（计算机应用技术专业论文）虚拟机健壮入侵检测技术的研究.pdf

太原理工大学硕士研究生学位论文 虚拟机健壮入侵检测技术的研究 摘要 随着人们对计算机网络的依赖性不断增强，网络安全越来越受到重 视。网络中的入侵行为主要是指入侵者对计算机系统资源的非授权访问， 可以造成系统数据的丢失和破坏、系统拒绝服务等危害的行为。入侵已经 成为网络中一个越来越严重且日益普遍的问题。由于入侵检测能有效弥补 传统防御技术的缺陷，近年来得到了学术界和业界的广泛关注。而随着入 侵检测系统研究和应用范围的日益广泛，也造成了对其本身攻击方法的日 益成熟。 当今入侵检测的体系结构迫使入侵检测系统的设计者必须做出一个艰 难的选择。如果将入侵检测系统置于被监控的主机之上，它对主机应用程 序中的所有事件都能检测到。另一方面，如果将入侵检测系统放置在网络 中，它的抗攻击能力将会更强，但是对主机的监控能力就相对下降，攻击 者比较容易绕过入侵检测系统的检测。 近年来沉寂己久的虚拟机监控器又重新成为了学术研究领域的热门话 题。随着虚拟机监控器在安全领域的应用，针对现存入侵检测系统存在的 问题，本文提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机 监控器来虚拟硬件接口，在单一的硬件实体上运行多个系统实例。因为虚 拟机监控器处于操作系统和硬件之间，从而使得这个入侵检测系统位于监 控所有对操作系统的入侵事件的最佳位置，并处于一个独立于操作系统之 外的受保护的空间内，增强了入侵检测系统的独立性、健壮性和检测能 力，是传统的基于主机和网络的入侵检测系统优点的完美结合。本文主要 i 太原理工大学硕士研究生学位论文 做了以下工作： 1 ) 深入分析虚拟机监控器技术；介绍了u m l 的特点及配置过程。提 出了一种在虚拟机监控器基础上的入侵检测体系结构，并对各个功能模块 作了详细说明分析。 2 ) 本文在分析基于系统调用序列入侵检测系统原理及现有系统调用 序列采集方法的基础上，实现了在虚拟环境下对虚拟机上的操作系统中运 行的程序所产生的系统调用序列的采集。 3 ) 通过测试，证明了虽然运行虚拟环境对系统资源造成了一定的影 响，但入侵检测系统仍然可以有效地工作。通过与一般计算环境下系统资 源利用率的对比，证明了本文所提出的结构模型在实际应用中的可行性。 总之，本文描述了一种使用虚拟机来增强计算环境安全性的结构模 型。这个想法的基本原理是通过一个位于虚拟机之外的入侵检测系统来监 控虚拟机上操作系统中进程的状态。入侵检测所使用的数据由虚拟机监控 器来采集并由位于物理机器上的入侵检测系统来分析。虚拟机上的进程不 能够访问检测系统，入侵者也就不能对检测系统造成破坏。实验证明，这 种设想是合理的，也必将为提高入侵检测系统自身的安全性做出贡献。 关键词：网络安全，入侵检测，系统调用，虚拟机监控器 太原理工大学硕士研究生学位论文 r e s e a r c ho ns t r o n gi n t r u s i o nd e t e c t i o n t e c h n o l o g yw i t hv i r t u a lm a c h i n e a b s t r a c t a sp e o p l e sd e p e n d e n c eo nc o m p u t e rn e t w o r kb e c o m e ss t r d n g e r n e t w o r k s e c u r i t yi sg e r i n gm o r ei m p o r t a n tt o d a y t h eu n a u t h o r i z e da c c e s st oac o m p u t e r b ya l li n t r u d e ri sc o m m o n l yr e f e r r e dt oa sa ni n t r u s i o n i n t r u s i o n sc a l lr e s u l ti n b r o k e na n dl o s to fs y s t e md a t aa n dc a l lc a u s es y s t e md o s s i n t r u s i o ni sa p e r v a s i v ea n ds e e m i n g l yw o r s e n i n gp r o b l e m b e c a u s ei n t r u s i o nd e t e c t i o nc a n e f f e c t i v e l ys o l v et h el i m i t a t i o n so f t h et r a d i t i o n a ld e f e n s et e c h n o l o g i e s ，i n t r u s i o n d e t e c t i o nt e c h n o l o g i e sh a v eg o tm u c hf o c u si na c a d e m i ca n di n d u s t r yi nr e c e n t y e a r s w i d e s p r e a ds