ファイルキャッシュを考慮したディスク監視のオフロード

Slides:

Advertisements

Similar presentations

九州工業大学塩田裕司光来健一.  仮想マシンは必要なときだけ動かす使い方が一般的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

Advertisements

九州工業大学大学院情報工学府情報創成工学専攻塩田裕司.  仮想マシン（ VM ）は必要なときだけ動かすことが多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

Android端末の盗難対策のためのページキャッシュ暗号化

記憶管理（１）オペレーティングシステム第9回.

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

Xenを用いたクラウドコンピューティングにおける情報漏洩の防止

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

KVMにおけるIDSオフロードのための仮想マシン監視機構

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

ファイルシステムキャッシュを考慮した仮想マシン監視機構

メモリ暗号化による Android端末の盗難対策

仮想計算機を用いたファイルアクセス制御の二重化

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

侵入検知システム（IDS）停止 IDS サーバへの不正アクセスが増加している

XenによるゲストOSの解析に基づくパケットフィルタリング

帯域外リモート管理を継続可能なマイグレーション手法

大きな仮想マシンの複数ホストへのマイグレーション

ファイルシステムキャッシュを考慮したIDSオフロード

ネストした仮想化を用いた VMの安全な帯域外リモート管理

帯域外リモート管理の継続を実現可能なVMマイグレーション手法

VMマイグレーションを可能にするIDSオフロード機構

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

サスペンドした仮想マシンのオフラインアップデート

SAccessor : デスクトップPCのための安全なファイルアクセス制御システム

踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ

仮想マシンを用いて既存IDSをオフロードするための実行環境

KVMにおける仮想マシンの内部監視機構の実装と性能評価

仮想マシン間にまたがるプロセススケジューリング

XenによるゲストOSの監視に基づくパケットフィルタリング

セキュリティ機構のオフロードを考慮した仮想マシンのスケジューリング

分散IDSの実行環境の分離による安全性の向上

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VM専用仮想メモリとの連携による VMマイグレーションの高速化

IaaS型クラウドにおけるインスタンス構成の動的最適化手法

リモートホストの異常を検知するための GPUとの直接通信機構

実行時情報に基づく OSカーネルのコンフィグ最小化

仮想メモリを用いた VMマイグレーションの高速化

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止

クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構

クラウドにおけるVM内コンテナを用いた自動障害復旧システムの開発

未使用メモリに着目した複数ホストにまたがる仮想マシンの高速化

仮想マシンを用いた既存IDSのオフロード

Intel SGXを用いた仮想マシンの安全な監視機構

軽量な仮想マシンを用いたIoT機器の安全な監視

複数ホストにまたがって動作する仮想マシンの障害対策

セキュリティ機構のオフロード時の性能分離

VMMのソフトウェア若化を考慮したクラスタ性能の比較

信頼できないクラウドにおける仮想化システムの監視機構

仮想環境を用いた侵入検知システムの安全な構成法

Cell/B.E.のSPE Isolationモードを用いた監視システム

仮想マシンの監視を継続可能なマイグレーション機構

仮想マシンと物理マシンを一元管理するための仮想AMT

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

VMリダイレクト攻撃を防ぐための安全なリモート管理機構

強制パススルー機構を用いた VMの安全な帯域外リモート管理

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

複数ホストにまたがるVMの高速かつ柔軟な部分マイグレーション

複数ホストにまたがるVMのメモリ使用状況に着目した高速化

Virtual Machine Introspectionを可能にするVMCryptの拡張田所秀和光来健一（九州工業大学）

強制パススルー機構を用いた VMの安全な帯域外リモート管理

管理VMへのキーボード入力情報漏洩の防止

Presentation transcript:

ファイルキャッシュを考慮したディスク監視のオフロード九州工業大学　情報工学部機械情報工学科光来研究室 08237050 土田賢太朗

侵入検知システム（IDS) IDSはサーバへの攻撃者の侵入を検知するために用いられる攻撃者はまずIDSを攻撃するようになってきた例：ディスクを監視してファイルの改ざんを検知する攻撃者はまずIDSを攻撃するようになってきた IDSが侵入を検知できなくなる攻撃者攻撃者 IDS 監視仮想ディスク

仮想マシンを用いたIDSのオフロードサーバを仮想マシンで動かし，IDSだけを別の仮想マシンで動かす手法サーバVMではIDSは動いていない IDS-VMでは不要なサービスを動かさないので侵入されない IDS-VM サーバVM IDS 監視仮想ディスク

