ファイルシステムキャッシュを考慮したIDSオフロード

Slides:

Advertisements

Similar presentations

九州工業大学塩田裕司光来健一.  仮想マシンは必要なときだけ動かす使い方が一般的 ◦ 一台の計算機上に複数の計算機を仮想的に作成できる ◦ デスクトップ  異なる OS を使用するため作成 ◦ サーバ  最大負荷に合わせた数の仮想マシンを作成  長期間使わない仮想マシンも存在する VM.

Advertisements

九州工業大学大学院情報工学府情報創成工学専攻塩田裕司.  仮想マシン（ VM ）は必要なときだけ動かすことが多い ◦ クラウドでもデスクトップでも ◦ 長期間使わない VM が存在する  VM の再開時に攻撃を受ける可能性が高くなる ◦ 停止中に OS やアプリケーションの脆弱性が発見されるこ.

ファイルキャッシュを考慮したディスク監視のオフロード

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

Android端末の盗難対策のためのページキャッシュ暗号化

■パス検索各種ファイルを操作するには、まずパス名をiノードに変換しなければならない。以下にパス名をiノードに変換する関数の説明を行う。

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

Xenを用いたクラウドコンピューティングにおける情報漏洩の防止

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

KVMにおけるIDSオフロードのための仮想マシン監視機構

仮想マシンの並列処理性能に対するCPU割り当ての影響の評価

ファイルシステムキャッシュを考慮した仮想マシン監視機構

Android端末のメモリ暗号化によるコールドブート攻撃対策

メモリ暗号化による Android端末の盗難対策

仮想計算機を用いたファイルアクセス制御の二重化

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

侵入検知システム（IDS）停止 IDS サーバへの不正アクセスが増加している

小型デバイスからのデータアクセス情報処理系論第5回.

XenによるゲストOSの解析に基づくパケットフィルタリング

大きな仮想マシンの複数ホストへのマイグレーション

ネストした仮想化を用いた VMの安全な帯域外リモート管理

帯域外リモート管理の継続を実現可能なVMマイグレーション手法

VMマイグレーションを可能にするIDSオフロード機構

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

サスペンドした仮想マシンのオフラインアップデート

型付きアセンブリ言語を用いた安全なカーネル拡張

SAccessor : デスクトップPCのための安全なファイルアクセス制御システム

仮想マシンを用いて既存IDSをオフロードするための実行環境

KVMにおける仮想マシンの内部監視機構の実装と性能評価

仮想マシン間にまたがるプロセススケジューリング

XenによるゲストOSの監視に基づくパケットフィルタリング

仮想計算機を用いて OSを介さずに行う安全なファイルアクセス制御

セキュリティ機構のオフロードを考慮した仮想マシンのスケジューリング

分散IDSの実行環境の分離による安全性の向上

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VMのメモリ暗号化によるクラウド管理者への情報漏洩の防止

VM専用仮想メモリとの連携による VMマイグレーションの高速化

リモートホストの異常を検知するための GPUとの直接通信機構

実行時情報に基づく OSカーネルのコンフィグ最小化

仮想メモリを用いた VMマイグレーションの高速化

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

IaaS環境におけるVMのメモリ暗号化による情報漏洩の防止

クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構

クラウドにおけるVM内コンテナを用いた自動障害復旧システムの開発

未使用メモリに着目した複数ホストにまたがる仮想マシンの高速化

仮想マシンを用いた既存IDSのオフロード

Intel SGXを用いた仮想マシンの安全な監視機構

軽量な仮想マシンを用いたIoT機器の安全な監視

複数ホストにまたがって動作する仮想マシンの障害対策

セキュリティ機構のオフロード時の性能分離

VMMのソフトウェア若化を考慮したクラスタ性能の比較

信頼できないクラウドにおける仮想化システムの監視機構

仮想環境を用いた侵入検知システムの安全な構成法

Cell/B.E.のSPE Isolationモードを用いた監視システム

仮想マシンの監視を継続可能なマイグレーション機構

仮想マシンと物理マシンを一元管理するための仮想AMT

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

VMリダイレクト攻撃を防ぐための安全なリモート管理機構

強制パススルー機構を用いた VMの安全な帯域外リモート管理

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

複数ホストにまたがるVMの高速かつ柔軟な部分マイグレーション

Virtual Machine Introspectionを可能にするVMCryptの拡張田所秀和光来健一（九州工業大学）

強制パススルー機構を用いた VMの安全な帯域外リモート管理

管理VMへのキーボード入力情報漏洩の防止

Presentation transcript:

