基于虚拟机的实时文件保护机制研究(2)
图1.2 Tripwire的工作原理
从上面对Tripwire的分析,容易看出以Tripwire为例的传统的文件保护机制主要存在以下的三个缺陷:
1. 延迟探测:由于以上传统的完整性检测都是通过周期性检查文件的哈希值或属性值。由于每次检查前都要生成文件的数字签名,系统的开销大、性能低、延迟长,入侵者在周期的延迟时间内有机会逃避检测并渗透系统。
2. 维护开销:由于文件的检验值等重要的文件信息都保存在数据库中,是检查
入侵的关键所在,所以数据库的安全性是必须保证的,维护数据库也将给系统带来不小的性能开销。
3. 易被攻击:首先,Tripwire对文件的检验是建立于与初始值比较之上的,如果初始值是已经被篡改后的文件,那么文件保护就可能会失败;另外,文件保护软件与恶意代码运行在执行空间内,软件本身的可靠性难以保证。恶意代码有可能通过获取系统root权限隐藏自己的痕迹进而破坏文件保护系统[19]。
1.2.2基于虚拟机的文件保护机制
近年来,传统环境下的文件保护已经取得了很大的进步,但是仍然存在很多局限性,虚拟化技术给我们创造了更多的发展空间和巨大的便利,各种针对不同应用的安全机制被提出用于保护系统内核和用户文件的完整性[20-24]。
在文献[25]中提出了一种基于虚拟机的访问控制模型UCONKI,该模型提出了一种策略规范和体系结构,其目的在于提供一种灵活细致地保护操作系统的内核的完整性,有效地预防和检测内核态攻击工具rootkit恶意攻击,除此以外还提供对操作系统普通应用程序的保护。UCONKI模型包括三个主要模块:执行器(VME),特征库(AR),决策点(PDP)。VME用于截取虚拟机中发出的访问请求,控制主客体的特征出入栈和实施访问策略。AR用于储存主客体的特征及对主客体的特征进行压栈。PDP根据策略库传递授权决策。为了提高性能, UCONKI还使用AVC作为访问决策的缓冲区。
UCONKI 的工作流程如下:首先一个由主体(虚拟机中的一个进程)发出一个访问请求,位于VMM中的VME捕获到这个请求后,查询访问矢量缓冲区(AVC),如果缓冲区存在一个决策且上次访问后主客体的特征值都没有发生改变,则采用该决策,并将该决策提交给VME执行;否则VME将这个请求和特征提交给PDP。PDP根据主客体的特征值做出访问控制决策,最后决策被提交给VME并在虚拟机执行环境中实施。
UCONKI主要的缺陷在于大部分的实现模块在VMM中实现,修改了大量VMM的代码,使得VMM变的很庞大,增加了系统开销,对系统的性能产生很大的影响。VMM作为系统任务控制模块的一部分,对VMM的修改也大大降低了整个系统的安全性和稳定性[26]。
XenFIT[27]是一个实时检测DomU中文件完整性的工具,它可以实时监控到
DomU中的入侵行为并向Dom0报警。XenFIT和 Tripwire等传统保护方法不同,无需建立或者更新数据库。XenFIT将安全策略和检测进程置于一个安全的虚拟机中,即使整个虚拟机被攻陷,XenFIT还是可以正常工作。XenFIT的主要缺陷在于需要修改客户操作系统的代码,需要设立检查点,且性能开销是未运行XenFIT的十倍以上。 XenAccess[28]主要目的是为开发人员提供对运行在Xen上的客户操作系统的监控库,主要包括对虚拟内存和虚拟磁盘的监控。它的目标在于为监控的应用程序例如入侵检测[29-31],文件的完整性校验,蜜罐系统[32]等提供安全高效的监控接口,以方便开发人员的后期工作,XenAccess没有包含任何功能性的模块,它没有做任何检测或者保护的工作。
XenAccess对磁盘文件的检测流程如图1.3所示[33],首先客户操作系统中发出一个系统调用mkdir,这个系统调用被系统内核转换称为底层操作并传递给后端驱动;接着块数据流在被tapdisk驱动[33][33]处理前被封装并传输到接口管道中;从管道中读出块数据并插入哈希表;如果哈希表中存在包含/tmp的X块,则对X块进行解析和排序;对新旧版本的X块的哈希值进行比较,根据比较结果判断目录的创建与否。
图1.3 XenAccess对于虚拟磁盘的监控流程
由于XenAccess只是对文件目录的大小进行比较,所以它只能监测到磁盘文件和目录的创建和删除,对于文件的读写的监控还没有实现,而且XenAccess并没有对磁盘文件提出一个有效的保护方法。这里所提出的基于虚拟机的实时文件保护机
制就是基于XenAccess的磁盘监控的基础之上提出的,但是该机制的原型系统和XenAccess相比有很大不同,主要表现为以下两点:
1. XenAccess只对文件和目录的创建和删除做到实时的监控,这对于文件的实时保护来说意义不大,基于虚拟机的实时文件保护机制中文件的监控部分能够做到对文件的修改操作的实时捕获,包括文件修改操作的详细信息,包括文件名、所在客户操作系统、文件操作、修改时间、修改文件的用户、进程号和进程名称等。