t u d ya n dd e p l o y m e n to fi d sh a sl e dt ot h ed e v e l o p m e n to f i n c r e a s i n g l ys o p h i s t i c a t e da p p r o a c h e st od e f e a t i n gt h e m t o d a y sa r c h i t e c t u r e sf o ri n t r u s i o nd e t e c t i o nf o r c et h ei d sd e s i g n e rt om a k e ad i f f i c u l tc h o i c e i ft h ei d sr e s i d e so nt h eh o s t ，i th a sa ne x c e l l e n tv i e wo fw h a t i sh a p p e n i n gi nt h a th o s t ss o f t w a r e ，b u ti sh i g h l ys u s c e p t i b l et oa t t a c k o nt h e o t h e rh a n d ，i ft h ei d sr e s i d e si nt h en e t w o r k ，i ti sm o r er e s i s t a n tt oa t t a c k , b u t h a sap o o rv i e wo fw h a ti sh a p p e n i n gi n s i d et h eh o s t ，m a k i n gi tm o r es u s c e p t i b l e t oe v a s i o n r e c e n t l y , v i r t u a lm a c h i n em o n i t o r , w h i c hb es i l e n tf o ral o n gt i m e ，i sa g a i na h o tt o p i ci na c a d e m i ca n dr e s e a r c ha r e a a tt h es a m et i m e ，w i t ht h ed e v e l o p m e n t i i i 太原理工大学硕士研究生学位论文 o ft h ea p p l i c a t i o no fv m mi nt h es e c u r i t ya r e a ，c o n s i d e r i n gt h ea b o v e p r o b l e m s ， t h i sr e s e a r c he x p l o r e st h ei m p l e m e n t a t i o no fav i r t u a lm a c h i n em o n i t o rb a s e d i n t r u s i o nd e t e c t i o ns y s t e mi nw h i c ht h ev i r t u a lm a c h i n em o n i t o rv i r t u a l i z e dt h e h a r d w a r ei n t e r f a c e ，a n dc a nb eu s e dt or u nm u l t i p l eo p e r a t i n gs y s t e mi n s t a n c e s o nas i n g l ei n s t a n c eo fh a r d w a r e b e c a u s et h ev m mi n t e r p o s e sb e t w e e nt h e o p e r a t i n gs y s t e ma n dt h eh a r d w a r e ，t h ei n t r u s i o nd e t e c t i o ns y s t e mi si nt h e p e r f e c tp o s i t i o nt om o n i t o ra l lo p e r a t i n gs y s t e me v e n t sf o ri n t r u s i o n sa n da l s oi s b e i n gp l a c e di nas e p a r a t ep r o t e c t i o nd o m a i n u s i n gt h i sa p p r o a c ha l l o w su st o i s o l a t et h ei d sf r o mt h em o n i t o r e dh o s tb u ts t i l lr e t a i ne x c e l l e n tv i s i b i l i t yi n t o t h eh o s t ss t a t e t h ev m ma l s oo f f e r su st h eu n i q u ea b i l i t yt oc o