宣曉帥 張冬陽(yáng) 梁義欽 翟繼強(qiáng)

摘要：針對(duì)入侵檢測(cè)系統(tǒng)（IDS）存在可見(jiàn)度不高、隔離性差、目標(biāo)系統(tǒng)不完整等問(wèn)題，提出了新的入侵檢測(cè)系統(tǒng)架構(gòu)（XenIDS）。該架構(gòu)基于Xen虛擬機(jī)監(jiān)視器Xen VMM，對(duì)目標(biāo)系統(tǒng)沒(méi)有干擾行為，并引入入侵檢測(cè)域（IDD）。根據(jù)安全策略響應(yīng)入侵，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)IDS，使用rootkit數(shù)據(jù)集進(jìn)行測(cè)試和評(píng)估，結(jié)果表明XenIDS在增加有限開(kāi)銷的情況下可以有效檢測(cè)攻擊。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；虛擬機(jī)監(jiān)視器；Xen；入侵檢測(cè)域

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2019）20-61-4

0引言

目前存在2種主流類型的入侵檢測(cè)系統(tǒng)：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）和基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）。NIDS通過(guò)數(shù)據(jù)包嗅探技術(shù)監(jiān)控網(wǎng)絡(luò)流量，檢測(cè)流量中的惡意活動(dòng)。這種架構(gòu)內(nèi)在的缺點(diǎn)是入侵分析數(shù)據(jù)有限、檢測(cè)本地攻擊能力不足以及性能開(kāi)銷大。HIDS基于主機(jī)的結(jié)構(gòu)被部署在目標(biāo)系統(tǒng)中，監(jiān)視或分析系統(tǒng)日志文件和收集數(shù)據(jù)來(lái)識(shí)別、檢測(cè)計(jì)算機(jī)中的惡意或侵入性活動(dòng)[1]，易于被訪問(wèn)和攻擊，存在可見(jiàn)度低、隔離性差及效率低等問(wèn)題。

為了解決基于主機(jī)和基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)中存在的問(wèn)題，提出一種基于虛擬機(jī)監(jiān)控器Xen VMM的XenIDS，不僅可以靈活簡(jiǎn)便地檢測(cè)攻擊，還可以對(duì)攻擊做出積極響應(yīng)，具有良好的可視性、可靠性和隔離性。

1虛擬機(jī)監(jiān)控技術(shù)

1.1虛擬機(jī)監(jiān)視器

硬件虛擬化技術(shù)被稱為虛擬機(jī)擴(kuò)展（Virtual Machine Extension，VMX），主要包含虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）與客戶操系統(tǒng)（Guest OS）。VMM位于VMX root模式，運(yùn)行在Guest OS下一層，相比Ring 0層權(quán)限更大，可完全控制Guest OS對(duì)各種資源的訪問(wèn)，包括CPU、內(nèi)存、中斷管理和I/O控制等。

VMM是一個(gè)用于計(jì)算機(jī)系統(tǒng)的精簡(jiǎn)軟件層，將原本在物理處理器中運(yùn)行的操作系統(tǒng)變成Guest OS，可創(chuàng)建與真實(shí)硬件機(jī)器相同的高效隔離虛擬機(jī)環(huán)境[2]。使用VMM將物理機(jī)轉(zhuǎn)換為一組虛擬機(jī)，不同的虛擬機(jī)加載不同的操作系統(tǒng)副本，每個(gè)副本完全與其他副本隔離。

1.2 Xen

Xen是一個(gè)開(kāi)放源代碼的裸金屬架構(gòu)VMM，由劍橋大學(xué)開(kāi)發(fā)，也稱Hypervisor虛擬化。在底層硬件上安裝VMM作為虛擬機(jī)監(jiān)控程序，可以管理所有的硬件資源，同時(shí)對(duì)虛機(jī)提供虛擬環(huán)境。在裸金屬架構(gòu)中，MM是專用于虛擬化服務(wù)的中間層，向下管理CPU、內(nèi)存/ IO等所有物理資源，向上提供虛擬機(jī)OS。

Xen VMM為虛擬機(jī)提供了足夠的可見(jiàn)性，通過(guò)定義良好的接口來(lái)監(jiān)視虛擬機(jī)的所有狀態(tài)[3]。Xen VMM的擴(kuò)展域Domain 0通過(guò)Xen框架提供的libxc庫(kù)訪問(wèn)所有虛擬機(jī)的整個(gè)內(nèi)存空間。Xen具有優(yōu)秀的性能和隔離能力，可以記錄受監(jiān)控目標(biāo)VM系統(tǒng)中發(fā)生的系統(tǒng)事件，并轉(zhuǎn)儲(chǔ)相關(guān)的上下文信息。Xen VMM支持許多平臺(tái)，如X86，IA64，Power PC，Arm等，提供虛擬機(jī)之間的安全分區(qū)。