ファイルシステムキャッシュを考慮したIDSオフロード土田賢太朗（九州工業大学）光来　健一（九州工業大学/JST CREST）

侵入検知システム（IDS) IDSはサーバへの攻撃者の侵入を検知するために用いられる攻撃者はまずIDSを攻撃するようになってきた例：ディスクを監視してファイルの改ざんを検知する攻撃者はまずIDSを攻撃するようになってきた IDSが侵入を検知できなくなる例：Haxdoor 攻撃者攻撃者 IDS 監視仮想ディスク

仮想マシンを用いたIDSのオフロードサーバを仮想マシンで動かし，IDSだけを別の仮想マシンで動かす手法 IDSが仮想ディスクを監視サーバVMではIDSは動いていない IDS-VMでは不要なサービスを動かさないので侵入されない IDS VM サーバVM IDS 監視仮想ディスク

IDSオフロードにおけるディスクの監視ディスクに書き戻されていないファイルシステム内部のキャッシュを監視できない仮想ディスクを直接見ているページキャッシュアプリケーション等で作成・修正されたファイルが一時的に保存される領域一定時間が経過しないとディスクに書き戻されないサーバVM アプリケーションファイルページキャッシュ IDS-VM 監視 IDS 仮想ディスク

ページキャッシュを利用した攻撃ページキャッシュからディスクへの書き戻しまでの時間を長くする /proc/sys/vm/dirty_writeback_centisecsなどの値を大きくするファイルキャッシュ上のファイルを不正に書き換えられても検知できないサーバVM 閲覧者改ざんされたwebページ webサーバ攻撃者改ざんされたwebページページキャッシュ IDS-VM 監視 webページ IDS 仮想ディスク

CacheShadowファイルシステム仮想ディスクとファイルシステムキャッシュを統合して監視を行えるようにするファイルシステム IDSが最新のファイルにアクセスできるようにする VMイントロスペクションを用いてサーバVMのOSカーネルのメモリを解析サーバVM CacheShadow ファイルシステム仮想ディスクキャッシュ IDS VM IDS

統合するファイルシステムキャッシュページキャッシュディレクトリキャッシュメタデータキャッシュファイルデータのキャッシュファイルの改ざんの検知ディレクトリキャッシュディレクトリエントリのキャッシュ追加されたファイルやディレクトリの検知メタデータキャッシュ時刻やアクセス権などのメタデータのキャッシュ更新時刻を最新に保つことができアクセス権の変更も検知可能になるファイルシステムキャッシュ

VMイントロスペクションサーバVMの外からサーバVMの情報を取得するカーネルのデバッグ情報からサーバVMのメモリにアクセスプロセスを解析する場合：init_task サーバVMのメモリページをIDS VMにマップして解析する IDS VM サーバVM CacheShadow ファイルシステム仮想メモリ擬似物理メモリマシンメモリ

ページキャッシュの解析サーバVMのメモリを管理しているpage構造体を解析 page構造体を順番に調べるだけでよいぺージキャッシュはファイル単位で管理されているファイルごとに見るのは面倒 IDS-VM サーバVM page構造体ファイル CacheShadow ファイルシステム radix_tree ディレクトリエントリページキャッシュ

ページキャッシュの判別 page構造体の用途を示すフラグで判別ディスクに書き戻されていないページキャッシュだけを選別ページキャッシュを直接指すフラグがないいくつかのフラグを組み合わせて消去法で判別するディスクに書き戻されていないページキャッシュだけを選別 PageDirtyフラグで判定 page構造体 PG_slab ページをスラブで使用 PG_reserved 予約済みページ PG_swapcache スワップキャッシュとして使用ページキャッシュ

キャッシュとファイルの対応付けページ構造体から順にたどってキャッシュされているファイル情報を取得単純に構造体をたどるだけでいい得られた情報はハッシュ表に格納オフセット，inode番号，デバイス番号からページキャッシュのページ番号を返す page構造体 inode構造体 super_block構造体 adress_space構造体 inode番号デバイス番号

ページキャッシュとディスクの統合ハッシュ表を用いてファイルの読み込み先を切り替える読み込もうとしているファイルのinode番号とデバイス番号，オフセットを調べるハッシュ表を検索登録されていればページキャッシュ，無ければ仮想ディスクから読み込むページキャッシュ CacheShadow ファイルシステムハッシュ表仮想ディスク

その他のキャッシュの解析ディレクトリキャッシュメタデータキャッシュファイルやディレクトリのパス名からディレクトリキャッシュを探索ファイルやディレクトリのinode構造体はdentry構造体からたどることができる dentry構造体 inode構造体更新時刻アクセス保護所有者のUID ファイルの大きさ