m p l e t e l y m e d i a t ei n t e r a c t i o n sb e t w e e nt h eh o s ts o f t w a r ea n dt h eu n d e r l y i n gh a r d w a r e w e p r e s e n tad e t a i l e ds t u d yo fo u ra r c h i t e c t u r e t h e r e f o r e ，t h ei s o l a t i o na n dt h e d e t e c t i o na b i l i t i e so ft h ei n t r u s i o nd e t e c t i o ns y s t e ma r es t r e n g t h e n e d t h en e w a r c h i t e c t u r ep r o v i d e sg o o dv i s i b i l i t yi n t ot h es t a t eo ft h em 6 n i t o r e dh o s t ，w h i l e s t i l l p r o v i d i n gs t r o n g i s o l a t i o na n dr o b u s m e s sf o rt h ei d s ，t h u sl e n d i n g s i g n i f i c a n tr e s i s t a n c et ob o t he v a s i o na n da t t a c k ；i ti sap e r f e c tc o m b i n a t i o no f t h et w ot r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m s 1 a f t e rt e c h n i q u ep r i n c i p l eo f v i r t u a lm a c h i n em o n i t o ri sa n a l y z e di nd e t a i l ， t h ed e f i n i t i o n ，c h a r a c t e r i s t i c sa n dc o n f i g u r a t i o no fu s e r - m o d el i n u xa r e i n t r o d u c e d t h e nad e s i g ns c h e m eo fav i r t u a lm a c h i n em o n i t o rb a s e di n t r u s i o n d e t e c t i o ns y s t e mi s p r o p o s e d ，a l l t h e s y s t e mm o d u l e sa n dt h e i r f u n c t i o n i m p l e m e n t a t i o na l ei n t r o d u c e d 太原理工大学硕士研究生学位论文 2 b a s e do nt h ea n a l y s i so ft h ei m p l e m e n t a t i o np r i n c i p l eo fs y s t e mc a l l s e q u e n c e b a s e di d sa n dt h ei n t r o d u c t i o no f c u r r e n tm e t h o d s o f t h es e q u e n c e so f s y s t e mc a l lg a t h e r i n g ，t h i sp a p e ra d o p t s t h em e t h o do faf u n c t i o nn a m e d p t r a c e ( f t oi m p l e m e n tt h eg a t h e r i n go ft h es e q u e n c e so fs y s t e mc a l ln u m b e r s m a d eb yp r o c e s s e si nv i r t u a lm a c h i n e ，w h i c ha r eu s e da si n t r u s i o nd e t e c t i o n s d a t as o u r c e 3 t h ea r c h i t e c t u r e sv a l i d i t yi sp r o v e dt h r o u g hs y s t e mt e s t i n g m o r e o v e r ， c o m p a r e dt on o r m a lc o m p u t i n gs y s t e mi ns y s t e mr e s o u r c e so c c u p a n c yr a t e ，i ti s p r o v e dt h a tt h ev