目前����,要讓開發(fā)人員保證開發(fā)軟件不存在任何的漏洞是不可能的,同時(shí)要求網(wǎng)絡(luò)安全人員實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)海量信息流并發(fā)現(xiàn)攻擊信息并作出有效地措施也有一定難度����。本文為了解決以上問題����,針對(duì)性的提出了使用虛擬化技術(shù)進(jìn)行軟件的隔離,論述了使用隔離技術(shù)的利弊��,并針對(duì)網(wǎng)絡(luò)安全提出了入侵檢測(cè)的解決方案,論述了幾種入侵檢測(cè)體系的利弊�,闡述了一種針對(duì)大流量網(wǎng)絡(luò)入侵檢測(cè)的方案。最后結(jié)合虛擬化技術(shù)����,闡述了入侵檢測(cè)基于虛擬化終端部署的方案。
虛擬化技術(shù)
2.1虛擬化技術(shù)論述
一個(gè)程序存在漏洞就會(huì)影響其他程序乃至整個(gè)服務(wù)器的運(yùn)行��,因此在不能保證程序本身安全性的時(shí)候����,我們就需要減弱或者切斷程序和其他程序乃至服務(wù)器的直接聯(lián)系,將程序作為獨(dú)立的個(gè)體���。這樣即使程序崩潰也不會(huì)影響其余程序的運(yùn)行��。而MiU給出的一份關(guān)于如今的操作系統(tǒng)和應(yīng)用軟件的研究報(bào)告顯示:軟件之中不可能沒有漏洞��。
因此我們將應(yīng)用很廣的虛擬機(jī)技術(shù)引入到服務(wù)器的安全維護(hù)中��。虛擬機(jī)為應(yīng)用程序提供了一個(gè)與操作系統(tǒng)相同但是又獨(dú)立的運(yùn)行環(huán)境��。
虛擬化保護(hù)的優(yōu)點(diǎn)如下:
1.通過為每個(gè)程序虛擬出其運(yùn)行環(huán)境�。直接消除了程序間的相互影響��。所有的操作都僅僅局限于每個(gè)虛擬化環(huán)境中,因此即使某個(gè)程序崩潰最多也只是導(dǎo)致這個(gè)虛擬環(huán)境崩潰�����,而不會(huì)對(duì)其他的程序產(chǎn)生影響�。
2.由于程序的運(yùn)行環(huán)境是虛擬出來的,因此可以針對(duì)某個(gè)程序虛擬出其適應(yīng)的運(yùn)行環(huán)境��,并且分配足夠其運(yùn)行的系統(tǒng)資源��,從而避免了程序間的不兼容性��。
3.由于程序所能使用的最大資源是由其虛擬環(huán)境所決定的�����,因此避免了某個(gè)程序搶占資源而導(dǎo)致其他程序無(wú)法運(yùn)行的情況���,很好的保證了程序的穩(wěn)定性和并行性�。
4.由于程序都是運(yùn)行在虛擬環(huán)境中�,因此具備了很好的可移植性。只要其余平臺(tái)有其相同的虛擬環(huán)境都可以穩(wěn)定的移植��。
5.虛擬化的環(huán)境可以記錄下每個(gè)時(shí)刻這個(gè)環(huán)境的運(yùn)行信息�����,通過這些運(yùn)行信息可以很方便的回退虛擬環(huán)境到某一個(gè)曾經(jīng)的時(shí)刻�,由于虛擬環(huán)境的獨(dú)立性,這個(gè)回退不會(huì)對(duì)其他的程序造成影響�。
但是虛擬化技術(shù)由于要為每個(gè)程序配置虛擬環(huán)境。因此從客觀上增加了系統(tǒng)資源的開銷�。
2、應(yīng)用部署
在具體應(yīng)用中我們可以使用VMware��,Sandboxie和Returnil Virtual System搭建一個(gè)多層虛擬環(huán)境�����。
VMware可以使你在一臺(tái)機(jī)器上同時(shí)運(yùn)行二個(gè)或更多Windows��、DOS����、LINUX系統(tǒng)。
Returnil Virtual System來自歐洲著名的安全公司Retumil SIA�����,它是一個(gè)基于虛擬機(jī)原理的影子系統(tǒng)軟件�,可以瞬間把您的計(jì)算機(jī)用隔離罩保護(hù)起來�。同時(shí)用一個(gè)內(nèi)存中的虛假替身“影子”系統(tǒng)來接管真實(shí)的操作系統(tǒng)�����,任何操作都被限制在虛擬系統(tǒng)中使用�。無(wú)法感染你真實(shí)的操作系統(tǒng)。
Sandboxie可以為運(yùn)行程序構(gòu)建沙盤環(huán)境��,所以程序的操作都被局限于Sandboxie為這個(gè)程序所構(gòu)建的虛擬環(huán)境中��。不會(huì)對(duì)其他的軟件造成影響��。
于是我們對(duì)于單個(gè)的服務(wù)器��,首先使用VMware構(gòu)建使用不同操作系統(tǒng)的虛擬計(jì)算機(jī)�����。然后對(duì)于每個(gè)VM環(huán)境使用Returnil Virtual System構(gòu)建一個(gè)影子系統(tǒng)���。之后在這個(gè)影子系統(tǒng)上使用Sandboxie運(yùn)行我們所需要啟動(dòng)的服務(wù)或者程序����。
程序運(yùn)行在沙箱中。相互間不會(huì)互相影響���,如果需要和操作系統(tǒng)進(jìn)行交互或者需要執(zhí)行操作系統(tǒng)級(jí)別的命令,則也只能訪問影子系統(tǒng)�。而虛擬計(jì)算機(jī)則提供了不同程序所需要的不同操作系統(tǒng)環(huán)境。這樣無(wú)論如何���。
真實(shí)的操作系統(tǒng)都不會(huì)受到影響��。
本文選取了aDache在正常訪問時(shí)間時(shí)候的數(shù)據(jù)比較�����。在犧牲了有限的計(jì)算機(jī)資源的同時(shí)獲得了較高的安全系數(shù)��。本文認(rèn)為還是有價(jià)值的����。
