基于XenVMM的入侵檢測系統(tǒng)架構(gòu)

宣曉帥 張冬陽 梁義欽 翟繼強(qiáng)

摘要：針對入侵檢測系統(tǒng)（IDS）存在可見度不高、隔離性差、目標(biāo)系統(tǒng)不完整等問題，提出了新的入侵檢測系統(tǒng)架構(gòu)（XenIDS）。該架構(gòu)基于Xen虛擬機(jī)監(jiān)視器Xen VMM，對目標(biāo)系統(tǒng)沒有干擾行為，并引入入侵檢測域（IDD）。根據(jù)安全策略響應(yīng)入侵，設(shè)計(jì)實(shí)現(xiàn)了一個IDS，使用rootkit數(shù)據(jù)集進(jìn)行測試和評估，結(jié)果表明XenIDS在增加有限開銷的情況下可以有效檢測攻擊。

關(guān)鍵詞：入侵檢測系統(tǒng)；虛擬機(jī)監(jiān)視器；Xen；入侵檢測域

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2019）20-61-4

0引言

目前存在2種主流類型的入侵檢測系統(tǒng)：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）和基于主機(jī)的入侵檢測系統(tǒng)（HIDS）。NIDS通過數(shù)據(jù)包嗅探技術(shù)監(jiān)控網(wǎng)絡(luò)流量，檢測流量中的惡意活動。這種架構(gòu)內(nèi)在的缺點(diǎn)是入侵分析數(shù)據(jù)有限、檢測本地攻擊能力不足以及性能開銷大。HIDS基于主機(jī)的結(jié)構(gòu)被部署在目標(biāo)系統(tǒng)中，監(jiān)視或分析系統(tǒng)日志文件和收集數(shù)據(jù)來識別、檢測計(jì)算機(jī)中的惡意或侵入性活動[1]，易于被訪問和攻擊，存在可見度低、隔離性差及效率低等問題。

為了解決基于主機(jī)和基于網(wǎng)絡(luò)的IDS結(jié)構(gòu)中存在的問題，提出一種基于虛擬機(jī)監(jiān)控器Xen VMM的XenIDS，不僅可以靈活簡便地檢測攻擊，還可以對攻擊做出積極響應(yīng)，具有良好的可視性、可靠性和隔離性。

1虛擬機(jī)監(jiān)控技術(shù)

1.1虛擬機(jī)監(jiān)視器

硬件虛擬化技術(shù)被稱為虛擬機(jī)擴(kuò)展（Virtual Machine Extension，VMX），主要包含虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）與客戶操系統(tǒng)（Guest OS）。VMM位于VMX root模式，運(yùn)行在Guest OS下一層，相比Ring 0層權(quán)限更大，可完全控制Guest OS對各種資源的訪問，包括CPU、內(nèi)存、中斷管理和I/O控制等。

VMM是一個用于計(jì)算機(jī)系統(tǒng)的精簡軟件層，將原本在物理處理器中運(yùn)行的操作系統(tǒng)變成Guest OS，可創(chuàng)建與真實(shí)硬件機(jī)器相同的高效隔離虛擬機(jī)環(huán)境[2]。使用VMM將物理機(jī)轉(zhuǎn)換為一組虛擬機(jī)，不同的虛擬機(jī)加載不同的操作系統(tǒng)副本，每個副本完全與其他副本隔離。

1.2 Xen

Xen是一個開放源代碼的裸金屬架構(gòu)VMM，由劍橋大學(xué)開發(fā)，也稱Hypervisor虛擬化。在底層硬件上安裝VMM作為虛擬機(jī)監(jiān)控程序，可以管理所有的硬件資源，同時對虛機(jī)提供虛擬環(huán)境。在裸金屬架構(gòu)中，MM是專用于虛擬化服務(wù)的中間層，向下管理CPU、內(nèi)存/ IO等所有物理資源，向上提供虛擬機(jī)OS。

Xen VMM為虛擬機(jī)提供了足夠的可見性，通過定義良好的接口來監(jiān)視虛擬機(jī)的所有狀態(tài)[3]。Xen VMM的擴(kuò)展域Domain 0通過Xen框架提供的libxc庫訪問所有虛擬機(jī)的整個內(nèi)存空間。Xen具有優(yōu)秀的性能和隔離能力，可以記錄受監(jiān)控目標(biāo)VM系統(tǒng)中發(fā)生的系統(tǒng)事件，并轉(zhuǎn)儲相關(guān)的上下文信息。Xen VMM支持許多平臺，如X86，IA64，Power PC，Arm等，提供虛擬機(jī)之間的安全分區(qū)。