m m b a s e di n t r u s i o nd e t e c t i o ns y s t e mi sf e a s i b l ea l t h o u g h r u n n i n gt h ev m m m u s tu s eas l i c eo fs y s t e ms o u r c ea n dt h ea v e r a g ee x e c u t i o n t i m eo f t h ep r o c e s si sf a rs u p e r i o rt ot h o s ei nt h en o r m a le n v i r o n m e n t i naw o r d ，t h i sp a p e rd e s c r i b e sap r o p o s a lt oi n c r e a s et h es e c u r i t yo f c o m p u t i n gs y s t e m su s i n gv i r t u a lm a c h i n em o n i t o r t h eb a s i so f t h ep r o p o s a li s t om o n i t o rv i r t u a lp r o c e s s e s a c t i o n st h r o u g ha ni n t r u s i o nd e t e c t i o ns y s t e m ， e x t e r n a lt ot h ev i r t u a lm a c h i n e 。1 1 1 ed a t au s e di nj n t r u s i o nd e t e c t i o ni so b t a i n e d f r o mt h ev i r t u a lm a c h i n em o n i t o ra n da n a l y z e db ya ni d sp r o c e s si nt h e u n d e r l y i n gr e a lm a c h i n e t h ed e t e c t i o ns y s t e mi si n a c c e s s i b l et ov i r t u a lm a c h i n e p r o c e s s e sa n dc a n n o tb es u b v e r t e db yi n t r u d e r s i ti sp r o v e dt h a tt h i sp r o p o s a li s r e a s o n a b l ea n di tw i l lc o n t r i b u t et ot h ei m p r o v e m e n to f l d s ss e c u r i t y k e yw o r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o n ，s y s t e mc a l l ，v i r t u a l m a c h i n em o n i t o r v 声明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名： 卫电孟 日期： 2 唧箩j7 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定。其 中包括：学校有权保管、并向有关部门送交学位论文的原件与复印 件；学校可以采用影e 口、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的， 复制赠送和交换学位论文；学校可以公布学位论文的全部或部分内 容( 保密学位论文在解密后遵守此规定) 。 签名： 导师签名： 彰廷叁 日期：鲨2 ：曼f 7 太原理工大学硕士研究生学位论文 1 1 课题背景 第一章绪论 许多工具在改进计算系统的安全性方面都有巨大的作用，这其中，入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 的地位举足轻重。它对主机或网络的运行状态进行 监视，发现各种攻击和入侵的企图、攻击行为或者攻击结果，以保证系统资源的机密 性、完整性和可用性。当计算系统的服务遭到攻击时，虚拟机可以用来增强系统的安 全性i i 】。应用虚拟机的概念，可以保护入侵检测系统的安全。目前，很多关于这方面的 研究已经展开。 计算机的运行通常都离不开一个合适的操作系统，一个特定的指令集( 实现它的 处理器) 、内存系统和i 0 系统的硬件平台。安装l i n u x 系统的机器无法直接运行 w i n d o w s 的应用程序，同样安装w i n d o w s 的机器无法直接运行l i n u x 的应用程序，另外 应用程序之间无法真正相互隔离使得一个应用程序的错误可能导致整个系统的崩溃。 这些都促进了虚拟机( v i r t u a lm a c h i n e ，v m ) 技术的发展。 1 1 1 国内外网络安全现状 网络安全是一门涉及计算机科学、网络技术、密码技术、通信技术、信息安全技 术、应用数学、信息论、数论等多种学科的综合性学科。