ファイルシステムキャッシュを考慮した仮想マシン監視機構

Slides:

Advertisements

Similar presentations

九州工業大学塩田裕司光来健一.  仮想マシンは必要なときだけ動かす使い方が一般的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

Advertisements

九州工業大学大学院情報工学府情報創成工学専攻塩田裕司.  仮想マシン（ VM ）は必要なときだけ動かすことが多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.

ファイルキャッシュを考慮したディスク監視のオフロード

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

Android端末の盗難対策のためのページキャッシュ暗号化

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

KVMにおけるIDSオフロードのための仮想マシン監視機構

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

メモリ暗号化による Android端末の盗難対策

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

侵入検知システム（IDS）停止 IDS サーバへの不正アクセスが増加している

XenによるゲストOSの解析に基づくパケットフィルタリング

大きな仮想マシンの複数ホストへのマイグレーション

ファイルシステムキャッシュを考慮したIDSオフロード

ネストした仮想化を用いた VMの安全な帯域外リモート管理

帯域外リモート管理の継続を実現可能なVMマイグレーション手法

VMマイグレーションを可能にするIDSオフロード機構

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

サスペンドした仮想マシンのオフラインアップデート

型付きアセンブリ言語を用いた安全なカーネル拡張

SAccessor : デスクトップPCのための安全なファイルアクセス制御システム

踏み台攻撃だけを抑制できる VMMレベル・パケットフィルタ

仮想マシンを用いて既存IDSをオフロードするための実行環境

KVMにおける仮想マシンの内部監視機構の実装と性能評価

仮想マシン間にまたがるプロセススケジューリング

XenによるゲストOSの監視に基づくパケットフィルタリング

仮想計算機を用いて OSを介さずに行う安全なファイルアクセス制御

セキュリティ機構のオフロードを考慮した仮想マシンのスケジューリング

分散IDSの実行環境の分離による安全性の向上

仮想マシンモニタによるきめ細かいパケットフィルタリング

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VM専用仮想メモリとの連携による VMマイグレーションの高速化

IaaS型クラウドにおけるインスタンス構成の動的最適化手法

リモートホストの異常を検知するための GPUとの直接通信機構

実行時情報に基づく OSカーネルのコンフィグ最小化

仮想メモリを用いた VMマイグレーションの高速化

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止

クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構

クラウドにおけるVM内コンテナを用いた自動障害復旧システムの開発

未使用メモリに着目した複数ホストにまたがる仮想マシンの高速化

仮想マシンを用いた既存IDSのオフロード

Intel SGXを用いた仮想マシンの安全な監視機構

軽量な仮想マシンを用いたIoT機器の安全な監視

複数ホストにまたがって動作する仮想マシンの障害対策

セキュリティ機構のオフロード時の性能分離

VMMのソフトウェア若化を考慮したクラスタ性能の比較

信頼できないクラウドにおける仮想化システムの監視機構

仮想環境を用いた侵入検知システムの安全な構成法

Cell/B.E.のSPE Isolationモードを用いた監視システム

仮想マシンの監視を継続可能なマイグレーション機構

仮想マシンと物理マシンを一元管理するための仮想AMT

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

VMリダイレクト攻撃を防ぐための安全なリモート管理機構

ゼロコピー・マイグレーションを用いた軽量なソフトウェア若化手法

強制パススルー機構を用いた VMの安全な帯域外リモート管理

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

複数ホストにまたがるVMの高速かつ柔軟な部分マイグレーション

複数ホストにまたがるVMのメモリ使用状況に着目した高速化

L4-Linux のメモリ管理における問題点とその解決策

Virtual Machine Introspectionを可能にするVMCryptの拡張田所秀和光来健一（九州工業大学）

強制パススルー機構を用いた VMの安全な帯域外リモート管理

管理VMへのキーボード入力情報漏洩の防止

Presentation transcript:

ファイルシステムキャッシュを考慮した仮想マシン監視機構九州工業大学大学院　情報工学府　情報創成工学専攻　 12675013　土田賢太朗

侵入検知システム（IDS) IDSはサーバへの攻撃者の侵入を検知するために用いられる攻撃者はまずIDSを攻撃するようになってきた例：ディスクを監視してファイルの改竄を検知する攻撃者はまずIDSを攻撃するようになってきた IDSが侵入を検知できなくなる攻撃者攻撃者 IDS 監視検知

VMを用いたIDSオフロードサーバを仮想マシン(VM)で動かし，IDSだけを別の仮想マシンで動かす手法監視仮想ディスク

不完全なファイル監視ディスクに書き戻されていないキャッシュ上のファイルを監視できないアクセス高速化のためキャッシュが生成される一定時間たつとキャッシュはディスクに書き戻されるメモリをディスクとして使うファイルシステム (tmpfs)を監視できない書き戻されることがないサーバVM キャッシュ IDS VM 監視 IDS 仮想ディスク