1.3基于VMM的入侵檢測

傳統(tǒng)IDS的缺點(diǎn)源于架構(gòu)的固有限制，很難克服或減輕。針對以上問題，提出基于虛擬機(jī)架構(gòu)的解決思路。

（1）可見度

基于網(wǎng)絡(luò)的IDS對目標(biāo)系統(tǒng)的內(nèi)視性較差，檢測功能受限?；赩MM的架構(gòu)能夠訪問整個真實(shí)機(jī)器系統(tǒng)[4]，因此更容易檢查客戶虛擬機(jī)中運(yùn)行的被監(jiān)控目標(biāo)系統(tǒng)的狀態(tài)。

（2）可靠性和隔離性

基于主機(jī)的IDS存在可靠性和隔離問題。VMM可以更好地保護(hù)不同系統(tǒng)中的組件。與必須支持文件系統(tǒng)和網(wǎng)絡(luò)協(xié)議棧等的傳統(tǒng)操作系統(tǒng)不同，VMM僅需要呈現(xiàn)相對簡單的抽象功能，如虛擬CPU和存儲器[5]。此外，VMM將目標(biāo)系統(tǒng)與在分離的虛擬機(jī)系統(tǒng)中實(shí)現(xiàn)的入侵檢測系統(tǒng)隔離，目標(biāo)系統(tǒng)不能以任何方式訪問或控制IDS組件。

（3）效率

傳統(tǒng)的基于主機(jī)的架構(gòu)通常會大幅降低系統(tǒng)性能，因?yàn)樗黾恿嗽S多額外的機(jī)制來跟蹤系統(tǒng)狀態(tài)。雖然VMM需要額外的開銷來實(shí)現(xiàn)虛擬機(jī)環(huán)境，但大量虛擬機(jī)監(jiān)視器的實(shí)際應(yīng)用和實(shí)驗(yàn)測試表明，虛擬化帶來的開銷可以忽略不計(jì)。

（4）目標(biāo)系統(tǒng)完整性

基于主機(jī)的體系結(jié)構(gòu)中，為了從系統(tǒng)中獲取更多信息，IDS依賴于將模塊插入到OS內(nèi)核中，但這會破壞目標(biāo)系統(tǒng)的完整性。而利用VMM監(jiān)控目標(biāo)系統(tǒng)并獲取目標(biāo)系統(tǒng)的狀態(tài)，VMM能夠訪問真實(shí)和虛擬系統(tǒng)的任何資源，因此無需向目標(biāo)系統(tǒng)添加模塊[6]。從系統(tǒng)完整性角度來看，基于VMM的入侵檢測系統(tǒng)實(shí)現(xiàn)比基于主機(jī)的體系結(jié)構(gòu)更有優(yōu)勢。

2 XenIDS架構(gòu)

XenIDS整個體系結(jié)構(gòu)及其主要組件如圖1所示。XenIDS主要由VMM、入侵檢測域（IDD）、事件傳感器（ES）、 IDS插樁（IS）和IDD助手（IH）組成。

（1）VMM

由于VMM在最特權(quán)層上運(yùn)行并擁有整個真實(shí)機(jī)器，因此它能夠檢查虛擬機(jī)的任意行為[7]。在XenIDS中，作為整個架構(gòu)的基礎(chǔ)，VMM非常方便地實(shí)現(xiàn)了XenIDS的所有組件，負(fù)責(zé)管理虛擬機(jī)，為虛擬機(jī)提供通信通道。此外，它還是IDD和IH的容器。

