基于XenVMM的入侵檢測系統(tǒng)架構

宣曉帥 張冬陽 梁義欽 翟繼強

摘要：針對入侵檢測系統(tǒng)（IDS）存在可見度不高、隔離性差、目標系統(tǒng)不完整等問題，提出了新的入侵檢測系統(tǒng)架構（XenIDS）。該架構基于Xen虛擬機監(jiān)視器Xen VMM，對目標系統(tǒng)沒有干擾行為，并引入入侵檢測域（IDD）。根據(jù)安全策略響應入侵，設計實現(xiàn)了一個IDS，使用rootkit數(shù)據(jù)集進行測試和評估，結果表明XenIDS在增加有限開銷的情況下可以有效檢測攻擊。

關鍵詞：入侵檢測系統(tǒng)；虛擬機監(jiān)視器；Xen；入侵檢測域

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2019）20-61-4

0引言

目前存在2種主流類型的入侵檢測系統(tǒng)：基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）和基于主機的入侵檢測系統(tǒng)（HIDS）。NIDS通過數(shù)據(jù)包嗅探技術監(jiān)控網(wǎng)絡流量，檢測流量中的惡意活動。這種架構內在的缺點是入侵分析數(shù)據(jù)有限、檢測本地攻擊能力不足以及性能開銷大。HIDS基于主機的結構被部署在目標系統(tǒng)中，監(jiān)視或分析系統(tǒng)日志文件和收集數(shù)據(jù)來識別、檢測計算機中的惡意或侵入性活動[1]，易于被訪問和攻擊，存在可見度低、隔離性差及效率低等問題。

為了解決基于主機和基于網(wǎng)絡的IDS結構中存在的問題，提出一種基于虛擬機監(jiān)控器Xen VMM的XenIDS，不僅可以靈活簡便地檢測攻擊，還可以對攻擊做出積極響應，具有良好的可視性、可靠性和隔離性。

1虛擬機監(jiān)控技術

1.1虛擬機監(jiān)視器

硬件虛擬化技術被稱為虛擬機擴展（Virtual Machine Extension，VMX），主要包含虛擬機監(jiān)視器（Virtual Machine Monitor，VMM）與客戶操系統(tǒng)（Guest OS）。VMM位于VMX root模式，運行在Guest OS下一層，相比Ring 0層權限更大，可完全控制Guest OS對各種資源的訪問，包括CPU、內存、中斷管理和I/O控制等。

VMM是一個用于計算機系統(tǒng)的精簡軟件層，將原本在物理處理器中運行的操作系統(tǒng)變成Guest OS，可創(chuàng)建與真實硬件機器相同的高效隔離虛擬機環(huán)境[2]。使用VMM將物理機轉換為一組虛擬機，不同的虛擬機加載不同的操作系統(tǒng)副本，每個副本完全與其他副本隔離。

1.2 Xen

Xen是一個開放源代碼的裸金屬架構VMM，由劍橋大學開發(fā)，也稱Hypervisor虛擬化。在底層硬件上安裝VMM作為虛擬機監(jiān)控程序，可以管理所有的硬件資源，同時對虛機提供虛擬環(huán)境。在裸金屬架構中，MM是專用于虛擬化服務的中間層，向下管理CPU、內存/ IO等所有物理資源，向上提供虛擬機OS。

Xen VMM為虛擬機提供了足夠的可見性，通過定義良好的接口來監(jiān)視虛擬機的所有狀態(tài)[3]。Xen VMM的擴展域Domain 0通過Xen框架提供的libxc庫訪問所有虛擬機的整個內存空間。Xen具有優(yōu)秀的性能和隔離能力，可以記錄受監(jiān)控目標VM系統(tǒng)中發(fā)生的系統(tǒng)事件，并轉儲相關的上下文信息。Xen VMM支持許多平臺，如X86，IA64，Power PC，Arm等，提供虛擬機之間的安全分區(qū)。

1.3基于VMM的入侵檢測

傳統(tǒng)IDS的缺點源于架構的固有限制，很難克服或減輕。針對以上問題，提出基于虛擬機架構的解決思路。

（1）可見度

基于網(wǎng)絡的IDS對目標系統(tǒng)的內視性較差，檢測功能受限。基于VMM的架構能夠訪問整個真實機器系統(tǒng)[4]，因此更容易檢查客戶虛擬機中運行的被監(jiān)控目標系統(tǒng)的狀態(tài)。

