【摘要】：互聯(lián)網(wǎng)數(shù)據(jù)量的飛速增長(zhǎng)以及虛擬化技術(shù)的逐漸成熟使得越來(lái)越多的計(jì)算系統(tǒng)和后臺(tái)程序被部署在虛擬化環(huán)境中。虛擬化技術(shù)憑借其高效的隔離性和動(dòng)態(tài)性，能夠有效的支撐龐大的互聯(lián)網(wǎng)業(yè)務(wù)。由于虛擬化技術(shù)只是將不同的虛擬子系統(tǒng)進(jìn)行隔離，而單個(gè)的子系統(tǒng)和傳統(tǒng)的計(jì)算機(jī)系統(tǒng)一樣會(huì)因?yàn)楸┞对诰W(wǎng)絡(luò)環(huán)境中而遭到攻擊者的入侵。為了在虛擬化環(huán)境中檢測(cè)黑客的入侵行為，，必須要部署有效的安全監(jiān)控系統(tǒng)。傳統(tǒng)的方法是在每個(gè)虛擬子系統(tǒng)中分別部署監(jiān)控系統(tǒng)，但是由于監(jiān)控系統(tǒng)本身暴露在目標(biāo)操作系統(tǒng)中，很容易被攻擊者攻擊或者繞過(guò)；此外，這種基于主機(jī)的監(jiān)控系統(tǒng)往往還需要修改被監(jiān)控系統(tǒng)的內(nèi)核，這樣可能會(huì)給運(yùn)行在目標(biāo)操作系統(tǒng)上的應(yīng)用帶來(lái)不穩(wěn)定的因素。 本論文在保證監(jiān)控系統(tǒng)的安全性和不修改目標(biāo)操作系統(tǒng)的基礎(chǔ)之上，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于Xen虛擬機(jī)的安全監(jiān)控系統(tǒng)。論文根據(jù)Xen虛擬機(jī)的特點(diǎn)，將安全監(jiān)控系統(tǒng)部署在虛擬環(huán)境的一個(gè)特權(quán)域上，切斷了攻擊者和監(jiān)控系統(tǒng)之間的攻擊路徑，保證監(jiān)控系統(tǒng)本身的安全性。并且，通過(guò)在特權(quán)域部署一個(gè)監(jiān)控系統(tǒng)，就可以對(duì)虛擬化環(huán)境中的所有子系統(tǒng)進(jìn)行安全監(jiān)控，提高了監(jiān)控的可維護(hù)性和靈活性。 為了從不同層面保護(hù)虛擬機(jī)的安全，本系統(tǒng)通過(guò)三個(gè)功能模塊實(shí)現(xiàn)對(duì)虛擬子系統(tǒng)的監(jiān)控，包括進(jìn)程監(jiān)控、文件監(jiān)控和網(wǎng)絡(luò)監(jiān)控。首先，利用虛擬機(jī)監(jiān)控器提供的特權(quán)指令接口，將虛擬子系統(tǒng)中進(jìn)程結(jié)構(gòu)體的虛擬地址轉(zhuǎn)換成物理機(jī)器的內(nèi)存地址，再通過(guò)迭代目標(biāo)操作系統(tǒng)內(nèi)核的進(jìn)程樹(shù)得到所有進(jìn)程信息。其次，利用Xen虛擬機(jī)半虛擬化I/O驅(qū)動(dòng)的機(jī)制，在特權(quán)域上對(duì)所有的I/O數(shù)據(jù)流進(jìn)行截獲和分析，達(dá)到文件監(jiān)控和網(wǎng)絡(luò)監(jiān)控的目的。
【學(xué)位授予單位】：華中科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2013
【分類(lèi)號(hào)】：TP302;TP277

【參考文獻(xiàn)】

相關(guān)期刊論文 前4條

1 胡冷非;李小勇;;基于Xen的I/O準(zhǔn)虛擬化驅(qū)動(dòng)研究[J];計(jì)算機(jī)工程;2009年23期

2 項(xiàng)國(guó)富;金海;鄒德清;陳學(xué)廣;;基于虛擬化的安全監(jiān)控[J];軟件學(xué)報(bào);2012年08期

3 薛海峰;卿斯?jié)h;張煥國(guó);;XEN虛擬機(jī)分析[J];系統(tǒng)仿真學(xué)報(bào);2007年23期

4 宋振華;楊亞軍;;Xen虛擬機(jī)間的磁盤(pán)I/O性能隔離[J];小型微型計(jì)算機(jī)系統(tǒng);2011年08期

相關(guān)博士學(xué)位論文 前1條

1 項(xiàng)國(guó)富;虛擬計(jì)算環(huán)境的安全監(jiān)控技術(shù)研究[D];華中科技大學(xué);2012年

本文編號(hào)：2672020