不中断。网络安全从其本质上来说就是网 络上的信息安全。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用 性、真实性和可控性的相关技术和理论都是瘸络安全的研究领域。 目前的操作系统对于系统目志的安全保护级是很脆弱的。酋先，系统对于系统豳 太原理工大学硕士研究生学位论文 志的默认管理是不严谨的，任何有管理员权限的人都可以轻易地对系统日志进行读写 操作。其次，一部分系统即便采用了一些针对系统日志的安全工具，但是这些保护并 不完整，而且大多数保护方法是比较陈旧的。最后，系统本身的安全漏洞可以直接威 胁系统日志的安全。此外，从图1 1 所示入侵步骤可以看出：一旦完成了前两步，后 面的入侵操作是很容易操作的，结果是系统无法恢复对于入侵过程的记录和审计，从 而难以对入侵犯罪行为进行指证。因此，目前对于系统日志的安全保护的重点在于： 对新生成的日志数据进行安全的实时备份。 进入系统 上 提升权限 上 放置后门 上 清理日志 1 1 2 研究虚拟机技术的意义 图1 1 入侵步骤 f i g 1 - 1i n t r u s i o np r o c e s s 研究虚拟机技术的意义主要有两点： 一 1 ) 虚拟机可以增加操作系统的安全可靠性，相当于又增加了一个系统运行级别， 如果将程序运行其上，则可通过它来获得对程序指令执行过程的完全控制，这也正是 目前比较流行的虚拟执行技术。这一技术目前主要被应用于系统仿真、系统测试以及 反病毒等领域。 2 ) 虚拟机让计算机程序可以在不同的操作系统之间复用，即实现程序的跨平台特 性，同时由于虚拟机的隔离作用，也使得基于虚拟机之上的应用程序变得更安全。 从课题的背景来看，虚拟机技术已经得到了广泛地研究和应用，但是据作者本人 所知，国内的科研机构或公司对这一技术的研究并不是很多，更不用说开发类似 v m w a r c 等商业虚拟机软件了。在本文中，作者将以x e n 虚拟机为主要研究对象，比 2 太原理工大学硕士研究生学位论文 较深入地分析和研究其一些关键技术，并将其利用在网络安全领域。 l 。2 本文的主要研究内容 目前，各种入侵检测系统被广泛应用于检测系统的安全，但是仍旧弯一些看似固 若金汤的系统很容易的被入侵者非法侵入，一旦入侵者非法的侵入到系统之后会在系 统中安装木马等危险程序来窃取信息。为了掩盖其踪迹，入侵者在离开系统之前会对 记录其踪迹的系统日志进行修改或者删除。因此，系统日志的备份对于系统安全分析 就曼的异常重要。 当前备份系统墨志的方法很多，但是都有一些不足之处：薹) 为了防止系统露志被 修改或者删除，将系统日志保存在光盘等存储设备中，但是这要花费大量的存储设 备，造成了资源浪费；2 ) 通过加密技术对系统日志进行加密，使入侵者无法修改日志 的内容，但是对于无法修改的日志，入侵者会将其删除；3 ) 通过网络将日志备份在远 程主枧之上，这也是当前比较流行的一种目志备份的方法。但是，入侵者同样可以利 用。! c p d u m p m 来获取在网络上传输的数据，露且备份系统嚣恚的远程主概同样容易受到 攻击。 考虑到x e n 半虚拟化虚拟机的高性能，以及其开放源代码的巨大发展潜力，本文 采用x e n 作为系统平台，对基于x e n 的虚拟机实例之间的通信以及共享数据的交换进 行了深入研究，并在此基础上提出了一个基于x e n 靛酲志实时备份体系结构，克服了 以上所述的传统的日志备份方法的缺点。 1 3 论文结构 本文详细论述了虚拟梳的相关技术以及l i n u x 下日志数据的采集技术，并在详细 分析7 现有的吕志数据备份方法的缺点的基础上，提出了基于x e n 的系统嚣志数据的 实时备份的总体设计方案。利用x e n 提供的v m m 接口技术，实现了旦志数据的安全 备份，并且通过实验验证配置该虚拟环境对于物理主机的影响很小，以及具有较高的 效率和安全性。 其体各章节的安排介绍如下： 第一章介绍课题研究的背景、意义以及主要的研究内容。 第二章介绍了虚拟化技术的种类、发展及应用，并且详细论述了墨志对子操作系 统的重要性和l i n u x 中日志数据采集技术。 第三章详细介绍了虚拟机监控器关键技术以及本体系结构所用到的虚拟机x e n 3 太原理工大学硕士研究生学位论文 的定义、优势及安装过程和引导过程。 第四章在分析了x e n 的接口技术之上，设计了基于x e n 的日志数据实时备份的模 型，并对模型的各个模块作了详细的描述及实现方式。 第五章通过对主机资源占用率的测试、安全性的分析以及传输日志数据所用时间 的测试，证明了本体系结构可以有效地工作，并且具有很高的效率。 