（2）可靠性和隔離性

基于主機的IDS存在可靠性和隔離問題。VMM可以更好地保護不同系統(tǒng)中的組件。與必須支持文件系統(tǒng)和網(wǎng)絡協(xié)議棧等的傳統(tǒng)操作系統(tǒng)不同，VMM僅需要呈現(xiàn)相對簡單的抽象功能，如虛擬CPU和存儲器[5]。此外，VMM將目標系統(tǒng)與在分離的虛擬機系統(tǒng)中實現(xiàn)的入侵檢測系統(tǒng)隔離，目標系統(tǒng)不能以任何方式訪問或控制IDS組件。

（3）效率

傳統(tǒng)的基于主機的架構通常會大幅降低系統(tǒng)性能，因為它增加了許多額外的機制來跟蹤系統(tǒng)狀態(tài)。雖然VMM需要額外的開銷來實現(xiàn)虛擬機環(huán)境，但大量虛擬機監(jiān)視器的實際應用和實驗測試表明，虛擬化帶來的開銷可以忽略不計。

（4）目標系統(tǒng)完整性

基于主機的體系結構中，為了從系統(tǒng)中獲取更多信息，IDS依賴于將模塊插入到OS內核中，但這會破壞目標系統(tǒng)的完整性。而利用VMM監(jiān)控目標系統(tǒng)并獲取目標系統(tǒng)的狀態(tài)，VMM能夠訪問真實和虛擬系統(tǒng)的任何資源，因此無需向目標系統(tǒng)添加模塊[6]。從系統(tǒng)完整性角度來看，基于VMM的入侵檢測系統(tǒng)實現(xiàn)比基于主機的體系結構更有優(yōu)勢。

2 XenIDS架構

XenIDS整個體系結構及其主要組件如圖1所示。XenIDS主要由VMM、入侵檢測域（IDD）、事件傳感器（ES）、 IDS插樁（IS）和IDD助手（IH）組成。

（1）VMM

由于VMM在最特權層上運行并擁有整個真實機器，因此它能夠檢查虛擬機的任意行為[7]。在XenIDS中，作為整個架構的基礎，VMM非常方便地實現(xiàn)了XenIDS的所有組件，負責管理虛擬機，為虛擬機提供通信通道。此外，它還是IDD和IH的容器。

（2）ES

ES是一個單獨模塊，與VMM具有相同的特權屬性，例如控制虛擬機及檢查虛擬機的內存等。可以監(jiān)控目標系統(tǒng)的狀態(tài)，例如部署系統(tǒng)調用傳感器以獲取在目標系統(tǒng)中發(fā)生的系統(tǒng)調用序列。設計不同的傳感器來收集各種數(shù)據(jù)，以檢測入侵或獲取有關攻擊者的信息。ES需要公開一些接口與其他組件通信。由于ES完全在VMM中實現(xiàn)，不像基于主機的架構通常需要在目標系統(tǒng)內核中實現(xiàn)鉤子或攔截器。

（3）IDD

在XenIDS中，使用專用虛擬機實現(xiàn)IDD。在Xen環(huán)境中，半虛擬化用戶域用于實現(xiàn)此目標。考慮到安全性，IDD作為一個簡單的系統(tǒng)實現(xiàn)，具有最小內核和根文件系統(tǒng)。

IDD具備良好接口。IDD接口與VMM接口一起工作，在VMM和IDD之間提供特定的通信通道。通常接口具有2個功能：

①當ES從目標系統(tǒng)獲取一些數(shù)據(jù)并將它們存儲到跟蹤緩沖區(qū)時，需要通過接口向IDD發(fā)送通知，讓IDD從跟蹤緩沖區(qū)獲取它們進行進一步分析，通知機制依賴于這些定義良好的接口。

②如果IS想要采取預防措施來控制受損系統(tǒng)，可以通知VMM中的IH通過這些接口控制目標系統(tǒng)。

（4）IS

IS作為入侵檢測系統(tǒng)的核心組件，負責解釋目標系統(tǒng)的數(shù)據(jù)，記錄入侵報告、報告潛在的攻擊以及響應攻擊。由于IS部署在專用IDD中，因此在它與目標系統(tǒng)之間提供了強大的隔離。另一個優(yōu)勢是它提供的響應機制。通常，如果目標系統(tǒng)受到攻擊，除了發(fā)出警報外，IDS不能采用預防性操作來控制目標系統(tǒng)，但是可以通過虛擬機環(huán)境中的響應機制執(zhí)行預防策略來控制受損目標系統(tǒng)。例如IS可以暫停或重新引導目標系統(tǒng)，以防止系統(tǒng)受到后續(xù)攻擊。

