Presentation is loading. Please wait.

Presentation is loading. Please wait.

仮想マシンを用いた 既存IDSのオフロード

Similar presentations


Presentation on theme: "仮想マシンを用いた 既存IDSのオフロード"— Presentation transcript:

1 仮想マシンを用いた 既存IDSのオフロード
九州工業大学 飯田貴大 九州工業大学/JST CREST 光来健一

2 侵入検知システム(IDS) IDSは攻撃者の侵入を検知するために用いられる IDSが攻撃を受けると検知できなくなる
ファイル、ネットワーク、OSなどを監視 例:chkrootkit 攻撃者によって仕込まれたrootkitを発見 rootkitはファイルの改ざん等を行う攻撃者用ツール IDSが攻撃を受けると検知できなくなる psコマンドが置き換えられるとchkrootkitが騙される 攻撃者 サーバ chkrootkit コマンド群 置換 rootkit

3 仮想マシンを用いたIDSのオフロード サーバを仮想マシン上で動かし、IDSだけ別の仮想マ シン上で動かす手法 IDSが停止される恐れがない
ログが改ざんされる恐れがない IDS-VM サーバVM 攻撃者 サーバ IDS 侵入

4 IDSをオフロードする際の問題 サーバVMを監視するようにIDSを修正する必要があ る
単純にIDS-VMで動かすだけではIDS-VMの監視を行ってし まう chkrootkitのpsはIDS-VMのプロセス情報を返す VMをまたがって監視を行うには特殊なアクセス方法を用い る必要がある 例:サーバVMのメモリを覗く VMwatcher [Jiang et al.’07] VIX [Hay et al.’08] IDS-VM サーバVM IDS IDS IDS-VMの 監視 サーバVMの 監視

5 提案:Transcall IDSに修正を加えることなくオフロードを可能にするシ ステム
サーバVMの監視を行うための実行環境であるVMシャドウを 提供 VMシャドウ内のIDSはサーバVM内と同様に実行できる サーバVMの情報を安全に取得 VMシャドウ IDS システムコール エミュレータ シャドウ ファイルシステム Transcall サーバVM IDS-VM

6 システムコール・エミュレータ VMシャドウ内のIDSが発行したシステムコールに対し て必要に応じてサーバVMの情報を返す
カーネルについての情報の取得 不必要ならIDS-VMのカーネルにシステムコールを発行 メモリ管理 ネットワーク処理 VMシャドウ IDS システムコール エミュレータ Transcall サーバVM IDS-VM カーネル

7 例:unameのエミュレーション unameシステムコールが返す情報をサーバVMから 取得
サーバVMのカーネルメモリの中からutsname構造体を発見 カーネル名、ホスト名、バージョン等が格納されている init_task変数からたどることができる unameが返す情報を上書き VMシャドウ IDS システムコール エミュレータ Transcall サーバVM IDS-VM カーネル init_task Linux server-vm task_struct utsname uname

8 サーバVMのメモリを直接見る必要性 サーバVMのカーネルが改ざんされない限り、正しい 情報を取得できる サーバVMへのRPCは脆弱
OS名を改ざんされるとOSに依存した攻撃を見逃す危険性 Transcall VMシャドウ IDS サーバVM IDS-VM RPC サーバ カーネル 攻撃 uname uname

9 シャドウファイルシステム VMシャドウ内のIDSからサーバVMで使われている ファイルシステム全体を参照可能 サーバVMの仮想ディスク
ファイルシステムの整合性を保つために読み込み専用でマウン ト 特殊なファイルシステム サーバVMを参照して エミュレート proc、sys、dev VMシャドウ IDS シャドウ ファイルシステム カーネル Transcall サーバVM IDS-VM 仮想ディスク

10 シャドウprocファイルシステム サーバVMのプロセス情報を返すファイルシステム
Linuxのprocファイルシステムと同じインタフェースを提供 /proc/PID/statはサーバVM上のプロセス番号PIDのプロセス 情報を返す プロセス情報はサーバVMのカーネルメモリから直接取得 init_task変数から順番にたどれるtask_struct構造体を参照 VMシャドウの/procにマウントする IDS-VM サーバVM カーネル シャドウprocfs Transcall IDS VMシャドウ init_task task_struct /proc/100/stat

11 psコマンドの実行例 psコマンドは/proc を参照しながら実行 /proc/self をチェック
サーバVM上にpsプロセスは存在しない IDS-VMで実行中のpsプロセスの情報を返す(例外処理) /proc 上のディレクトリエントリ一覧を取得 サーバVM上で動いているプロセスのPIDの一覧を返す 各プロセスのディレクトリからstat、statusファイルを読み込 む 実行されている端末、実行時間、コマンド名などを取得 サーバVM カーネル シャドウprocfs Transcall PS IDS-VM VMシャドウ ps