（2）ES

ES是一個單獨(dú)模塊，與VMM具有相同的特權(quán)屬性，例如控制虛擬機(jī)及檢查虛擬機(jī)的內(nèi)存等?？梢员O(jiān)控目標(biāo)系統(tǒng)的狀態(tài)，例如部署系統(tǒng)調(diào)用傳感器以獲取在目標(biāo)系統(tǒng)中發(fā)生的系統(tǒng)調(diào)用序列。設(shè)計(jì)不同的傳感器來收集各種數(shù)據(jù)，以檢測入侵或獲取有關(guān)攻擊者的信息。ES需要公開一些接口與其他組件通信。由于ES完全在VMM中實(shí)現(xiàn)，不像基于主機(jī)的架構(gòu)通常需要在目標(biāo)系統(tǒng)內(nèi)核中實(shí)現(xiàn)鉤子或攔截器。

（3）IDD

在XenIDS中，使用專用虛擬機(jī)實(shí)現(xiàn)IDD。在Xen環(huán)境中，半虛擬化用戶域用于實(shí)現(xiàn)此目標(biāo)?？紤]到安全性，IDD作為一個簡單的系統(tǒng)實(shí)現(xiàn)，具有最小內(nèi)核和根文件系統(tǒng)。

IDD具備良好接口。IDD接口與VMM接口一起工作，在VMM和IDD之間提供特定的通信通道。通常接口具有2個功能：

①當(dāng)ES從目標(biāo)系統(tǒng)獲取一些數(shù)據(jù)并將它們存儲到跟蹤緩沖區(qū)時，需要通過接口向IDD發(fā)送通知，讓IDD從跟蹤緩沖區(qū)獲取它們進(jìn)行進(jìn)一步分析，通知機(jī)制依賴于這些定義良好的接口。

②如果IS想要采取預(yù)防措施來控制受損系統(tǒng)，可以通知VMM中的IH通過這些接口控制目標(biāo)系統(tǒng)。

（4）IS

IS作為入侵檢測系統(tǒng)的核心組件，負(fù)責(zé)解釋目標(biāo)系統(tǒng)的數(shù)據(jù)，記錄入侵報(bào)告、報(bào)告潛在的攻擊以及響應(yīng)攻擊。由于IS部署在專用IDD中，因此在它與目標(biāo)系統(tǒng)之間提供了強(qiáng)大的隔離。另一個優(yōu)勢是它提供的響應(yīng)機(jī)制。通常，如果目標(biāo)系統(tǒng)受到攻擊，除了發(fā)出警報(bào)外，IDS不能采用預(yù)防性操作來控制目標(biāo)系統(tǒng)，但是可以通過虛擬機(jī)環(huán)境中的響應(yīng)機(jī)制執(zhí)行預(yù)防策略來控制受損目標(biāo)系統(tǒng)。例如IS可以暫?；蛑匦乱龑?dǎo)目標(biāo)系統(tǒng)，以防止系統(tǒng)受到后續(xù)攻擊。

（5）IDD Helper

IDD Helper作為單獨(dú)的模塊部署在VMM中，職責(zé)是幫助IS完成預(yù)防措施。當(dāng)IS檢測到潛在攻擊時，系統(tǒng)管理員希望采取一些預(yù)防措施，以避免泄露數(shù)據(jù)或資源。在這種情況下，IDS可以根據(jù)相關(guān)策略在IH的幫助下暫?；蛑貑⑹芨腥镜哪繕?biāo)系統(tǒng)。

這些組件需要與整個虛擬機(jī)環(huán)境一起工作，Xen基礎(chǔ)結(jié)構(gòu)的其他組件，如Domain 0、HVM域和用戶域用于構(gòu)建整體體系結(jié)構(gòu)。

3 XenIDS實(shí)現(xiàn)

3.1 VMM及IDD

直接使用Xen的用戶域來實(shí)現(xiàn)入侵檢測域IDD來分析入侵，并部署靈活的策略引擎。但考慮到IDD需要受限制的安全性要求這一事實(shí)，定制了一個用戶域內(nèi)核來實(shí)現(xiàn)IDD。IDD的內(nèi)核僅保留最低運(yùn)行要求，保留網(wǎng)絡(luò)核心架構(gòu)支持和除前端驅(qū)動程序之外的設(shè)備驅(qū)動程序。

3.2事件傳感器

通過分析特殊進(jìn)程的系統(tǒng)調(diào)用序列，可以識別出可能的入侵。在XenIDS中，實(shí)現(xiàn)的主要工作是攔截客戶虛擬機(jī)中進(jìn)程的動態(tài)行為（系統(tǒng)調(diào)用的順序）。