（5）IDD Helper

IDD Helper作為單獨的模塊部署在VMM中，職責是幫助IS完成預防措施。當IS檢測到潛在攻擊時，系統(tǒng)管理員希望采取一些預防措施，以避免泄露數(shù)據(jù)或資源。在這種情況下，IDS可以根據(jù)相關策略在IH的幫助下暫停或重啟受感染的目標系統(tǒng)。

這些組件需要與整個虛擬機環(huán)境一起工作，Xen基礎結構的其他組件，如Domain 0、HVM域和用戶域用于構建整體體系結構。

3 XenIDS實現(xiàn)

3.1 VMM及IDD

直接使用Xen的用戶域來實現(xiàn)入侵檢測域IDD來分析入侵，并部署靈活的策略引擎。但考慮到IDD需要受限制的安全性要求這一事實，定制了一個用戶域內核來實現(xiàn)IDD。IDD的內核僅保留最低運行要求，保留網(wǎng)絡核心架構支持和除前端驅動程序之外的設備驅動程序。

3.2事件傳感器

通過分析特殊進程的系統(tǒng)調用序列，可以識別出可能的入侵。在XenIDS中，實現(xiàn)的主要工作是攔截客戶虛擬機中進程的動態(tài)行為（系統(tǒng)調用的順序）。

為了捕獲所有目標系統(tǒng)中的系統(tǒng)調用事件，提出一個五元組（VM-id，Pid，P-name，Syscall-Num，Args）來封裝事件傳感器的所有系統(tǒng)調用信息。XenIDS利用Xen域ID（VM-ID）來區(qū)分HVM域[8]。

（1）VM標識（VM-ID）

Xen VMM中的唯一標識符，用于標識Xen中的不同虛擬機。在實際執(zhí)行中Xen VMM負責在VM創(chuàng)建時分配和取消分配VM-ID。

（2）進程ID（Pid）

將此字段用于區(qū)分進程，在XenIDS中，它可以通過存儲在kr6中的task_struct指針來實現(xiàn)。Linux將3種不同的數(shù)據(jù)結構（the basic task struct，thread_info，process kernel stack）整合到每個進程的32 KB存儲區(qū)域中，并將基址存儲在kr6中[9]。

（3）進程名稱（P-Name）

進程名稱也來自task_struct的字段（char comm[TASK_COMM_LEN]），用于生成最終檢測報告。與進程標識類似，進程名稱也來自接口copyJrom_guest。

（4）Syscall碼（Syscall-Num）

在Linux OS中系統(tǒng)調用碼用于標識系統(tǒng)調用，并在頭文件asrnlunistd.h中定義所有系統(tǒng)調用號。在IA64 Linux OS中，軟件調用約定使用臨時寄存器r15來編碼系統(tǒng)調用號。在XenIDS中，當事件傳感器通過break，epc指令跟蹤檢測到可能的系統(tǒng)調用執(zhí)行時，可以通過讀取通用寄存器r15來獲得系統(tǒng)調用碼。

（5）參數(shù)（Args）

由于只關心系統(tǒng)調用的順序，不使用參數(shù)來檢測可能的入侵，但需要將它們作為存儲在IDD插樁中的重要審計日志信息。系統(tǒng)管理員可以使用這些信息來確認檢測到的入侵。在XenIDS中，Xen VMM通過定義良好的接口get_rse_reg，從寄存器堆棧（r32，r33，r34，....）中獲取這些參數(shù)。

事件傳感器用于收集組織為五元組的所有上述信息，并通過預定義的接口發(fā)送到跟蹤緩沖區(qū)。隨后IDD可以從跟蹤緩沖區(qū)中獲取并及時分析可能的入侵。

4測試與分析

4.1有效性測試

為了評估提出的架構，使用Xen / IA64實現(xiàn)了XenIDS原型，使用了Rootkit攻擊數(shù)據(jù)集[10]，包括ARK，Adore工具包和Knark來測試它的有效性。XenIDS對Rootkit攻擊表現(xiàn)出了良好的正確檢測率。測試結果如表1所示。