2. XenAccess没有实现对文件内容的保护,XenAccess提供了一个监控文件目录创建和删除的接口,并没有提供对系统用户来说实现实际的功能,例如文件保护,入侵检测等。基于虚拟机的实时文件保护机制中,主要针对客户操作系统中内核文件和用户重要文件的安全性,在Dom0中通过文件沙箱对其实现有效地保护。 根据以上讨论和分析,一个完美的文件保护系统(FPS)应该具备以下几个特征:
1. 非入侵性:不修改目标操作系统内核模块或者VMM的代码,首先可以防止非确定错误(如兼容性问题或者添加的代码本身有错误)的发生;其次保证了系统内核和VMM本身的完整性和高效性;另外,还使得FPS能够更广泛地应用于多种操作系统之上。
2. 实时性:能够实时检测到目标操作系统中对文件的操作,并且能够对相应的操作做出决策判断,采取适当的措施实时地保证文件的安全。
3. 透明性:对于目标操作系统和其中的恶意代码应该是透明的,防止攻击者反探测到FPS,有碍于文件保护工作的实施。
4. 隔离性:与目标操作系统及其中的恶意代码隔离,保证恶意代码无法攻击FPS,即使当操作系统被攻陷时,FPS仍然能够正常工作。
1.3 课题背景与研究内容
本课题来源于国家研究重点基础研究发展计划973项目“计算系统虚拟化基础理论与方法研究” (No.2007CB310900)的课题五“虚拟计算系统安全可信机制研究”,本课题同时得到了国家自然科学基金(No.60803114)的资助。该课题面向虚拟计算系统的运行环境,主要研究单个宿主机上虚拟机之间的安全隔离和故障隔离机制,保证它们的计算性能不会相互影响,其中一台虚拟机的入侵不会影响到其他虚拟机的正确运行,某一虚拟机故障的产生不会影响其它虚拟机的正常运行;研究虚拟机之间的安全访问机制,实现多虚拟机对软硬件资源的安全高效共享。
根据该课题的研究内容和目标并结合虚拟机中文件存储的特点,本文以提高虚拟机中客户操作系统的安全性为出发点,在深入理解和分析国内外文件保护研究现状的基础上,针对当前流行的Xen的半虚拟化结构提出了一种与传统文件保护和访问控制方法不同的,位于目标客户操作系统之外的,实时的文件保护机制。并通过对客户操作系统中文件操作的解析,为在虚拟机之外获取客户操作系统中磁盘操作信息提供了一种行之有效的途径。基于虚拟机的实时文件保护机制的关键在于如何在Dom0中实时地获取DomU中客户操作系统中文件的操作信息,并解析出相关文件操作的语义以及如何适应虚拟机的动态部署,包括虚拟机的创建、迁移和销毁。 本文研究和分析了基于虚拟机的实时文件保护机制(VRFP)并实现了其原型系统(VRFPS),主要的 …… 此处隐藏:3032字,全部文档内容请下载后查看。喜欢就下载吧 ……
相关推荐:
- [教育文库]夜场KTV服务员的岗位职责及工作流程[1]
- [教育文库]企划、网络、市场绩效考核方案
- [教育文库]学党史、知党情、强党性--“党的基本理
- [教育文库]2016年高考物理大一轮总复习(江苏专版
- [教育文库]干部廉洁自律自查自纠的报告
- [教育文库]2010年北京大学心理学系拟录取硕士研究
- [教育文库]资金时间价值练习题及答案
- [教育文库]保护环境的心得体会
- [教育文库]英语角内容:英语趣味小知识
- [教育文库]档案收集与管理工作通知
- [教育文库]劳动规章制度范本范本
- [教育文库]高考物理一轮复习课后限时作业1运动的
- [教育文库]机械工艺夹具毕业设计195推动架设计说
- [教育文库]通用技术教学比赛说课稿2
- [教育文库]2018年四年级英语下册 Module 7 Unit 2
- [教育文库]第2章 宽带IP网络的体系结构
- [教育文库]九年级化学第五单元课题3《根据化学方
- [教育文库]小学英语六年级情态动词用法归纳
- [教育文库]甲级单位编制窑井盖项目可行性报告(立
- [教育文库]2016-2021年中国城市规划行业全景调研
- 高考英语听力十大场景词汇总结
- 全省领导班子思想政治建设座谈会会议精
- 人教版新课标高一英语提优竞赛试题 下
- 江西省2014年生物中考试题
- 长沙镇食品药品安全事故应急预案
- 《金刚石、石墨和C60》片段教学设计
- 福州教育学院(王旭东)
- 基于EDA音乐播放器的设计
- 9、古诗两首《夜书所见》《九月九日忆
- 小学语文课外阅读有效策略探讨
- 贵州文化产业发展成支柱产业的问卷调查
- 膀胱类癌的诊治体会(附3例报告)
- 发动机积碳产生的原因
- Configuring Code Composer Studio for
- 学生良好的心理素质如何培养点滴谈
- 46 电沉积法制备锂离子电池用硅-锂薄膜
- 美舍雅阁公司管理中各部门职责
- 去壳剥皮的小妙招
- 六自由度运动平台的仿真研究
- Pride and Prejudice(傲慢与偏见)