网络安全是指网络系统的硬 件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、泄露、 更改，系统连续可靠地正常运行，网络服务不中断。网络安全从其本质上来说就是网 络上的信息安全。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用 性，真实性和可控性的相关技术和理论都是网络安全的研究领域。 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯的防 火墙技术暴露出明显的不足和弱点。如无法解决安全后门的问题，不能阻止网络内部 攻击，不能提供实时入侵检测能力，对病毒束手无策等。这种情况下，就需要提出更 多，更强大的主动策略和方案来增强网络系统的安全性，其中一个有效的解决途径就 是采用入侵检测技术。入侵检测系统可以弥补防火墙的不足，提供了及时的入侵检测 功能及相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等，这就引发 了人们对入侵检测技术的研究热情。 太原理工大学硕士研究生学位论文 1 1 2 入侵检测技术的分类 入侵行为主要是指入侵者对计算机系统资源的非授权访问，可以造成系统数据的 丢失和破坏、系统拒绝服务等危害的行为。入侵已经成为网络计算中一个越来越严重 的问题。为了解决这个问题，系统丌发商想尽各种办法来改进其产品的安全性能。如 对攻击者所能发现的漏洞打补丁等等。尽管如此，危及安全的事件还在不断发生，不 是因为系统管理员没有及时打补丁，就是由于开发商没有意识到某些漏洞的存在而没 有在第一时间制作补丁。 保护机器的另外一个方法是使用防火墙来堵截恶意的网络流量，而允许合法的流 量通过。理论上说，系统管理员只需要确保防火墙正确运行来保证网络内部机器的安 全。防火墙形式各异，但其根本目的都是为了将合法的流量和恶意流量区分开。允许 前者通过的同时拒绝后者的访问1 2 1 。要使一个防火墙有效，所有来自和去往i n t e m e t 的 信息都必须经过防火墙并接受检查。防火墙只允许授权的数据通过，并且防火培本身 也必须能够免于渗透。它的缺陷在于对内部攻击无效，而在互联网上的攻击范例中， 由内部攻击发起的占到了8 0 。 由此，人们使用入侵检测系统来增强防火墙的性能。i d s 通过对网络和系统记录 的日志文件的分析来发现非法的入侵行为以及合法用户的滥用行为。基于这些信息， 入侵检测系统检测出对被监控主机的滥用信号并在它怀疑入侵发生时，向系统管理员 发出警告。 按系统所监测的对象分类有如下三种入侵检测系统：基于主机的入侵检测系统、 基于网络的入侵检测系统和分布式入侵检测系统。 基于主机的入侵检测系统( h o s t - b a s e di d s ，h i d s ) 是针对一个系统的信息资源来 检测攻击的。它用于保护关键应用的服务器、实时监视可疑的连接、系统日志检查、 非法访问等。它通过监控审计日志或系统日志来发现系统层的攻击。基于主机的入侵 检测系统不对网络数据包或扫描配置进行检查，而是对系统日志的大量数据进行整 理。系统可以精确地判断入侵事件，并对入侵事件立即进行反应：还可以根据不同的 操作系统特点判断应用层的入侵事件。基于主机的入侵检测系统面临的主要困难是：收 集数据的代价、充足的数据、协调性、每个节点都必须拥有一个传感器以及系统开销 问题。 基于网络的入侵检测系统( n e t w o r k - b a s e di d s ，n i d s ) 是通过监视网络传输和系 统事件来捕获入侵者，并对可疑的行为进行自动的安全响应，使用户的系统在受到危 2 太原理工大学硕十研究生学位论文 害之前即可截取并阻止非法的入侵行为以及内部网络的误用，从而最大程度地降低安 全风险，保护网络的系统安全。网络i d s 支持客户服务器模式，一个中央引擎接收 来自多个传感器的通知。它还提供了实时报警和不同的终止入侵连接方式。网络i d s 只能监视经过本网段的活动，精确度较差，并且在交换网络环境中难以配置。 分布式入侵检测系统( d i s t r i b u t e di d s ，d i d s ) 可以检测针对分布式网络的攻击， 并且该系统也可以使用分布式的方法来检测分布式的攻击。关键技术为监测信息的协 同处理与入侵攻击的全面信息提取。 基于主机和基于网络的入侵检测系统都存在一些缺陷，下面分别对它们进行分 析。 1 基于主机的入侵检测系统，由于h i d s 安装在被保护主机上，所占用的资源不 能太多，从而大大限制了所采用的检测方法及处理性能。具有以下缺陷： ( 1 ) 资源局限：系统本身有限的软硬件资源不足； ( 2 ) 操作系统局限：不同于n i d s ，厂商可以自己定制一个足够安全的操作系统 来保证h i d s 自身的安全。但这种做法会使i d s 受到所在主机上操作系统自身安全 性的限制，如果所在系统被攻破h i d s 将很快被清除。如果h i d s 为单机，则它基 本上只能检测不成功的攻击，如果h i d s 为传感器控制台结构，就会面临与n i d s 同样的那些问题； ( 3 ) 系统日志限制：h i d s 可通过监测系统日志来发现可疑的行为，但有些程序 的系统日志不够详细，甚至没有日志，还有一些入侵行为不会被程序记录到系统日志 中。