1.3基于VMM的入侵檢測(cè)

傳統(tǒng)IDS的缺點(diǎn)源于架構(gòu)的固有限制，很難克服或減輕。針對(duì)以上問(wèn)題，提出基于虛擬機(jī)架構(gòu)的解決思路。

（1）可見(jiàn)度

基于網(wǎng)絡(luò)的IDS對(duì)目標(biāo)系統(tǒng)的內(nèi)視性較差，檢測(cè)功能受限?；赩MM的架構(gòu)能夠訪問(wèn)整個(gè)真實(shí)機(jī)器系統(tǒng)[4]，因此更容易檢查客戶虛擬機(jī)中運(yùn)行的被監(jiān)控目標(biāo)系統(tǒng)的狀態(tài)。

（2）可靠性和隔離性

基于主機(jī)的IDS存在可靠性和隔離問(wèn)題。VMM可以更好地保護(hù)不同系統(tǒng)中的組件。與必須支持文件系統(tǒng)和網(wǎng)絡(luò)協(xié)議棧等的傳統(tǒng)操作系統(tǒng)不同，VMM僅需要呈現(xiàn)相對(duì)簡(jiǎn)單的抽象功能，如虛擬CPU和存儲(chǔ)器[5]。此外，VMM將目標(biāo)系統(tǒng)與在分離的虛擬機(jī)系統(tǒng)中實(shí)現(xiàn)的入侵檢測(cè)系統(tǒng)隔離，目標(biāo)系統(tǒng)不能以任何方式訪問(wèn)或控制IDS組件。

（3）效率

傳統(tǒng)的基于主機(jī)的架構(gòu)通常會(huì)大幅降低系統(tǒng)性能，因?yàn)樗黾恿嗽S多額外的機(jī)制來(lái)跟蹤系統(tǒng)狀態(tài)。雖然VMM需要額外的開(kāi)銷來(lái)實(shí)現(xiàn)虛擬機(jī)環(huán)境，但大量虛擬機(jī)監(jiān)視器的實(shí)際應(yīng)用和實(shí)驗(yàn)測(cè)試表明，虛擬化帶來(lái)的開(kāi)銷可以忽略不計(jì)。

（4）目標(biāo)系統(tǒng)完整性

基于主機(jī)的體系結(jié)構(gòu)中，為了從系統(tǒng)中獲取更多信息，IDS依賴于將模塊插入到OS內(nèi)核中，但這會(huì)破壞目標(biāo)系統(tǒng)的完整性。而利用VMM監(jiān)控目標(biāo)系統(tǒng)并獲取目標(biāo)系統(tǒng)的狀態(tài)，VMM能夠訪問(wèn)真實(shí)和虛擬系統(tǒng)的任何資源，因此無(wú)需向目標(biāo)系統(tǒng)添加模塊[6]。從系統(tǒng)完整性角度來(lái)看，基于VMM的入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)比基于主機(jī)的體系結(jié)構(gòu)更有優(yōu)勢(shì)。

2 XenIDS架構(gòu)

XenIDS整個(gè)體系結(jié)構(gòu)及其主要組件如圖1所示。XenIDS主要由VMM、入侵檢測(cè)域（IDD）、事件傳感器（ES）、 IDS插樁（IS）和IDD助手（IH）組成。

（1）VMM

由于VMM在最特權(quán)層上運(yùn)行并擁有整個(gè)真實(shí)機(jī)器，因此它能夠檢查虛擬機(jī)的任意行為[7]。在XenIDS中，作為整個(gè)架構(gòu)的基礎(chǔ)，VMM非常方便地實(shí)現(xiàn)了XenIDS的所有組件，負(fù)責(zé)管理虛擬機(jī)，為虛擬機(jī)提供通信通道。此外，它還是IDD和IH的容器。

（2）ES

ES是一個(gè)單獨(dú)模塊，與VMM具有相同的特權(quán)屬性，例如控制虛擬機(jī)及檢查虛擬機(jī)的內(nèi)存等?？梢员O(jiān)控目標(biāo)系統(tǒng)的狀態(tài)，例如部署系統(tǒng)調(diào)用傳感器以獲取在目標(biāo)系統(tǒng)中發(fā)生的系統(tǒng)調(diào)用序列。設(shè)計(jì)不同的傳感器來(lái)收集各種數(shù)據(jù)，以檢測(cè)入侵或獲取有關(guān)攻擊者的信息。ES需要公開(kāi)一些接口與其他組件通信。由于ES完全在VMM中實(shí)現(xiàn)，不像基于主機(jī)的架構(gòu)通常需要在目標(biāo)系統(tǒng)內(nèi)核中實(shí)現(xiàn)鉤子或攔截器。