為了捕獲所有目標(biāo)系統(tǒng)中的系統(tǒng)調(diào)用事件，提出一個五元組（VM-id，Pid，P-name，Syscall-Num，Args）來封裝事件傳感器的所有系統(tǒng)調(diào)用信息。XenIDS利用Xen域ID（VM-ID）來區(qū)分HVM域[8]。

（1）VM標(biāo)識（VM-ID）

Xen VMM中的唯一標(biāo)識符，用于標(biāo)識Xen中的不同虛擬機(jī)。在實(shí)際執(zhí)行中Xen VMM負(fù)責(zé)在VM創(chuàng)建時分配和取消分配VM-ID。

（2）進(jìn)程ID（Pid）

將此字段用于區(qū)分進(jìn)程，在XenIDS中，它可以通過存儲在kr6中的task_struct指針來實(shí)現(xiàn)。Linux將3種不同的數(shù)據(jù)結(jié)構(gòu)（the basic task struct，thread_info，process kernel stack）整合到每個進(jìn)程的32 KB存儲區(qū)域中，并將基址存儲在kr6中[9]。

（3）進(jìn)程名稱（P-Name）

進(jìn)程名稱也來自task_struct的字段（char comm[TASK_COMM_LEN]），用于生成最終檢測報(bào)告。與進(jìn)程標(biāo)識類似，進(jìn)程名稱也來自接口copyJrom_guest。

（4）Syscall碼（Syscall-Num）

在Linux OS中系統(tǒng)調(diào)用碼用于標(biāo)識系統(tǒng)調(diào)用，并在頭文件asrnlunistd.h中定義所有系統(tǒng)調(diào)用號。在IA64 Linux OS中，軟件調(diào)用約定使用臨時寄存器r15來編碼系統(tǒng)調(diào)用號。在XenIDS中，當(dāng)事件傳感器通過break，epc指令跟蹤檢測到可能的系統(tǒng)調(diào)用執(zhí)行時，可以通過讀取通用寄存器r15來獲得系統(tǒng)調(diào)用碼。

（5）參數(shù)（Args）

由于只關(guān)心系統(tǒng)調(diào)用的順序，不使用參數(shù)來檢測可能的入侵，但需要將它們作為存儲在IDD插樁中的重要審計(jì)日志信息。系統(tǒng)管理員可以使用這些信息來確認(rèn)檢測到的入侵。在XenIDS中，Xen VMM通過定義良好的接口get_rse_reg，從寄存器堆棧（r32，r33，r34，....）中獲取這些參數(shù)。

事件傳感器用于收集組織為五元組的所有上述信息，并通過預(yù)定義的接口發(fā)送到跟蹤緩沖區(qū)。隨后IDD可以從跟蹤緩沖區(qū)中獲取并及時分析可能的入侵。

4測試與分析

4.1有效性測試

為了評估提出的架構(gòu)，使用Xen / IA64實(shí)現(xiàn)了XenIDS原型，使用了Rootkit攻擊數(shù)據(jù)集[10]，包括ARK，Adore工具包和Knark來測試它的有效性。XenIDS對Rootkit攻擊表現(xiàn)出了良好的正確檢測率。測試結(jié)果如表1所示。

4.2性能測試

根據(jù)XenIDS的體系結(jié)構(gòu)，系統(tǒng)開銷主要來自目標(biāo)系統(tǒng)的事件傳感器，部署了微基準(zhǔn)SPEC CPU2000，以顯示事件傳感器對性能的影響。原生系統(tǒng)和HVM系統(tǒng)都托管在Linux RHEL4U3系統(tǒng)和Intel Tiger4平臺上，配置20 GB主內(nèi)存，Xen/IA64的Cset12014用于構(gòu)建虛擬化環(huán)境，將其性能數(shù)據(jù)與使用相同硬件配置的原生系統(tǒng)的性能數(shù)據(jù)進(jìn)行比較，詳細(xì)性能數(shù)據(jù)如圖2所示。

在每種情況下，通過系統(tǒng)調(diào)用傳感器引入的額外開銷基本上為0.1%～1.25%。這種性能下降主要源于監(jiān)控系統(tǒng)調(diào)用序列的開銷以及目標(biāo)系統(tǒng)與IDD之間的通信。結(jié)果表明，XenIDS架構(gòu)對性能的影響，在實(shí)際應(yīng)用中是可接受的。