如果系统没有安装第三方日志系统，则系统自身的日志系统很快会受到入侵者的 攻击或修改，而入侵检测系统通常并不支持第三方的日志系统。如果h i d s 不能实时 检查系统日志，则利用自动化工具进行的攻击，将完全可能在检测间隔中完成所有的 攻击过程，并清除在系统日志中留下的痕迹： ( 4 ) 修改系统核心能够骗过文件检查：如果入侵者修改系统核心，则可以骗过基 于文件一致性检查的工具。这种情况类似于某些病毒，当它们受到检查或者跟踪的时 候，会将原来的文件或者数据提供给检查工具或者跟踪工具，从而逃避检测； ( 5 ) 网络检测局限：有些h i d s 可以检查网络状态，但这样的情况下，将同样 面临那些存在于n i d s 中的问题。 2 基于网络的入侵检测系统从网络中获取数据包并加以分析，从而检测出未授权 行为或异常状况。它具有以下缺陷； ( 1 ) 网络负荷与拓扑局限：由于共享式h u b 进行的网络监听，将给网络安全带 3 太原理工大学硕士研究生学位论文 来极大的威胁，所以现在的网络尤其是高速网络基本上都采用交换机，从而给n i d s 的网络监听带来困难。而一般的交换机在负载较大的时候，监听端口的速度赶不上其 它端口的速度，会导致交换机丢包。此外，对于一个较复杂的网络而言，通过精一t l , 的 发包，可以导致n i d s 与受保护主机收到的包的内容或者顺序不同，从而绕过n i d s 的监测； ( 2 ) 检测方法：n i d s 常用的检测方法有特征检测、异常检测、状态检测、协议 分析等，虽然实际的商用入侵检测系统大都同时采用几种检测方法，但仍有较大局限 性。n i d s 不能处理加密后的数据，如果数据在传输中被加密，即使对简单的替换也 难以处理，采用s s h 、h 丁r p s 、带密码的压缩文件等手段，都可以有效地躲避n i d s 的检测。例如，n i d s 难以检测重放攻击、中间人攻击，对网络监听也无能为力，此 外目前还难以有效地检测d d o s 攻击； ( 3 ) 协议局限：对于应用层的协议，一般的n i d s 只是简单处理了如h r r p 、 f t p 、s m t p 等常见情况，尚有大量的协议没有处理，也不大可能全部处理，直接针 对一些特殊协议或者用户自定义协议的攻击，都能很好地绕过n i d s 的检查，例如 h t t p 攻击变体和t e l n e t 攻击变体。 1 1 3 本文的研究重点 随着i t 市场及i n t e r n e t 的高速发展，个人和企业越来越多地把商务活动放到网络 上，因此网络的安全就更加关键和重要。据统计，在全球范围内，由于信息系统的脆 弱性而导致的经济损失，每年达数亿美元，并且呈逐年上升的趋势。由此，人们使用 入侵检测系统来增强防火墙的性能。i d s 通过对网络和系统记录的r 志文件的分析来 发现非法的入侵行为以及合法用户的滥用行为。基于这些信息，入侵检测系统检测出 对被监控主机的误用信号并在它怀疑入侵发生或正在进行中时，向系统管理员发出警 告。而对于入侵检测系统的广泛研究和应用使得人们研究对抗入侵检测系统的技术也 日趋成熟。攻击或绕开都能够导致入侵检测系统失效。通过对恶意行为进行伪装可以 绕开入侵检测系统：而对入侵检测系统的攻击包括篡改入侵检测系统或其信任的部 件，从而阻止入侵检测系统检测或向系统报告恶意行为。 考虑到这两种对抗入侵检测系统的方法，带来了两种截然不同的需求。一方面， 如果能够直接观察被监控系统的状态就可以提高系统检测的完全性即系统的可见性， 使得绕开入侵检测系统变得更为困难了，这是因为增加了分析事件的范围，减少了对 4 太原理工大学硕士研究生学位论文 系统状态产生错误认识的几率，并且减少了监控不力的攻击途径的数量。另一方面， 增强入侵检测系统对目标系统的可见性是以削弱入侵检测系统相对于攻击者的独立性 为代价的。将两种主流的入侵检测系统体系基于网络的入侵检测系统和基于主机 的入侵检测系统进行对比就会发现这种冲突是显而易见的。 h i d s 主要用来保护网络中关键的主机，如w 曲服务器、d n s 服务器和e m a i l 服 务器等。h i d s 通常应用如下两种类型的信息源：操作系统审计日志和系统日志。操作 系统审计日志通常是由操作系统的内核产生，它比系统日志保护的更好，同时也更详 细。但系统日志比操作系统审计日志更小而且明了，因此更容易理解。因为h i d s 运 行在它所监控的主机上，理论上它就能够观察和记录所有发生在该主机上的事件。而 又因为h i d s 分析的信息来自于单个的计算机系统，这个优点使得它们能够相对可靠 精确地分析入侵活动，能精确地决定哪一个进程和用户参与了对操作系统的一次攻 击。此外，和n i d s 不同，h i d s 能“看到”攻击企图的结果，因为它们能直接控制和 监视那些攻击者感兴趣的数据文件和系统进程。基于主机的i d s 具有如下的优点：可 以精确地判断入侵事件，可以检测基于网络i d s 检测不到的攻击；不受网络信息流的 加密和交换网络使用的影响；可以检测到特洛伊木马( t r o j a nh o r s e ) 和其他破坏软件 完整性的攻击。