（3）IDD

在XenIDS中，使用專用虛擬機(jī)實(shí)現(xiàn)IDD。在Xen環(huán)境中，半虛擬化用戶域用于實(shí)現(xiàn)此目標(biāo)。考慮到安全性，IDD作為一個(gè)簡(jiǎn)單的系統(tǒng)實(shí)現(xiàn)，具有最小內(nèi)核和根文件系統(tǒng)。

IDD具備良好接口。IDD接口與VMM接口一起工作，在VMM和IDD之間提供特定的通信通道。通常接口具有2個(gè)功能：

①當(dāng)ES從目標(biāo)系統(tǒng)獲取一些數(shù)據(jù)并將它們存儲(chǔ)到跟蹤緩沖區(qū)時(shí)，需要通過(guò)接口向IDD發(fā)送通知，讓IDD從跟蹤緩沖區(qū)獲取它們進(jìn)行進(jìn)一步分析，通知機(jī)制依賴于這些定義良好的接口。

②如果IS想要采取預(yù)防措施來(lái)控制受損系統(tǒng)，可以通知VMM中的IH通過(guò)這些接口控制目標(biāo)系統(tǒng)。

（4）IS

IS作為入侵檢測(cè)系統(tǒng)的核心組件，負(fù)責(zé)解釋目標(biāo)系統(tǒng)的數(shù)據(jù)，記錄入侵報(bào)告、報(bào)告潛在的攻擊以及響應(yīng)攻擊。由于IS部署在專用IDD中，因此在它與目標(biāo)系統(tǒng)之間提供了強(qiáng)大的隔離。另一個(gè)優(yōu)勢(shì)是它提供的響應(yīng)機(jī)制。通常，如果目標(biāo)系統(tǒng)受到攻擊，除了發(fā)出警報(bào)外，IDS不能采用預(yù)防性操作來(lái)控制目標(biāo)系統(tǒng)，但是可以通過(guò)虛擬機(jī)環(huán)境中的響應(yīng)機(jī)制執(zhí)行預(yù)防策略來(lái)控制受損目標(biāo)系統(tǒng)。例如IS可以暫停或重新引導(dǎo)目標(biāo)系統(tǒng)，以防止系統(tǒng)受到后續(xù)攻擊。

（5）IDD Helper

IDD Helper作為單獨(dú)的模塊部署在VMM中，職責(zé)是幫助IS完成預(yù)防措施。當(dāng)IS檢測(cè)到潛在攻擊時(shí)，系統(tǒng)管理員希望采取一些預(yù)防措施，以避免泄露數(shù)據(jù)或資源。在這種情況下，IDS可以根據(jù)相關(guān)策略在IH的幫助下暫停或重啟受感染的目標(biāo)系統(tǒng)。

這些組件需要與整個(gè)虛擬機(jī)環(huán)境一起工作，Xen基礎(chǔ)結(jié)構(gòu)的其他組件，如Domain 0、HVM域和用戶域用于構(gòu)建整體體系結(jié)構(gòu)。

3 XenIDS實(shí)現(xiàn)

3.1 VMM及IDD

直接使用Xen的用戶域來(lái)實(shí)現(xiàn)入侵檢測(cè)域IDD來(lái)分析入侵，并部署靈活的策略引擎。但考慮到IDD需要受限制的安全性要求這一事實(shí)，定制了一個(gè)用戶域內(nèi)核來(lái)實(shí)現(xiàn)IDD。IDD的內(nèi)核僅保留最低運(yùn)行要求，保留網(wǎng)絡(luò)核心架構(gòu)支持和除前端驅(qū)動(dòng)程序之外的設(shè)備驅(qū)動(dòng)程序。

3.2事件傳感器

通過(guò)分析特殊進(jìn)程的系統(tǒng)調(diào)用序列，可以識(shí)別出可能的入侵。在XenIDS中，實(shí)現(xiàn)的主要工作是攔截客戶虛擬機(jī)中進(jìn)程的動(dòng)態(tài)行為（系統(tǒng)調(diào)用的順序）。

為了捕獲所有目標(biāo)系統(tǒng)中的系統(tǒng)調(diào)用事件，提出一個(gè)五元組（VM-id，Pid，P-name，Syscall-Num，Args）來(lái)封裝事件傳感器的所有系統(tǒng)調(diào)用信息。XenIDS利用Xen域ID（VM-ID）來(lái)區(qū)分HVM域[8]。