4.2性能測試

根據(jù)XenIDS的體系結構，系統(tǒng)開銷主要來自目標系統(tǒng)的事件傳感器，部署了微基準SPEC CPU2000，以顯示事件傳感器對性能的影響。原生系統(tǒng)和HVM系統(tǒng)都托管在Linux RHEL4U3系統(tǒng)和Intel Tiger4平臺上，配置20 GB主內存，Xen/IA64的Cset12014用于構建虛擬化環(huán)境，將其性能數(shù)據(jù)與使用相同硬件配置的原生系統(tǒng)的性能數(shù)據(jù)進行比較，詳細性能數(shù)據(jù)如圖2所示。

在每種情況下，通過系統(tǒng)調用傳感器引入的額外開銷基本上為0.1%～1.25%。這種性能下降主要源于監(jiān)控系統(tǒng)調用序列的開銷以及目標系統(tǒng)與IDD之間的通信。結果表明，XenIDS架構對性能的影響，在實際應用中是可接受的。

4.3可擴展性測試

由于VMM系統(tǒng)中核心資源之間的相互依賴性，由此產生的系統(tǒng)可擴展性是設計和實現(xiàn)虛擬化系統(tǒng)的挑戰(zhàn)。通過在分配不同數(shù)量的虛擬CPU時的性能來評估XenIDS的可擴展性，并分別與HIDS，NIDS的可擴展性進行比較，如圖3和圖4所示。

由圖3和圖4可以看出，XenIDS的可擴展性可以很好地適應處理器資源的水平。對于基準測試，XenIDS和HIDS系統(tǒng)的可擴展性非常接近。當有4個CPU時，XenIDS表現(xiàn)出比HIDS系統(tǒng)略好的性能。對于NIDS的比較實驗獲得了類似的結果。

5結束語

本文分析了現(xiàn)有IDS存在的問題，針對其可見度不高、隔離性差及目標系統(tǒng)不完整等問題，提出一個基于虛擬機監(jiān)視器Xen VMM入侵檢測系統(tǒng)架構XenIDS。基于該架構設計和實現(xiàn)了一個IDS，使用Rootkit數(shù)據(jù)集進行了測試和評估，結果表明，XenIDS在增加有限開銷的情況下可以有效檢測攻擊。同時，該架構在許多方面可以擴展，如可以利用可信計算技術構建Trust VMM并進一步保護架構中的關鍵組件。

參考文獻

[1]王金輝，胡俊，徐湲策.一種基于HIDS的威脅情報解決方案[J].網(wǎng)絡空間安全，2019，10（3）：1-7.

[2]項國富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控[J].軟件學報，2012，23（8）：2173-2187.

[3]馬喆，禹熹，袁傲，等. Xen安全機制探析[J].信息網(wǎng)絡安全， 2011（11）：31-35.

[4] Zhang F，Chen J，Chen H，et al. Cloudvisor： Retrofitting Protection of Virtual Machines in Multi-tenant Cloud with Nested Virtualization[C]// In Proceeding of 23rd ACM Symposium on Operating System Principles （SOSP’2011）， Cascais， Portugal，2011：203-216.

[5] Cho Y， Shin J， Kwon D， et al. Hardware-assisted On-demand Hypervisor Activation for Efficient Security Critical Code Execution on Mobile Devices[C]//2016 USENIX Annual Technical Conference， USENIX ATC 2016， Denver，CO，USA， 2016：565-578.

[6]邵炳陽，田慶宜，沈長達，等.XenServer虛擬化平臺取證方法研究[J].網(wǎng)絡空間安全， 2019，10（2）：49-56.

[7] Litchfield A，Shahzad A. Virtualization Technology：Cross-VM Cache Side Channel Attacks Make it Vulnerable[C]// Proceedings of the Australasian Conference on Information Systems（ACIS） Adelaide， South Australia，2015.

[8] Reza A，Boshra P.SHADuDT： Secure Hypervisor-based Anomaly Detection Using Danger Theory[J]. Computers&Security （ COM-PUT SECUR），2013（39）268-288.

[9] Rhee J，Riley R，Xu D，et al.Defeating Dynamic Data Kernel Rootkit Attacks via VMM-based Guest-transparent Monitoring[C]//Proceedings of the 4th International Conference on Availability，Reliability and Security（ARES’09），2009：74-81.

[10]張瑜，劉慶中，李濤，等.Rootkit研究綜述[J].電子科技大學學報，2015，44（4）：563-578.

收稿日期：2019-05-18

基金項目：黑龍江省教育廳科技面上項目（12531121）；國家級大學生創(chuàng)新創(chuàng)業(yè)訓練項目（201810214027）