也存在以下的不足：占用所监视主机宝贵的资源，要影响所监视主机 的工作性能；需要系统提供大的存储空间；会遭受拒绝服务攻击( d e n yo fs e r v i c e ， d o s ) 而失效；不能检测针对网络发起的多点攻击；本身容易受到攻击：难于管理。 目前大部分商业的入侵检测系统是基于网络的。n i d s 通过捕获并分析网络数据报 文来检测攻击。在关键的网段或交换部位侦听，一个n i d s 可以监听影响多个流经这个 网段的主机的网络通信流量，从而获取有用的信息，保护这些主机。常见的系统如 s n o r t 、b r o 。由于只监测网络流量，n i d s 运行在被检控主机上就没有什么实质的好 处。因此，n i d s 经常运行在用于观察网络流量的特定主机上，有时与防火墙结合使 用。在这种情况下，它们就能免受被监控主机安全漏洞的影响。n i d s 具有如下的优 点：很少的使用可以监视一个大的网络；它们的部署对现有网络的影响很小；本身的 抗攻击性好；可以提供实时的网络监视，并且监视的粒度可以很细致。然而，从网络 上收集的数据中只能推断出很少量的信息。此外，应用普遍的端到端的加密技术也进 一步限制了网络中所能够收集到的信息量。n i d s 的另一个主要的缺点是它检测不到本 地的攻击。n i d s 无法检测到系统合法用户试图获得额外特权的行为，如果该用户在本 地进行攻击的话。另外，由于这个用户已经是系统的合法用户，他就可以在访问远程 主机时建立一个加密的通道。在这篇文章中，我们提出了一种新的搭建入侵检测系统 5 太原理 大学硕七研究生学位论文 的体系结构，这种结构能够提供对被监控主机良好的可见性，同时仍然为入侵检测系 统提供强大的独立性，从而对逃避和攻击都产生强大的抵抗能力。 1 _ 2 本文的主要研究内容 本文详细论述了基于系统调用序列的入侵检测系统的理论基础知识，并在分析基于 网络及基于主机两种入侵检测系统特点和虚拟环境在网络安全方面的优势的基础上， 给出了基于v m m 的入侵检测系统体系结构的总体设计方案。利用l i n u x 系统中的 p t r a c e 函数的强大功能，实现了入侵检测前的数据采集工作，并且通过实验验证配置该 虚拟环境对于物理主机的影响很小，相对于对入侵检测系统检测性能的改进来说，可 以忽略不计。 具体来说，本文的研究内容如下： 1 在深入分析了基于网络和基于主机的入侵检测系统工作原理、性能特点后，论 述了两种传统的入侵检测系统的优缺点。 2 对基于系统调用序列的入侵检测系统的基本原理进行了全面、细致的分析。详 细介绍了实现基于系统调用序列的入侵检测系统所需要的一些关键技术：l i n u x 系统 调用、采集系统调用序列的原理及实现涉及到的p t r a c e 函数的详细解释。 3 在详细介绍虚拟机监控器关键技术以及本系统所用到的用户模式l i n u x 定义及安 装配置过程的基础上，设计了基于虚拟机监控器的入侵检测系统的模型，并对模型各 个模块作了详细的描述。 4 此外，本文在分析基于虚拟机监控器的入侵检测系统的结构与原理的基础上， 给出了数据采集模块的实现过程及详细的代码说明。 5 最后，通过对主机资源占用率的测试，证明了本虚拟环境可以有效地工作，该 环境对于入侵检测系统的检测完全性没有明显的负面影响，而对于入侵检测系统的本 身的完整性保障有了显著提高，证明虚拟机监控器下的入侵检测系统能够结合基于主 机和网络两种入侵检测系统的优点而进行工作。 6 太原理1 ：人学硕士研究生学位论文 第二章基于系统调用序列的入侵检测 2 1 基于系统调用的入侵检测 基于主机系统调用序列的入侵检测技术，是针对主机系统调用数据集进行监测的 一种网络安全技术。对主机系统调用的监测，可以不考虑用户差别，从系统自身行为 的合法性和破坏性上鉴别入侵行为，从而有效地控制和监管特权程序的使用，辨别滥 用职权恶意攻击的行为是否发生。对于利用系统脆弱性或应用程序漏洞实施类似缓冲 区溢出而获取系统特权进行恶意攻击的系统检测，有着其他检测系统不可比拟的优 势。 操作系统的功能之一是向用户程序提供执行环境。为了达到这个目的，内核必须 为用户态进程与硬件设备进行交互提供一组接口。用户程序只有通过这组接口，才可 以获得内核提供的各种服务，核心将以调用者身份在内核态执行这些用户请求，并把 执行结果作为返回值传递给用户进程。因此，这个接口为用户进程共享内核代码提供 了唯一的绿色通道，该接口被称为系统调用接口或系统调用。l i n u x 操作系统为了保证 系统不受一般用户进程的损害，分为用户态和内核态。一个进程通常是在用户态下运 行，当进程需要访阅系统资源，如读写文件、操作网络、创建进程时，就必须转换到 内核态进行，这个转换是通过系统调用进行的。 系统调用是操作系统和用户程序的接口，是操作系统提供服务的主要手段，同时 也是操作系统中用户态和核心态之间转换的自然分界面，用户程序必须通过系统调用 才能获得操作系统内核提供的各种服务。所以针对系统调用进行入侵检测的实施，将 能够增加入侵检测的准确性，并使得分层安全和实时监测成为可能。 特权进程一般指用来提供某种特殊服务的进程，这些服务的实现需要被给予超过 普通用户的权限，如超级用户的使用权限口l ，所以大多数入侵通过利用特权进程的漏洞 获得特权用户的权限来破坏计算机系统。