最后，第六章对全文进行概括性的总结，提出了未解决的问题以及今后要做的工 作重点。 4 太原理工大学硕士研究生学位论文 第二章虚拟化技术及l i n u x 翟志机制 2 1 虚拟化技术介绍 虚拟化技术可以提供一种完全模拟硬件环境的应用环境，让使用虚拟枕的操作系 统认为自己是直接运行在硬件之上。为了避免混淆，虚拟机监控器( v i r t u a lm a c h i n e m o n i t o r , v 仆厦) 运行于其上的操作系统叫做宿主操作系统( h o s to s ) ，运行在虚拟机 上的操作系统称为客户操作系统( g u e s to s ) 。虚拟机监控器是一个软件组件层，用 来分配资源，从而让多个客户操作系统能够同时利用所有资源。虚拟机监控器起的作 用就是提供一种抽象，可以使褥多个虚拟实例运行在一个硬件平台上。图2 - l 是一般 情况下的虚拟机体系结构图。 v i r t u a lm a c h i n em o n i t o r ( v 蒯) h a r d w a r e h o s t 锵 图2 - 1 虚拗机体系结构图 f i g 2 1a r c h i t c c r t r eo fac o m p u t e rs y s t e mw i t h 、m 虚拟机监控器除了提供虚拟c p u 的功能，还需要提供系统设备的虚拟化功能，包 括i o 设备，内存管理等。v m m 还需要保证的一点就是不同虚拟机之间必须互不影 响，郎资源使用的隔离性( i s o l a t i o n ) 。 虚拟技术斡三大基本特点雹括隧：1 ) 执行环境和原始的硬件机器环境尽量一致；2 ) 虚拟机监控器本身必须能够控制物理的系统资源；3 ) 虚拟机监控器只负责必要的一小 部分虚拟c p u 指令的执行，其余大部分指令必须能够直接被真实的c p u 所执行，以 器 太原理工大学硕士研究生学位论文 此保证高效率。 2 1 1 虚拟化技术的发展 虚拟化技术可以理解为虚拟机去控制大量的资源，并将这些资源按照应用程序的 需求分配给使用者。根据这种概念，我们可以对一台大型机进行虚拟化，将它看成数 百个虚拟的计算机，每台计算机上都运行着各自的操作系统，共用系统内存。同样的 原理也可以用在存储、分配、再分配以及回收分配等过程中，而不需要应用程序停止 再重新启动。 由于虚拟化可以用更少的设备实现更多的功能，因此它也是将多个独立服务器和 计算设备整合成一个数据中心的主要途径。通过这种技术，不同厂商的设备可以协同 工作，销售商甚至生产厂商也可以将不同产品重新组合再出售，能够实现即插即用的 功能，优化设备的可用性和性能。 从服务器整合，到防止黑客、蠕虫和其他威胁的软件测试的不断增长的需求，虚 拟技术已经无处不在。在某些情况下，虚拟技术的使用，还有可能对r r 人员的配置产 生连锁反应。那些擅长于某个应用程序和操作系统的系统管理员，可能会发现自己所 负责的范围早已超越了原来狭小的专业领域，其中原因就在于，虚拟化造成了跨越计 算体系结构的技术糅合 不过，并非所有的企业都迈出了这一步。其中一个原因是虚拟化软件会造成系统 性能的下降，并且会过多消耗处理器的计算能力。另一个原因就是它还增加了系统的 复杂程度，使系统的监视和管理都更加困难。 尽管如此，虚拟机仍然引起越来越多的关注。部分是因为大多数服务器运行时， 只发挥了1 0 一1 5 的运算能力，而虚拟化技术可以将这些设备的利用率提高到7 0 甚至更高。一些企业已经敏感地意识到，虚拟化市场的机会就在眼前。因此，一些大 型供应商开始纷纷进入这一领域。微软在2 0 0 3 年收购了c o n n e c t i x 公司，并获得了这 家公司的虚拟机产品，以此来弥补微软在虚拟分区软件方面的不足。同年，e m c 公司 也收购了虚拟化软件市场的重量级厂商v m w a r e 公司，它是首家能够虚拟出x 8 6 指令 系统的软件供应商。2 0 0 5 年中期，e m c 公司发布了针对开发者的v m w a r e 技术网络， 这套产品预置了b e a 、m y s q l a b 、n o v e l l 、o r a c l e 和r e dh a t 等供应商的应用软件， 这样客户可以在部署前，在虚拟机上测试这些软件。芯片供应商a m d 和i n t e l 公司也 涉足其中，在各自的处理器中增加了对x 8 6 虚拟机的支持。 6 太原理工大学硕士研究生学位论文 2 1 2 虚拟化技术的现状 虚拟化技术一直受到业赛各大公司的重视，最近凡年各家公司在这个领域都有比 较大的动作。