Download presentation
Presentation is loading. Please wait.
1
機械情報工学科 光来研究室 07237053 中村孝介
2
IDS は攻撃者の侵入を検知するシステム ◦ 監視対象 ディスク、メモリ、ネットワーク 攻撃者により改竄・停止させられる可能性がある ◦ 侵入を検知できなくなる IDS 攻撃者 検知 停止 ディスク メモリ ネットワーク ディスク メモリ ネットワーク 監視
3
サーバを仮想マシンで動かし、 IDS だけを別の仮 想マシンで動かす ◦ IDS 自身が攻撃を受けにくくなる IDS を動作させる仮想マシンへの侵入は困難 攻撃者 監視 仮想マシン IDS 攻撃 検知 ディスク メモリ ネットワーク ディスク メモリ ネットワーク
4
IDS オフロードの研究は Xen を用いて行われてきた ◦ KVM は急速に普及しつつある Xen より先に Linux カーネルにマージされた KVM : 2.6.20(2007/2) 、 Xen ( 一部 ) : 2.6.23(2007/10) NTT データが KVM を使ったクラウドを提供 (2009/10) ◦ KVM はアーキテクチャが Xen と異なるため Xen のオフ ロード手法が適用できるか不明であった 通常の プロセ ス 通常の プロセ ス Xen(VMM) VM ハードウェア VM KVM 通常の プロセ ス 通常の プロセ ス Linux カーネル ( ホスト OS)
5
KVM で IDS オフロードを実現するシステム ◦ IDS をホスト OS 上のプロセスとして実行 ◦ IDS が VM のディスクとメモリを監視 ◦ VM と IDS への統一的な CPU 制限 ハードウェア KVM 通常の プロセ ス 通常の プロセ ス Linux カーネル ( ホスト OS) 監視 VM IDS ディス ク メモリ QEMU
6
ホスト OS に VM のディスクをマウントすることで 監視 ◦ KVM 同梱の qemu-nbd ツールでマウントできる形式に変 換 ◦ そのままではマウントできない ◦ Xen では・・・ ドメイン U のディスクをドメイン 0 でそのままマウントでき る VM qemu-nbd ディス ク IDS ホスト OS Xen(VMM) ディス ク ドメイン 0 ドメイン U
7
IDS VM の物理メモリを IDS にマップ ◦ QEMU にファイルをメモリとして使わせそのファイルにア クセス ◦ QEMU がファイルを削除しないように修正 従来はオープンした後に削除していた ◦ Xen では・・・ VM のメモリを直接マップする機能が提供されている VM QEMU 物理 メモリ 物理 メモリ ファイ ル ホスト OS Xen(VMM) メモリ ドメイン 0 ドメイン U
8
QEMU と通信して仮想アドレスを物理アドレスに 変換 ◦ VM 内部の変数等は仮想アドレスだけが分かっている ◦ IDS がアクセスできるのは物理アドレスである ◦ QEMU に xaddr コマンドを追加し、 QMP を使って通信 VM QEMU ホスト OS 仮想アドレ ス xaddr 物理アドレ ス QMP IDS ファイ ル
9
Linux の Cgroups 機能を用いて VM と IDS をグルー プ化して CPU を制限 ◦ 商用では金額に応じた CPU 割り当てが必要 ◦ オフロードした IDS は VM の一部として制限すべき ◦ Xen では・・・ IDS を考慮して CPU 割り当てを行うように VMM を拡張 IDS ホスト OS IDS VM Xen(VMM) IDS VM 50%
10
ホスト OS Tripwire を使用してディスクの監視 ◦ 攻撃者による不正なファイルに見立てたファイルを VM に追加 ◦ 実験結果 ファイルの追加を検知することができた 実験環境 CPU : Intel Xeon 2.53GHz メモリ: 6GB ホスト OS : Linux 2.6.32 VM の OS : Linux 2.6.31 Tripwire VM 不正 ファイ ル 不正 ファイ ル 検知
11
VM と IDS をひとまとめにした CPU 制限 ◦ CPU 使用率を指定し、 CPU 使用率の推移を確認 ◦ 実験結果 CPU 制限がうまく機能しなかった VM を使用しなければ機能した KVM QEMU VM Linux カーネル ( ホスト OS) yes2 yes yes1 50%
12
Xen 以外を用いた IDS オフロード ◦ Livewire [Garfinkel et al.’03] VMware で実装 ◦ VMwatcher [Xuxian et al.’07] VMware 、 Xen 、 QEMU 、 UML で実装 IDS オフロード時のリソース制限 ◦ Resource Cage [ 新井ら ’09] Xen において IDS とオフロード元 VM をまとめて CPU 資源管理を行う ◦ BalloonPerformer [ 内田ら ‘09] Xen においてメモリの動的割り当てを行う
![ Xen 以外を用いた IDS オフロード ◦ Livewire [Garfinkel et al.’03] VMware で実装 ◦ VMwatcher [Xuxian et al.’07] VMware 、 Xen 、 QEMU 、 UML で実装 IDS オフロード時のリソース制限 ◦ Resource Cage [ 新井ら ’09] Xen において IDS とオフロード元 VM をまとめて CPU 資源管理を行う ◦ BalloonPerformer [ 内田ら ‘09] Xen においてメモリの動的割り当てを行う](http://images.slideplayer.com/16/5087990/slides/slide_12.jpg " Xen 以外を用いた IDS オフロード ◦ Livewire [Garfinkel et al.’03] VMware で実装 ◦ VMwatcher [Xuxian et al.’07] VMware 、 Xen 、 QEMU 、 UML で実装 IDS オフロード時のリソース制限 ◦ Resource Cage [ 新井ら ’09] Xen において IDS とオフロード元 VM をまとめて CPU 資源管理を行う ◦ BalloonPerformer [ 内田ら ‘09] Xen においてメモリの動的割り当てを行う")
13
KVM における IDS オフロードを実現するシステム KVMonitor を提案 ◦ 仮想ディスクをマウントできる形式に変更してディスク の監視 ◦ ファイルをメモリとして使いメモリの監視 ◦ Linux 既存の Cgroups を使用し CPU の制限 今後の課題 ◦ メモリ監視の実装の完成 ◦ CPU 制限がうまく機能しない原因の調査 ◦ ネットワークの監視の実現
Similar presentations