由于通常特权进程执行的是特定的受限的功 能，其行为在一段时间内相对用户行为是固定的，范围也小，因此容易对其进行监 控。这样，采用监控特权进程的系统调用行为来检测入侵的方法受到了越来越多研究 者的关注。 基于系统调用的入侵检测主要用特权进程所产生的系统调用信息对用户j 下常行为 轮廓进行描述或预测，以此来与未知行为的系统调用信息进行比较，判别是否发生入 7 太原理工大学硕士研究生学位论文 侵。研究表明，监视特权进程的系统调用序列是一种区分正常和入侵行为的简单可观 测方法，而且对系统调用序列的分析和建模，比对审计数据的分析和建模更为简单闱。 2 2 系统调用的相关理论 通常，在操作系统的核一t l , 中都设置了一组用于实现各种系统功能的子程序( 过 程) ，也就是系统在其内核里内建的函数，这些函数可以用来完成一些系统级别的功 能，操作系统将它们提供给用户，让用户调用这些子程序，称之为系统调用( s y s t e m c a l l s ) 。每当用户在程序中需要操作系统提供某种服务时，便可以利用一条系统调用 命令，去调用系统过程。它一般运行在核心态；通过中断进入；返回时通常需要重新 调度( 因此不一定直接返回到调用过程) 。系统调用是沟通用户( 应用程序) 和操作 系统内核的渠道。， 2 2 1 操作系统的分层与保护机制 在l i n u x 系统中，操作系统分层结构如图2 1 所示： f t p t c i n e th n 口 编译程序文奉编辑器 连接程序s h e l l 命令解释器 系统调用接口 核心程序 驱动程序 硬件设备 图2 - 1l i n u x 株作系统分层图 f i g 2 1l a y e r so fl i n u xo s l i n u x 内核提供了一个与计算机硬件等价的虚拟计算机平台。它抽象了许多硬件细 节，程序可以以某种统一的方式进行数据处理，而程序员则可以避开许多硬件细节。 从另一个角度讲，内核是一个资源的管理者，在它的帮助下，用户可以采用某种易于 理解的方式组织自己的数据，完成自己的工作并和其他人共享资源。 系统调用是用户程序和l i n u x 内核的接口，用户程序可以通过系统调用陷入至l j l i n u x 内核执行相关的功能和操作，可以使用操作系统提供的有关设备管理、输入输出系 统、文件系统和进程控制、通信以及存储管理等方面的功能，而不必了解系统程序的 内部结构和有关硬件细节，从而起到减轻用户负担和保护系统以及提高资源利用率的 8 太原理j ：大学硕士研究生学位论文 作用。 在l i n u x 系统中，每个用户进程都可以访问4 g b 的线性地址空间。其中0 x 0 0 0 0 0 0 0 0 0 x b f f f f f f f 的3 g b 空间为用户态空间，用户态进程可以直接访问。从0 x c 0 0 0 0 0 0 0 o x 3 f f f f f f f 的i g b 空间为内核态空间，存放内核访问的代码和数据，用户态进程不能 直接访问。当用户进程通过中断或系统调用访问内核态空间时，会触发x 8 6 的特权级转 换，即从用户态切换到内核态。 用户空间是用户所启动的进程在内存中的执行位置，包括了除了核心空间之外， 所有可供使用的内存空间。在用户进程之间，l i n u x 提供了完备的保护措施，以避免进 程间相互干扰，只有核心程序才有存取其它进程的用户空问的权利。当一个进程在此 存储空间执行时，该进程被称为用户模式下作业，处于用户态。 系统的核心空间是含有系统一切核心代码的内存空间。l i n u x 系统是多用户任务系 统，同一时间为一个以上的用户服务，也同时存在好几个进程。因此，系统资源可能 由多个进程共享。为了使各个进程能正常地运行，l i n u x 系统使用系统调用提供核心服 务。当进程启动后它多半是执行本身的程序代码，此时，进程处于用户态。如果这 个进程调用一个系统调用，那么它立刻变成核心迸程，并具有执行内核服务程序的权 利。在此时该进程成为核心程序模式下作业，处于核心态。 i3 8 6c p u 为每个任务提供了四种特权级，它们分别是0 级、1 级、2 级和3 级。其中0 级是最高特权级，3 级是最低特权级。l i n u x 内核代码运行在最高特权级，而用户代码 则工作在最低特权级。用户程序进入内核空间，硬件上最终是由c p u 发出中断指令来 实现。 。 2 2 2u n u x 系统调用的实现 1 系统调用与函数的区别 从系统完成的功能来看，函数库提供的函数通常不需要利用操作系统的服务，函 数在用户空间内执行，除非函数涉及n v o 操作等，一般不会切换到核心态。系统调用 要求操作系统为用户进程提供某种服务，通常涉及系统的硬件资源和一些敏感的软件 资源等。函数库的函数，尤其与输入输出相关的函数，大多必须通过l i n u x 的系统调用 来完成。因此将函数库的函数当成应用程序设计人员与系统调用程序之间的一个中间 层，通过这个中间层，可以用一致的接口来安全地使用系统调用。这样程序员可以只 要写一次代码就能够在不同版本的l i n u x 系统间使用各种不同实现的系统调用。至于如 何实现对不同的系统调用的兼容性问题，那是函数库开发者所关心的问题。 9 太原理 大学硕士研究生学位论