从处理器层面的a m d 和i n t e l n 操作系统层面的微软的加入，从数量众多 的第三方软件厂商的涌现到服务器系统厂商的高调，我们看到一个趋于完整的虚拟化 技术生态系统正在逐渐形成。它们在虚拟化技术方面不断推出的新技术、新产晶，对 虚拟化技术在用户端的应用，将起到很大的推动作用。 触脚i n t 2 l 的积极参与，第一次将虚拟化技术推向了x 8 6 架构的处理器层面，一旦 i n t d 和a m d 的承诺兑现，操作系统层面的虚拟化技术得到处理器的配合和支持蜃，会 使更多用户真正享受到虚拟化技术带来的服务器资源利用率的提升。 微软高调推出v i r t u a ls e r v e r2 0 0 5 ，意味着这个x 8 6 架构服务器操作系统领域的巨人 也意识到了虚拟化技术的重要性。同时，许多专注于服务器虚拟化管理技术和应用技 术的小厂商的崛起，使虚拟化市场在看上去更加繁荣的同时，也带来了更多的选择和 工具。 2 奶虚拟化技术的实际应鼹 虚拟化技术可以帮助企业合理使用计算资源，一台服务器的运行费用约为$ 1 0 ，0 0 0 年还有购买，维护，放置，软硬件许可等费用。与此同时，大多数服务器的平均利 用率只有1 5 。虚拟化技术使得多个操作系统和应用程序的镜像可以共享一台服务 器，从而提高利用率和降低成本。虚拟化技术可以将这些设备的利用率提高到7 0 甚 至更高。根据微软公司对客户的调查，虽然现在只有1 6 的企业使用了虚拟服务器， 但整个市场仍然吸孳l 了广泛的关注。市场调研机构国际数据公n ( i d c ) 的报告显示，网 终：荐储、服务器、处理和管理等整体的虚拟化市场，2 0 0 5 年销售凝达1 5 1 亿美元， 年均增长率超过了2 0 。一些企业已经敏感地意识到，虚拟化市场瞧机会就在眼前。 因此，一些大型供应商开始纷纷进入这一领域。 以微软提供的一个案例为例，丹佛健康与医疗管理局( d e n v e rh e a l t ha n dh o s p i t a l a u t h o r i t y ) 的服务器数量不断攀升，从1 9 9 6 年韵l q 台一直窜升到2 0 0 5 年初的2 2 0 台；然丽，设备的利周率却十分低下，其中9 0 的服务器运行单个应用程序，平均利 用率低于2 0 。公司决定，将原来提供系统网络体系架构网关功能的1 5 台物理服务器 变成保留系统( l e g a c ys y s t e m s ) ，并将他们集中到两台物理服务器上，这两台设备采 用微软公司的虚拟服务器技术，运行了1 5 台虚拟服务器。这一举措不仅节省了很大的 7 太原理工大学硕士研究生学位论文 机架空间，而且多年来公司首次降低了增加服务器数量的需求。 国际卡车发动机公司( i m e m a t i o n a lt r u c k & e n g i n ec o r p ) 采用v m w a m 公司的 e s xs e r v e r 将1 0 台服务器分割成8 0 个虚拟机用来开发应用程序，还有7 0 个虚拟机用 来制作。开发人员在编写和测试代码之间，根据需要对这些虚拟机进行分配。这种方 法实行3 年后，公司在硬件采购方面节省了1 1 0 万美元。服务器的利用率从低于 2 0 ，升高到7 0 ，某些情况下达到了8 0 。 虚拟化不仅能够节省时间、金钱和资源，同时还能够保护企业投资并改善经营， 这些都是采用虚拟化技术的有力佐证。 2 2 虚拟化技术的种类 虚拟化技术己经应用于商业化和研究型操作系统上。根据客户操作系统是否需要 修改，主要分为半虚拟化0 a 髓州n i l a l j 勿t i ) 和完全虚拟化( 伽l 埘i t l 墙n z a ：t i o n ) 两大类嘲 2 2 1 完全虚拟化 完全虚拟化技术因其可以在虚拟机中直接安装和运行现有的操作系统而容易被用 户接受。完全虚拟化的典型代表产品是v m 3 7 0 和v m w a r e 。m mv m 3 7 0 最先使用了虚 拟化技术以提供对早期代码的支持。v l v t w a i e 采用了将常用的p c 硬件进行虚拟化的方 法，允许多个操作系统在同一台主机上运行。所有这些例子都对底层硬件( 至少是底 层硬件的一个子集) 进行了完全虚拟化的实现，而并非是半虚拟化的方法提供给客户 操作系统一个修改后的接口嘲。完全虚拟化虽然能够更容易地支持商业版本的操作系 统，但是却大大降低了性能。