（1）VM標(biāo)識(shí)（VM-ID）

Xen VMM中的唯一標(biāo)識(shí)符，用于標(biāo)識(shí)Xen中的不同虛擬機(jī)。在實(shí)際執(zhí)行中Xen VMM負(fù)責(zé)在VM創(chuàng)建時(shí)分配和取消分配VM-ID。

（2）進(jìn)程ID（Pid）

將此字段用于區(qū)分進(jìn)程，在XenIDS中，它可以通過(guò)存儲(chǔ)在kr6中的task_struct指針來(lái)實(shí)現(xiàn)。Linux將3種不同的數(shù)據(jù)結(jié)構(gòu)（the basic task struct，thread_info，process kernel stack）整合到每個(gè)進(jìn)程的32 KB存儲(chǔ)區(qū)域中，并將基址存儲(chǔ)在kr6中[9]。

（3）進(jìn)程名稱（P-Name）

進(jìn)程名稱也來(lái)自task_struct的字段（char comm[TASK_COMM_LEN]），用于生成最終檢測(cè)報(bào)告。與進(jìn)程標(biāo)識(shí)類似，進(jìn)程名稱也來(lái)自接口copyJrom_guest。

（4）Syscall碼（Syscall-Num）

在Linux OS中系統(tǒng)調(diào)用碼用于標(biāo)識(shí)系統(tǒng)調(diào)用，并在頭文件asrnlunistd.h中定義所有系統(tǒng)調(diào)用號(hào)。在IA64 Linux OS中，軟件調(diào)用約定使用臨時(shí)寄存器r15來(lái)編碼系統(tǒng)調(diào)用號(hào)。在XenIDS中，當(dāng)事件傳感器通過(guò)break，epc指令跟蹤檢測(cè)到可能的系統(tǒng)調(diào)用執(zhí)行時(shí)，可以通過(guò)讀取通用寄存器r15來(lái)獲得系統(tǒng)調(diào)用碼。

（5）參數(shù)（Args）

由于只關(guān)心系統(tǒng)調(diào)用的順序，不使用參數(shù)來(lái)檢測(cè)可能的入侵，但需要將它們作為存儲(chǔ)在IDD插樁中的重要審計(jì)日志信息。系統(tǒng)管理員可以使用這些信息來(lái)確認(rèn)檢測(cè)到的入侵。在XenIDS中，Xen VMM通過(guò)定義良好的接口get_rse_reg，從寄存器堆棧（r32，r33，r34，....）中獲取這些參數(shù)。

事件傳感器用于收集組織為五元組的所有上述信息，并通過(guò)預(yù)定義的接口發(fā)送到跟蹤緩沖區(qū)。隨后IDD可以從跟蹤緩沖區(qū)中獲取并及時(shí)分析可能的入侵。

4測(cè)試與分析

4.1有效性測(cè)試

為了評(píng)估提出的架構(gòu)，使用Xen / IA64實(shí)現(xiàn)了XenIDS原型，使用了Rootkit攻擊數(shù)據(jù)集[10]，包括ARK，Adore工具包和Knark來(lái)測(cè)試它的有效性。XenIDS對(duì)Rootkit攻擊表現(xiàn)出了良好的正確檢測(cè)率。測(cè)試結(jié)果如表1所示。

4.2性能測(cè)試

根據(jù)XenIDS的體系結(jié)構(gòu)，系統(tǒng)開(kāi)銷主要來(lái)自目標(biāo)系統(tǒng)的事件傳感器，部署了微基準(zhǔn)SPEC CPU2000，以顯示事件傳感器對(duì)性能的影響。原生系統(tǒng)和HVM系統(tǒng)都托管在Linux RHEL4U3系統(tǒng)和Intel Tiger4平臺(tái)上，配置20 GB主內(nèi)存，Xen/IA64的Cset12014用于構(gòu)建虛擬化環(huán)境，將其性能數(shù)據(jù)與使用相同硬件配置的原生系統(tǒng)的性能數(shù)據(jù)進(jìn)行比較，詳細(xì)性能數(shù)據(jù)如圖2所示。

在每種情況下，通過(guò)系統(tǒng)調(diào)用傳感器引入的額外開(kāi)銷基本上為0.1%～1.25%。這種性能下降主要源于監(jiān)控系統(tǒng)調(diào)用序列的開(kāi)銷以及目標(biāo)系統(tǒng)與IDD之間的通信。結(jié)果表明，XenIDS架構(gòu)對(duì)性能的影響，在實(shí)際應(yīng)用中是可接受的。