キャッシュを利用した攻撃キャッシュからディスクへの書き戻しまでの時間を長くする例：pdflushの起動間隔を長く設定する（Linux）キャッシュ上にファイルを不正に作成または改竄されても検知できない改竄されたwebページサーバVM 閲覧者 webサーバ改竄されたwebページ IDS VM キャッシュ webページ監視 webページ IDS 仮想ディスク

CacheShadowファイルシステム仮想ディスクとキャッシュを統合して監視を行えるようにするファイルシステムサーバVMのメモリを解析し、キャッシュ情報を取得 3種類のキャッシュを考慮 CacheShadow ファイルシステム仮想ディスクキャッシュ IDS VM サーバVM IDS ページキャッシュディレクトリキャッシュメタデータキャッシュ

ページキャッシュの解析ページキャッシュすべてのページの管理情報を解析ファイルの内容をメモリページ単位でキャッシュページの用途から消去法でページキャッシュとして使われているページを見つける書き換えられたファイルのどの部分がどのページにあるかの対応表を作成ページキャッシュメモリ・・・ファイルとページの対応表

ページキャッシュの統合ファイルの書き換えられた部分をページキャッシュから読み込む readシステムコールで統合ページサイズごとにファイルを対応表で調べる見つかればキャッシュ上のデータを使う見つからなければディスクから読み込むページキャッシュ CacheShadow ファイルシステム対応表仮想ディスク

ディレクトリキャッシュの解析ディレクトリキャッシュルートディレクトリから深さ優先探索アクセスしたディレクトリの情報をキャッシュ削除されたファイルの情報も保持ルートディレクトリから深さ優先探索 initプロセスからルートのdentry構造体を取得子のdentryがなくなるまで再帰的に探索ディレクトリキャッシュ initプロセスの構造体ルートのdentry構造体

ディレクトリキャッシュの統合ディレクトリキャッシュ上で追加・削除されたファイルを反映 readdirシステムコールで統合ディレクトリキャッシュ上のエントリを取得削除マークのついているエントリは無視ディスク上のエントリを重複しないように取得キャッシュで削除マークのついているエントリは無視 /home/user/ /home/user/ file1 file3 file1 *file2 file3 file1 file2 ディレクトリキャッシュ CacheShadow ファイルシステム仮想ディスク

メタデータキャッシュの統合メタデータキャッシュキャッシュがあればその情報を返すファイルサイズやアクセス権限のキャッシュディレクトリキャッシュをたどりdentryを見つける見つかればdentryからinode構造体を取得見つからなければディスク上のファイル情報を返すメタデータキャッシュ 1124KB rwxrwxrwx 1024KB rwx------ CacheShadow ファイルシステムディレクトリキャッシュ仮想ディスク

サーバVMのメモリ解析サーバVMのメモリを解析するにはアドレス変換が必要アドレス変換のキャッシュを作成一度変換したアドレスは再利用サーバVM IDS VM ページテーブル CacheShadow ファイルシステムアドレス変換のキャッシュ

実験実験内容実験環境ページキャッシュの解析時間ファイルの読み込み性能 Xen 4.1.2 IDS VM/サーバVMのカーネル：Linux 2.6.39 CPU：Intel Xeon 3.60GHz メモリ：16GB HDD：SATA 500GB

ページキャッシュの解析時間 2つのパターンのファイルで解析時間を測定サイズの異なるファイル（１つ） 4KBの小さいファイル（1〜10万個）解析時間はファイルサイズの影響を受けない 4KBの小さいファイル（1〜10万個）解析時間はファイルの個数に比例

ファイルの読み込み性能 4MBのファイルのハッシュ値の計算時間を測定 CacheShadowファイルシステムでは従来システムの実行時間の1.3倍ページサイズごとに読み込むことによるオーバーヘッド

関連研究 VMwatcher [Jiang et al. ‘07] Volatility[Petroni et al. '06] ダンプしたメモリ上のtmpfsをコピーして監視可能仮想ディスクとキャッシュの統合はできない HyperSpector [Kourai et al. ‘05] OSの仮想化機能を利用したIDSオフロード IDS VMはサーバVMとキャッシュを共有

まとめ CacheShadowファイルシステムを提案今後の課題ファイルシステムキャッシュと仮想ディスクを統合して監視が行えるサーバVMのメモリを解析してぺージキャッシュ，ディレクトリキャッシュ，メタデータキャッシュを取得今後の課題実際のIDSを用いた評価読み込みのオーバーヘッドを減らす