研究虚拟机健壮性对主机入侵检测数据采集技术的影响

随着互联网技术的飞速发展，网络的结构变得越来越复杂，网络 安全也变得日益重要和复杂。一个健全的网络信息系统安全方案应该 包括防护、检测、反应和恢复4 个层面。目前经常使用的安全技术， 如防火墙、防病毒软件、用户认证、加密等技术属于防护层面的措施， 然而，仅仅依靠防护措施来维护系统安全是远远不够的。入侵检测是 一种从更深层次上进行主动网络安全防御措施，它不仅可以通过监测 网络实现对内部攻击、外部入侵和误操作的实时保护，有效地弥补防 火墙的不足，而且能结合其他网络安全产品，对网络安全进行全方位 的保护，具有主动性和实时性的特点。 传统的主机入侵检测系统置于被监控的主机之上，它能检测到主 机应用程序中的所有事件，但它的抗攻击能力非常的弱，篡改或者伪 装都可以使入侵者成功地绕开入侵检测系统。 近年来沉寂已久的虚拟机监控器又重新成为了学术研究领域的 热门话题。随着虚拟机监控器在安全领域的应用，针对现存主机入侵 检测系统存在的问题，本文研究了通过虚拟机监控器来提高主机入侵 检测系统的健壮性。由虚拟机监控器来虚拟硬件接口，在单一的硬件 实体上运行多个系统实例。因为虚拟机监控器处于操作系统和硬件之 间，从而使得这个主机入侵检测系统位于监控所有对操作系统的入侵 事件的最佳位置，并处于一个独立于操作系统之外的受保护的空间 内，健壮了主机入侵检测系统。本文主要做了以下工作：