4.3可擴(kuò)展性測試

由于VMM系統(tǒng)中核心資源之間的相互依賴性，由此產(chǎn)生的系統(tǒng)可擴(kuò)展性是設(shè)計(jì)和實(shí)現(xiàn)虛擬化系統(tǒng)的挑戰(zhàn)。通過在分配不同數(shù)量的虛擬CPU時的性能來評估XenIDS的可擴(kuò)展性，并分別與HIDS，NIDS的可擴(kuò)展性進(jìn)行比較，如圖3和圖4所示。

由圖3和圖4可以看出，XenIDS的可擴(kuò)展性可以很好地適應(yīng)處理器資源的水平。對于基準(zhǔn)測試，XenIDS和HIDS系統(tǒng)的可擴(kuò)展性非常接近。當(dāng)有4個CPU時，XenIDS表現(xiàn)出比HIDS系統(tǒng)略好的性能。對于NIDS的比較實(shí)驗(yàn)獲得了類似的結(jié)果。

5結(jié)束語

本文分析了現(xiàn)有IDS存在的問題，針對其可見度不高、隔離性差及目標(biāo)系統(tǒng)不完整等問題，提出一個基于虛擬機(jī)監(jiān)視器Xen VMM入侵檢測系統(tǒng)架構(gòu)XenIDS。基于該架構(gòu)設(shè)計(jì)和實(shí)現(xiàn)了一個IDS，使用Rootkit數(shù)據(jù)集進(jìn)行了測試和評估，結(jié)果表明，XenIDS在增加有限開銷的情況下可以有效檢測攻擊。同時，該架構(gòu)在許多方面可以擴(kuò)展，如可以利用可信計(jì)算技術(shù)構(gòu)建Trust VMM并進(jìn)一步保護(hù)架構(gòu)中的關(guān)鍵組件。

參考文獻(xiàn)

[1]王金輝，胡俊，徐湲策.一種基于HIDS的威脅情報(bào)解決方案[J].網(wǎng)絡(luò)空間安全，2019，10（3）：1-7.

[2]項(xiàng)國富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控[J].軟件學(xué)報(bào)，2012，23（8）：2173-2187.

[3]馬喆，禹熹，袁傲，等. Xen安全機(jī)制探析[J].信息網(wǎng)絡(luò)安全， 2011（11）：31-35.

[4] Zhang F，Chen J，Chen H，et al. Cloudvisor： Retrofitting Protection of Virtual Machines in Multi-tenant Cloud with Nested Virtualization[C]// In Proceeding of 23rd ACM Symposium on Operating System Principles （SOSP’2011）， Cascais， Portugal，2011：203-216.

[5] Cho Y， Shin J， Kwon D， et al. Hardware-assisted On-demand Hypervisor Activation for Efficient Security Critical Code Execution on Mobile Devices[C]//2016 USENIX Annual Technical Conference， USENIX ATC 2016， Denver，CO，USA， 2016：565-578.

[6]邵炳陽，田慶宜，沈長達(dá)，等.XenServer虛擬化平臺取證方法研究[J].網(wǎng)絡(luò)空間安全， 2019，10（2）：49-56.

[7] Litchfield A，Shahzad A. Virtualization Technology：Cross-VM Cache Side Channel Attacks Make it Vulnerable[C]// Proceedings of the Australasian Conference on Information Systems（ACIS） Adelaide， South Australia，2015.

[8] Reza A，Boshra P.SHADuDT： Secure Hypervisor-based Anomaly Detection Using Danger Theory[J]. Computers&Security （ COM-PUT SECUR），2013（39）268-288.

[9] Rhee J，Riley R，Xu D，et al.Defeating Dynamic Data Kernel Rootkit Attacks via VMM-based Guest-transparent Monitoring[C]//Proceedings of the 4th International Conference on Availability，Reliability and Security（ARES’09），2009：74-81.

[10]張瑜，劉慶中，李濤，等.Rootkit研究綜述[J].電子科技大學(xué)學(xué)報(bào)，2015，44（4）：563-578.

收稿日期：2019-05-18

基金項(xiàng)目：黑龍江省教育廳科技面上項(xiàng)目（12531121）；國家級大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練項(xiàng)目（201810214027）