其他常见的完全虚拟化软件包括微软推出的v i r t u a ls e r v e r 和基于l i n u x _ l ：的u m l ( u s e r - m o d e l i n u x ) 7 1 。 ，一。完全虚拟化技术最大的好处就是可以无需修改操作系统，直接移植到虚拟环境 中，支持多个客户操作系统。但是完全虚拟化的缺点就是虚拟机的客户操作系统的系 统性能会受到影响，而且往往比原有的系统性能下降不少。尤其是在i a 3 2 等常见体系 结构上，类似v m w a r e 的软件往往性能下降特别严重【8 】。 2 2 2 半虚拟化 因为完全虚拟化往往只能对特定硬件的特点进行虚拟，在虚存管理和设备管理方 面，往往需要花费大量的代码进行处理，这对软件运行的效率必定会产生极大的影 响，同时也增加了虚拟软件层的复杂度。因此，半虚拟化技术也应运而生。半虚拟化 8 太原理工大学硕士研究生学位论文 技术通过对操作系统的内核做一定的修改，使得原本一些需要直接通过c p u 执行的保 护任务，可以在修改后的内核中直接执行，这样就有效的提高了虚拟机的效率。这方 面的典型代表就是d e n a l i l 9 1 和x e n 。 半虚拟化技术是为了那些新的、自定义过的目标操作系统达到离性能，高扩展性 露对传统虚拟系统架构进行的改进，叛的虚拟系统架构为自定义的操作系统提供新的 接口。半虚拟架构的特性可以使目标操作系统的实现在不失通用性的前提下变的简单 易行。相当于旧的架构中系统调用，所谓的虚拟指令通过对常用指令的分类和优化， 从而给上层调用提供简单并且功能齐全的指令抽象；新架构提供了一组虚拟寄存器使 得虚撅层闻的数据传递交褥简洁，并且它还提供了虚掇f o 设备接翻1 1 趣；这种架构支 持改进过的中断机制。所有的这些改进目的都是减少实瑰的开销，并使整个系统的扩 展性和简洁性提高。 1 ) 扩展性( s c a l a b i l i t y ) 巍有许多虚拟机在同一台物理主机上运行，其中某些虚拟机中的操作系统并未进 行实质性的工俸，仅是在执行空循环( i d l el o o p ) ，这无疑是在浪费c p u 资源。比如， 这时可以引入一个虚拟i d l e 指令，通过这条指令v m m 可以暂时放弃对这个v m 的 控制。v m m 通过调用这个虚拟指令，可以提高c p u 的利用率从而提高性能，因为虚 拟租不必去执行那些不必要的c p u 周期。 ，蓄2 ) 简洁性( s i m p l i c i t y ) 硬件体系是非卷复杂的，要精确的重现物理机器要求虚拟梃模拟缀多的硬件组 成，包括：所有的特权指令，虚拟内存，b i o s ，输入输出设备等等。但是对于应用来 说，并非所有的部件都是必要的。半虚拟化技术提供了精简和修改硬件特性的可能 性，从而很大程度上简化了v m m 的实现。 因为半虚拟化必须修改操作系统，因此这种技术在开源代码的操作系统中得到的 支持比较多，例如l i n u x 、x b s d 等等。 2 3l i n u x 系统霉志技术 2 3 1 系统日志的概念 为了维护系统资源的运行状况，计算机系统一般都会有相应的日志记录有关日常 事件或者误操作警报的日期及时间戳信息。这些日志信息对网络管理员和计算机犯罪 调查人员都非常有用。 所谓匿志( l o g ) 是指系统新指定对象的某些操作和其操作结果按时闻有序的集 9 太原理工大学硕士研究生学位论文 合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常 情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个消 息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等 i t 资源相关活动记录必要的、有价值的信息，这对系统监控、查询、报表和安全审计 是十分重要的。日志文件中的记录可提供以下用途：监控系统资源；审计用户行为； 对可疑行为进行告警；确定入侵行为的范围；为恢复系统提供帮助；生成调查报告。 2 3 2 系统日志的重要性 日志记录着系统中特定事件的相关活动信息，从网络安全的角度看，日志主要的 特点就是：容易被修改、破坏甚至伪造。产生系统日志的软件通常作为应用系统而不 是作为操作系统的子系统运行，所产生的日志记录容易遭到恶意的破坏或修改。系统 日志通常存储在系统未经保护的目录中，并以文本方式存储，未经加密和校验处理， 没有提供防止恶意篡改的有效保护机制。因此，日志文件并不一定是十分安全的，入 侵者可能会篡改甚至删除日志文件。