摘 要：在當(dāng)今虛擬網(wǎng)絡(luò)中，傳統(tǒng)的入侵檢測系統(tǒng)明顯表現(xiàn)出不適應(yīng)性。雖然它能夠向被監(jiān)測中的活動主機給予很好的安全保護，清晰地反饋對受監(jiān)測中網(wǎng)絡(luò)的運作情況，并對系統(tǒng)發(fā)出異常請求的數(shù)據(jù)包進行攔截分析評估報警，同時又能排查網(wǎng)絡(luò)發(fā)生的故障。但是，隨著虛擬化網(wǎng)絡(luò)的發(fā)展，傳統(tǒng)的入侵檢測系統(tǒng)也逐漸在虛擬環(huán)境中表現(xiàn)的有心無力。因此針對虛擬機的入侵檢測系統(tǒng)是一個值得研究的課題。

關(guān)鍵詞：虛擬化；入侵檢測

中圖分類號：TP393.08

隨著云技術(shù)的風(fēng)靡與發(fā)展，傳統(tǒng)的入侵檢測系統(tǒng)已無法滿足云環(huán)境下基于虛擬機的服務(wù)器的安全檢測工作，虛擬化的入侵檢測系統(tǒng)已成為大勢所趨。該項目研發(fā)成功后定能滿足現(xiàn)在云服務(wù)器的安全檢測需求，適合于保障虛擬機的安全進程。

1 面臨難題

在運用日趨平凡的今天，傳統(tǒng)的入侵檢測系統(tǒng)無法實現(xiàn)云環(huán)境下服務(wù)器的安全檢測工作。那些基于物理硬件的入侵檢測設(shè)備只能防護傳統(tǒng)的同樣是基于硬件的服務(wù)器，而對于云服務(wù)器來說，我們只能用虛擬入侵檢測系統(tǒng)來防護其安全。而現(xiàn)在市場上已有的面向虛擬化的入侵檢測機制大概暴露出以下不足：

（1）一個虛擬入侵檢測系統(tǒng)只能監(jiān)測一臺物理主機

入侵檢測系統(tǒng)只能檢測到運行在同一臺物理主機上的虛擬機。如果想實現(xiàn)對任何物理機上的虛擬機進行監(jiān)測，那勢必要在所有物理機上配備虛擬入侵檢測系統(tǒng)，這樣會加大系統(tǒng)的維護難度。

（2）入侵檢測系統(tǒng)會監(jiān)測所有數(shù)據(jù)包

當(dāng)部署了虛擬IDS之后，所有數(shù)據(jù)包通過都會被檢測一遍，這樣就必然大量占取CPU等資源，同時更是降低了虛擬網(wǎng)絡(luò)的工作效率等性能。

（3）虛擬IDS的崩潰會導(dǎo)致同一物理機下的其它虛擬機受到不同程度的影響

虛擬入侵檢測系統(tǒng)一旦癱瘓，物理機上的虛擬網(wǎng)絡(luò)就會隨之down掉，給同一物理機上的虛擬機造成不可估量的損失。但是，物理機已然正常工作，而且能夠保持與外界網(wǎng)絡(luò)的通信。然而最大的問題是，我們不能將受害的虛擬機從原來的物理機上移植到其他物理機上。

（4）在同一安全域的數(shù)據(jù)會被檢測多次

即使同一物理機上的虛擬機之間發(fā)送的數(shù)據(jù)包均屬于同一個安全域，它們還是會被重復(fù)檢測，但是這是傳統(tǒng)入侵檢測系統(tǒng)沒有的地方。

2 系統(tǒng)方案

本系統(tǒng)的功能模塊主要包括數(shù)據(jù)探測模塊、入侵檢測引擎、響應(yīng)模塊和跨虛擬機的通信機制。以圖1為例，如圖所示為傳統(tǒng)的虛擬網(wǎng)絡(luò)架構(gòu)，當(dāng)有操作系統(tǒng)請求網(wǎng)絡(luò)數(shù)據(jù)或是遭受到不明網(wǎng)絡(luò)攻擊時，對于其他操作系統(tǒng)上的網(wǎng)絡(luò)嗅探器則無法偵測到本操作系統(tǒng)的動作。這是由于物理隔離的存在。因此我們必須為我們用于測試用的實驗平臺openSUSE的內(nèi)核和kvm打上某種補丁從而使作為其中一臺虛擬機的入侵檢測系統(tǒng)能夠全盤檢測并截獲在整個網(wǎng)絡(luò)里活動的任何一個數(shù)據(jù)包。據(jù)我們得知，vPF_RING可以通過創(chuàng)建主機內(nèi)核空間和來賓用戶空間之間的映射，允許數(shù)據(jù)包按照直線路徑從網(wǎng)卡到虛擬機上運行的監(jiān)測應(yīng)用做到這一點。也就是數(shù)據(jù)包被捕獲一次，并分派到各個虛擬機。因此，我們大膽地猜測如果將pf_ring協(xié)議作為補丁引入內(nèi)核中，應(yīng)該會產(chǎn)生不一樣的效果。

以網(wǎng)絡(luò)嗅探方式啟動snort并對本虛擬網(wǎng)絡(luò)實行監(jiān)聽，捕獲分析分片數(shù)據(jù)包負載狀況。ping請求數(shù)據(jù)包是以分片方式發(fā)送出來的，其中數(shù)據(jù)串“15161718191A”被分割到兩個數(shù)據(jù)包中單獨進行發(fā)送，接收方由TCP/IP的第三層（網(wǎng)絡(luò)層）對分片進行重組，進而才將“15161718191A”重組到一個數(shù)據(jù)包中。

4 結(jié)束語

vPF_RINR技術(shù)可以通過創(chuàng)建主機內(nèi)核空間和來賓用戶空間之間的映射，允許數(shù)據(jù)包按照直線路徑從網(wǎng)卡到虛擬機上運行，也就是數(shù)據(jù)包被捕獲一次，并分派到各個虛擬機。從而能實現(xiàn)入侵檢測系統(tǒng)能夠全盤檢測并截獲在整個網(wǎng)絡(luò)里活動的任何一個數(shù)據(jù)包，真正達到監(jiān)測目的。

參考文獻：

[1]Bellard F QEMU：A Fast and Portable Dynamic Translator2012.

[2]Sun Weiqing；Liang Zhenkai；Venkatakrishnan V N One-Way Isolation：An Effective Approach for Realizing Safe Execution Environments.2011.

[3]Liang Z；Venkatakrishnan V N；Sekar R Isolated Program Execution：An Application Transparent Approach for Executing Untrusted Programs.2009.

[4]Whitaker A；Shaw M；Gribble S D Denali：Lightweight Virtual Machines for Distributed and NetworkedApplications2010.

[5]Whitaker A；Shaw M；Gribble S D Denali：A Scalable Isolation Kernel.2009.

[6]Chen P M；Noble B D When Virtual is Better Than Real.2011.

[7]Chess D M；White S R An Undetectable Computer Virus.2007.

[8]新浪博客.http：//blog.sina.com.cn/z65c00m小叫花子的博客.

作者簡介：董研（1990.06-），男，河北人，星網(wǎng)絡(luò)安全社成員，本科，研究方向：網(wǎng)絡(luò)安全；吳文康（1992.07-），男，廣東人，七星網(wǎng)絡(luò)安全社成員，本科，研究方向：web開發(fā)與安全；王鵬飛（1993.02-），男，甘肅人，七星網(wǎng)絡(luò)安全社成員，本科，研究方向：網(wǎng)絡(luò)安全。

作者單位：北京信息科技大學(xué)，北京 100000