従来の監視は仮想ディスクのみディスクに書き戻されていないファイルキャッシュ上のファイルは監視できないファイルキャッシュアプリケーション等で作成・修正されたファイルが一時的に保存される領域一定時間が経過しないとディスクに書き戻されない仮想ディスク IDS-VM サーバVM ファイルキャッシュ IDS アプリケーションファイル監視

ファイルキャッシュを利用した攻撃ファイルキャッシュからディスクへの書き戻しまでの時間を長くする管理者権限があれば可能ファイルキャッシュ上のファイルを不正に書き換えられても検知できない IDS-VM サーバVM ファイルキャッシュ IDS アプリケーション攻撃者不正なファイル監視仮想ディスク

CacheShadowファイルシステム仮想ディスクとファイルキャッシュを統合して監視を行えるようにするファイルシステム IDSが最新のファイルにアクセスできるようにするファイルキャッシュ上にファイルがあれば優先してアクセスファイルキャッシュ上の不正なファイルも検知できる仮想ディスク IDS-VM サーバVM CacheShadow ファイルシステム IDS ファイルキャッシュ

ファイルキャッシュ情報の取得サーバVMのメモリの用途を調べて，ファイルキャッシュを探すファイル名から探すとOS内の複雑なデータ構造の解析が必要メモリを管理するページ構造体を順番に調べる IDS-VM サーバVM ページ構造体ファイル CacheShadow ファイルシステムファイルキャッシュ

ファイルキャッシュの判別ページ構造体の用途を示すフラグで判別ディスクに書き戻されていないファイルキャッシュだけを選別ファイルキャッシュを直接指すフラグがないいくつかのフラグを組み合わせて消去法で判別するディスクに書き戻されていないファイルキャッシュだけを選別 PageDirtyフラグで判定 struct page PageSlab ファイルキャッシュ PageReserved

キャッシュとファイルの対応付けページ構造体から順にたどってキャッシュされているファイル情報を取得得られた情報はハッシュ表に格納オフセット，inode番号，デバイス番号からファイルキャッシュのページ番号を返すオフセット struct page inode番号 struct inode デバイス番号 struct super_block ファイルの先頭からの位置ファイルを識別する値ディスクを識別する値

ファイルキャッシュとディスクの統合 CacheShadowファイルシステムはハッシュ表を用いてファイルの読み込み先を切り替える読み込もうとしているファイルのinode番号とデバイス番号，オフセットを調べるハッシュ表を検索登録されていればファイルキャッシュ，無ければ仮想ディスクから読み込む仮想ディスク IDS-VM サーバVM IDS ファイルキャッシュハッシュ表 CacheShadow fs

実験1:ファイル改ざんの検出ファイルキャッシュ上のファイルの書き換えが検知できることを確認 CacheShadowファイルシステムでファイルキャッシュ上のファイルを読み込めたサーバVMのファイルキャッシュの書き戻しまでの時間を長くしておく IDS-VM サーバVM 実験環境 bbbb bbbb ファイルキャッシュマシン Linux 2.6.39.3, Xen 4.1.1 CPU Intel Core i7 870 メモリ 4GB（サーバVM：１GB） CacheShadow ファイルシステム aaaa 仮想ディスク

実験2:キャッシュ情報の取得時間ファイルキャッシュ情報が正しく取得できたか確認ファイルキャッシュ情報取得にかかる時間の測定ほとんどすべての情報を得ることができているファイルキャッシュ情報取得にかかる時間の測定解析するデータ量が増えるため比例して増加 Tripwireのような処理に時間のかかるIDSの場合には問題ないキャッシュサイズ[KB] 取得できたサイズ[KB] 2988 2944 13520 13412 105664 105032

関連研究 VMwatcher[Jiang et al.’07] VM Shadow[飯田 ’11] 既存のアンチウィルスで監視が可能ファイルキャッシュの問題について指摘しているが，対処はしていない VM Shadow[飯田 ’11] 設定ファイルを変更せずに既存IDSを用いて監視サーバVMの仮想ディスクのみを監視する CacheShadowファイルシステムはShadowファイルシステムをベースに開発

まとめ CacheShadowファイルシステムを提案今後の課題ファイルキャッシュ情報を元にファイルキャッシュとディスクを統合ファイルキャッシュを利用した攻撃に対応した監視が可能今後の課題 CacheShadowファイルシステムの実装を完成させるファイルキャッシュ情報の取得にかかるオーバヘッドを減らす