スナップショットの解析・監視 VMのメモリとディスクのスナップショットをとって解析する現在の実装ではサーバVMを停止しているメモリの解析中や解析した情報を使う前に更新が行われるのを防ぐ現在の実装ではサーバVMを停止しているサーバVMのスナップショットサーバVM IDS　VM メモリ CacheShadow ファイルシステム仮想ディスク

実装 Xen上に実装 IDS VM：ドメイン0 サーバVM：ドメインU FUSEを用いたサーバVMのOS：Linux ドメイン0 CacheShadow ファイルシステムファイルシステムキャッシュ FUSE 仮想ディスク

実験ページキャッシュを利用した攻撃ページキャッシュ上のデータの読み込み取得できたページキャッシュのページ数ぺージキャッシュ情報の解析にかかる時間実験環境 Xen 4.1.1 ドメイン0/ドメインUカーネル：Linux 2.6.39 CPU：Intel Core i7 2.93GHz メモリ：4GB HDD：SATA 500GB

ページキャッシュを利用した攻撃ページキャッシュを利用した攻撃は可能ページキャッシュの書き戻しまでの時間を長く設定ディスク上にファイルを追加ディスク上のファイルを書き換えるディスク上のファイルの実行権限を変更ディスクを直接マウントしただけではディスクから読み込むだけサーバVM ページキャッシュ IDS VM 仮想ディスク

ページキャッシュ上のデータの読み込みページキャッシュ上のファイルの書き換えが検知できることを確認 CacheShadowファイルシステムでページキャッシュ上のファイルを読み込めたサーバVMのページキャッシュの書き戻しまでの時間を長く設定 IDS VM サーバVM ページキャッシュからデータが読み込めるかどうか実験を行いました。ページキャシュの書き戻しまでの時間を長くした状態で、ディスク上の青い画像を赤いものに書き換えて、ディスクとキャッシュで違う画像になるようにしました。そしてCacheShadowファイルシステムを用いた所、赤い画像が開けることが確認できました。 blue.bmp blue.bmp ページキャッシュ CacheShadow ファイルシステム blue.bmp 仮想ディスク

取得できたページキャッシュのページ数 CacheShadowファイルシステムが取得したぺージキャッシュのページ数とサーバVM上で見たのページキャッシュの数を比較２つのページ数は一致したので正しくページキャッシュを取得できたと考えられる

ぺージキャッシュ情報の解析にかかる時間(1/2) ページキャッシュがほぼ0の場合解析にかかる最低のオーバーヘッド 1 秒程度で 1GB のメモリを解析できている

ぺージキャッシュ情報の解析にかかる時間(2/2) ページキャッシュを増やした場合解析するキャッシュの大きさに比例して処理時間も増加解析にかかるオーバーヘッドが大きすぎる page構造体処理時間[s] inode構造体 super_block構造体 adress_space構造体 inode番号デバイス番号

関連研究 Storage IDS [Adam et al. ‘03] VMwatcher [Jiang et al. ‘07] NFSサーバなどのディスク側でIDSを動作させ監視 NFSクライアントのキャッシュを監視できない VMwatcher [Jiang et al. ‘07] 既存のアンチウィルスでサーバVMを外から監視可能サーバVMの仮想ディスクを参照するのみ HyperSpector [Kourai et al. ‘05] OSの仮想化機能を利用したIDSオフロード IDS VMはサーバVMとキャッシュを共有

まとめ CacheShadowファイルシステムを提案ファイルシステムキャッシュと仮想ディスクを統合して監視が行える監視対象OSからぺージキャッシュ，ディレクトリキャッシュ，メタデータキャッシュに関する情報を取得ページキャッシュからファイルを読み込めた

今後の課題(1/2) CacheShadowファイルシステムの実装を完成ページキャッシュの解析にかかる時間の改善ディレクトリキャッシュ・メタデータキャッシュへの対応 FUSEを用いた実装の完成現在はページキャッシュについてファイルの読み込みや解析ができているだけページキャッシュの解析にかかる時間の改善

今後の課題(2/2) ぺージキャッシュを解析するよりよい方法の検討現在の実装はすべてのキャッシュを解析ディスク全体を監視したい時には有効少数のファイルだけを監視する場合には非常に効率が悪い目的のページキャッシュだけを解析する手法少数のファイルの監視には適しているすべてを監視する場合にはオーバーヘッドが大きい実装が複雑になる