由于日志是直接反映入侵者痕迹的，在网络安全 中扮演着重要的角色，入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修 改或删除与其相关的日志信息，甚至根据系统的漏洞伪造日志以迷惑系统管理员的审 计。 2 3 3l i n u x 中s y s l o g 技术 系统日志( s y s l o g ) 协议【l l 】是在加里佛尼亚大学伯克立软件分布研究中心( b s d ) 的 t c p i p 系统实施中开发的，目前己成为工业标准协议，可用它记录设备的日志。在 u n i x l i n u x 系统的路由器、交换机等网络设备中，s y & l o g 记录着系统中的任何事 件，管理者可以通过查看系统记录，随时掌握系统状况。u n i x l i n u x 的系统日志通 过s y s l o g d 进程记录系统有关事件，也可以记录应用程序运作事件，通过适当配置，还 可以实现运行s y s l o g 协议的机器之间的通信。通过分析这些网络行为日志，追踪和掌 握与设备和网络有关的情况。 s y s l o g 是一种运行在u n i x 和l i n u x 操作系统上的日志工具。它能够接收远程系 统的日志记录，在一个日志中按时间顺序处理包含多个系统的记录，并以文件形式存 盘。同时不需要连接多个系统，就可以在一个位置查看所有的记录。s y s l o g 使用u d p 作为传输协议，通过目的端口5 1 4 ( 也可以是其它定义的端口号) ，将所有安全设备的 日志管理配置发送到安装了s y s l o g 软件系统的日志服务器，s y s l o g 服务器自动接收日 1 0 太原理工大学硕士研究生学位论文 志数据并写到日志文件中。存储外部安全设备日志的日志文件通常存放在该服务器 “i v a d l o g 一日录下的m e s s a g e s 文件中，也可以存放在其它日志文件或指定的位置。日 志文件以文本格式存放，存放信息为原始的日志信息。为了查看日志文件的内容，保 证目志数据的安全，只能允许超级用户访闯这些文件，显示豳志文件中的信息很重 要。 任何程序都可以通过s y s l o g 系统调用登记日志。l i n u x 系统日志分为应用程序日志 和系统内核日志。日志实际上是一个消息，对应系统上发生的一个事件，包括事件的 时闻、程痔名以及事件描述文本。s y s l o g 设备依据两个重要文件：s y s l o g d ( 守护进 程) 和s y s l o g c o n f 配置文件。s y s l o g d 是一个守护进程，它采用可配置的、统一的登记 方式，随时从系统各处接受l o g 请求，然盾根据勉幽筘l i 瞎。c o n f 中的预先设定把l o g 信 息写入相应文件中邮寄给特定用户、直接以消息的方式发往控制台或转发到网络。 s y s l o g d 既能处理本地日志消息，也能处理网络上传输来的日志消息。一个典型的 s y s l o g 纪录包括生成程序的名字和一个文本信息，还包括一个设备和一个优先级范围 ( 堡不在豳恚中出现) 。s y s l o g 。c o n f 文件指骧s y s l o g d 程序记录磊志的行为，s y s l o g d 在 窟劾时读取s y s l o g c o n f 文件信息。s y s l o g 。c o n f 的文件信息如下所示l 蓉群l o g a l lk e r n e lm e s s a g e st ot h ec o n s o l e 。 撑l o g g i n gm u c he l s ec l u t t e r su pt h e 翻田嘲l # k e r n * 髯l o ga n y t h i n g ( e x c e p tm a i l ) o fl e v e li n f oo rh i g h e r 撑d o n tl o gp r i v a t ea u t h e n t i c a t i o nm e s s a g e s ! i n f o ；m a i l n o n e ；a u t h p r i v n o n e ；c r o n n o n e 群t h ea u t h p r i vf i l eh a sr e s t r i c t e da c c e s s a u t h p r i v 誊l o g 鲑lt h em a i lm e s s a g e si no n ep l a c e 。 m a i l 群l o