4.3可擴(kuò)展性測(cè)試

由于VMM系統(tǒng)中核心資源之間的相互依賴性，由此產(chǎn)生的系統(tǒng)可擴(kuò)展性是設(shè)計(jì)和實(shí)現(xiàn)虛擬化系統(tǒng)的挑戰(zhàn)。通過(guò)在分配不同數(shù)量的虛擬CPU時(shí)的性能來(lái)評(píng)估XenIDS的可擴(kuò)展性，并分別與HIDS，NIDS的可擴(kuò)展性進(jìn)行比較，如圖3和圖4所示。

由圖3和圖4可以看出，XenIDS的可擴(kuò)展性可以很好地適應(yīng)處理器資源的水平。對(duì)于基準(zhǔn)測(cè)試，XenIDS和HIDS系統(tǒng)的可擴(kuò)展性非常接近。當(dāng)有4個(gè)CPU時(shí)，XenIDS表現(xiàn)出比HIDS系統(tǒng)略好的性能。對(duì)于NIDS的比較實(shí)驗(yàn)獲得了類似的結(jié)果。

5結(jié)束語(yǔ)

本文分析了現(xiàn)有IDS存在的問(wèn)題，針對(duì)其可見(jiàn)度不高、隔離性差及目標(biāo)系統(tǒng)不完整等問(wèn)題，提出一個(gè)基于虛擬機(jī)監(jiān)視器Xen VMM入侵檢測(cè)系統(tǒng)架構(gòu)XenIDS。基于該架構(gòu)設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)IDS，使用Rootkit數(shù)據(jù)集進(jìn)行了測(cè)試和評(píng)估，結(jié)果表明，XenIDS在增加有限開(kāi)銷的情況下可以有效檢測(cè)攻擊。同時(shí)，該架構(gòu)在許多方面可以擴(kuò)展，如可以利用可信計(jì)算技術(shù)構(gòu)建Trust VMM并進(jìn)一步保護(hù)架構(gòu)中的關(guān)鍵組件。

參考文獻(xiàn)

[1]王金輝，胡俊，徐湲策.一種基于HIDS的威脅情報(bào)解決方案[J].網(wǎng)絡(luò)空間安全，2019，10（3）：1-7.

[2]項(xiàng)國(guó)富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控[J].軟件學(xué)報(bào)，2012，23（8）：2173-2187.

[3]馬喆，禹熹，袁傲，等. Xen安全機(jī)制探析[J].信息網(wǎng)絡(luò)安全， 2011（11）：31-35.

[4] Zhang F，Chen J，Chen H，et al. Cloudvisor： Retrofitting Protection of Virtual Machines in Multi-tenant Cloud with Nested Virtualization[C]// In Proceeding of 23rd ACM Symposium on Operating System Principles （SOSP’2011）， Cascais， Portugal，2011：203-216.

[5] Cho Y， Shin J， Kwon D， et al. Hardware-assisted On-demand Hypervisor Activation for Efficient Security Critical Code Execution on Mobile Devices[C]//2016 USENIX Annual Technical Conference， USENIX ATC 2016， Denver，CO，USA， 2016：565-578.

[6]邵炳陽(yáng)，田慶宜，沈長(zhǎng)達(dá)，等.XenServer虛擬化平臺(tái)取證方法研究[J].網(wǎng)絡(luò)空間安全， 2019，10（2）：49-56.

[7] Litchfield A，Shahzad A. Virtualization Technology：Cross-VM Cache Side Channel Attacks Make it Vulnerable[C]// Proceedings of the Australasian Conference on Information Systems（ACIS） Adelaide， South Australia，2015.

[8] Reza A，Boshra P.SHADuDT： Secure Hypervisor-based Anomaly Detection Using Danger Theory[J]. Computers&Security （ COM-PUT SECUR），2013（39）268-288.

[9] Rhee J，Riley R，Xu D，et al.Defeating Dynamic Data Kernel Rootkit Attacks via VMM-based Guest-transparent Monitoring[C]//Proceedings of the 4th International Conference on Availability，Reliability and Security（ARES’09），2009：74-81.

[10]張瑜，劉慶中，李濤，等.Rootkit研究綜述[J].電子科技大學(xué)學(xué)報(bào)，2015，44（4）：563-578.

收稿日期：2019-05-18

基金項(xiàng)目：黑龍江省教育廳科技面上項(xiàng)目（12531121）；國(guó)家級(jí)大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練項(xiàng)目（201810214027）