12 Transcallのポリシファイル VMシャドウ内のIDSがIDS-VM上のファイルを使うこ とを可能にする
/boot/vmlinuz /var/log/a.log

13 ポリシファイルの記述例 IDSがアクセスするパスとIDS-VM上のパスの対応を 記述
Tripwireの例 TripwireのポリシファイルはサーバVMごとに異なるパスに置く サイトキーは共通のパスに置く ログはサーバVMごとに異なるパスに保存 それ以外のファイルはサーバVMを参照 /etc/tripwire/tw.pol /etc/tripwire/VM1/tw.pol /etc/tripwire /etc/tripwire /var/lib/tripwire /var/lib/tripwire/VM1

14 実装 Xenを使ってIDSのオフロードを実現 Transcallはカーネルを変更せずに実現
ドメイン0をIDS-VM、ドメインUをサーバVMとする Transcallはカーネルを変更せずに実現 システムコールエミュレータの子プロセスとしてIDSを実行 FUSEを用いてシャドウprocファイルシステムを実装 IDS Linux ドメインU ドメイン0 FUSE シャドウ procfs カーネル システムコール エミュレータ Transcall カーネル

15 システムコールのトラップ ptraceシステムコールを用いてシステムコールのト ラップを行う エミュレートするシステムコールの場合
uname 引数が指すメモリの内容を書き換える ファイル関連のシステムコールの場合 open,stat 引数のパス名を置換する ポリシ /proc / IDS uname(buf) open("/proc") システムコール エミュレータ

16 サーバVMのカーネル情報の取得 カーネルの内部データ構造を基にメモリを解析 あらかじめカーネルの型情報やシンボル情報を取得しておく
デバッグ情報やSystem.mapを利用 サーバVMのメモリページをIDS-VMにマップしてアクセス 仮想アドレス→疑似物理アドレス→マシンアドレスへの変換 1 Transcall ページ テーブル 3 2 ターゲット VMM P2Mテーブル

17 実験:Transcallの性能 VMシャドウ内で動かしたpsコマンドの実行時間を測 定 サーバVMで直接動かした場合の3.3倍
原因はptraceおよびFUSEを用いたことによるオーバヘッド サーバVMからの情報取得のオーバヘッドは含まれない VMシャドウの作成時に取得しているため 平均実行時間 (ミリ秒) ps(サーバVM) 20 Transcall+ps (IDS-VM) 66 表1 実行速度比較 実験環境 CPU Intel Quad 2.83GHz メモリ 4GB Xen3.4.0 ドメイン0Linux ドメインU Linux

18 実験:隠しプロセスの発見 Transcallを用いて隠しプロセスの発見ができるかど うかの実験を行った
VMシャドウ内とサーバVM上でのpsの実行結果を比較 サーバVMではinitプロセスを隠蔽するpsコマンドを実行 隠蔽されたinitプロセスの発見を行えた

19 関連研究(1/2) HyperSpector [Kourai et al.’05] IDS-VMからサーバVMを監視するシステム
シャドウファイルシステム、シャドウプロセスを提供 既存のIDSが利用可能だが、設定の変更は必要 OSの仮想化機能を利用 名前空間の操作だけでサーバVMの情報を参照できる Transcallはシステムレベルの仮想化を前提 サーバVMの情報を取得するのは容易ではない

20 関連研究(2/2) VIX [Hay et al.’08] VMwatcher [Jiang et al.’07]
IDS-VMからサーバVMの情報を取得するコマンド群を提供 提供されているコマンドを使わないIDSは修正が必要 VMwatcher [Jiang et al.’07] IDS-VMで既存のアンチウィルスを動かすことができる サーバVMのファイルシステムを参照するのみ スキャンするパスをマウント先に変更する必要がある Proxos [Ta-min et al.’06] 機密情報を扱うプロセスを別のVMで実行 ポリシファイルに従ってシステムコールのRPCを行う 元のVMのカーネルの修正が必要

21 まとめ 既存のIDSを変更することなく、VMを用いてオフロー ドできるようにするシステムTranscallを提案
VMシャドウ内でIDSを動作させる IDS-VMからサーバVMを監視するための実行環境 Transcallの構成 システムコール・エミュレータ シャドウファイルシステム シャドウprocファイルシステム ポリシファイル 既存のpsを動作させて隠しプロセスを見つけられた

22 今後の課題 シャドウprocファイルシステムを完成させる 既存のIDSをオフロードできるようにする
取得できる情報がまだ不完全 実行中のプログラムのパス名が取得できない 既存のIDSをオフロードできるようにする Tripwire ポリシファイルの実装を完成させる必要がある chkrootkit netstatコマンドもオフロードできるようにする必要がある Transcallのオーバヘッドを削減する

23

24 仮想ディスクのマウント 仮想ディスクがLVMを使っている場合 仮想ディスクに使われているループバックデバイスを探す
/dev/loop1 見つかったループバックデバイスに対してデバイスマップを 作成 LVMでなければ作成したデバイスを直接マウント可能 物理ボリュームを探してから、論理ボリュームを探す 物理ボリューム名が一意である必要 /dev/VolGroupXen00/LogVol00 論理ボリュームをアクティブにしてマウント


Download ppt "仮想マシンを用いた 既存IDSのオフロード"

Similar presentations


Ads by Google