目前���,要讓開發(fā)人員保證開發(fā)軟件不存在任何的漏洞是不可能的��,同時要求網(wǎng)絡(luò)安全人員實(shí)時檢測網(wǎng)絡(luò)海量信息流并發(fā)現(xiàn)攻擊信息并作出有效地措施也有一定難度���。本文為了解決以上問題��,針對性的提出了使用虛擬化技術(shù)進(jìn)行軟件的隔離�����,論述了使用隔離技術(shù)的利弊����,并針對網(wǎng)絡(luò)安全提出了入侵檢測的解決方案�����,論述了幾種入侵檢測體系的利弊�����,闡述了一種針對大流量網(wǎng)絡(luò)入侵檢測的方案�����。最后結(jié)合虛擬化技術(shù),闡述了入侵檢測基于虛擬化終端部署的方案�。
虛擬化技術(shù)
2.1虛擬化技術(shù)論述
一個程序存在漏洞就會影響其他程序乃至整個服務(wù)器的運(yùn)行,因此在不能保證程序本身安全性的時候�����,我們就需要減弱或者切斷程序和其他程序乃至服務(wù)器的直接聯(lián)系����,將程序作為獨(dú)立的個體。這樣即使程序崩潰也不會影響其余程序的運(yùn)行����。而MiU給出的一份關(guān)于如今的操作系統(tǒng)和應(yīng)用軟件的研究報(bào)告顯示:軟件之中不可能沒有漏洞。
因此我們將應(yīng)用很廣的虛擬機(jī)技術(shù)引入到服務(wù)器的安全維護(hù)中�����。虛擬機(jī)為應(yīng)用程序提供了一個與操作系統(tǒng)相同但是又獨(dú)立的運(yùn)行環(huán)境����。
虛擬化保護(hù)的優(yōu)點(diǎn)如下:
1.通過為每個程序虛擬出其運(yùn)行環(huán)境�。直接消除了程序間的相互影響。所有的操作都僅僅局限于每個虛擬化環(huán)境中,因此即使某個程序崩潰最多也只是導(dǎo)致這個虛擬環(huán)境崩潰��,而不會對其他的程序產(chǎn)生影響�����。
2.由于程序的運(yùn)行環(huán)境是虛擬出來的�����,因此可以針對某個程序虛擬出其適應(yīng)的運(yùn)行環(huán)境���,并且分配足夠其運(yùn)行的系統(tǒng)資源����,從而避免了程序間的不兼容性�����。
3.由于程序所能使用的最大資源是由其虛擬環(huán)境所決定的����,因此避免了某個程序搶占資源而導(dǎo)致其他程序無法運(yùn)行的情況,很好的保證了程序的穩(wěn)定性和并行性���。
4.由于程序都是運(yùn)行在虛擬環(huán)境中����,因此具備了很好的可移植性��。只要其余平臺有其相同的虛擬環(huán)境都可以穩(wěn)定的移植。
5.虛擬化的環(huán)境可以記錄下每個時刻這個環(huán)境的運(yùn)行信息,通過這些運(yùn)行信息可以很方便的回退虛擬環(huán)境到某一個曾經(jīng)的時刻,由于虛擬環(huán)境的獨(dú)立性�,這個回退不會對其他的程序造成影響。
但是虛擬化技術(shù)由于要為每個程序配置虛擬環(huán)境�����。因此從客觀上增加了系統(tǒng)資源的開銷。
2��、應(yīng)用部署
在具體應(yīng)用中我們可以使用VMware,Sandboxie和Returnil Virtual System搭建一個多層虛擬環(huán)境�。
VMware可以使你在一臺機(jī)器上同時運(yùn)行二個或更多Windows���、DOS��、LINUX系統(tǒng)。
Returnil Virtual System來自歐洲著名的安全公司Retumil SIA��,它是一個基于虛擬機(jī)原理的影子系統(tǒng)軟件��,可以瞬間把您的計(jì)算機(jī)用隔離罩保護(hù)起來。同時用一個內(nèi)存中的虛假替身“影子”系統(tǒng)來接管真實(shí)的操作系統(tǒng)��,任何操作都被限制在虛擬系統(tǒng)中使用�。無法感染你真實(shí)的操作系統(tǒng)�����。
Sandboxie可以為運(yùn)行程序構(gòu)建沙盤環(huán)境��,所以程序的操作都被局限于Sandboxie為這個程序所構(gòu)建的虛擬環(huán)境中����。不會對其他的軟件造成影響。
于是我們對于單個的服務(wù)器���,首先使用VMware構(gòu)建使用不同操作系統(tǒng)的虛擬計(jì)算機(jī)�。然后對于每個VM環(huán)境使用Returnil Virtual System構(gòu)建一個影子系統(tǒng)�。之后在這個影子系統(tǒng)上使用Sandboxie運(yùn)行我們所需要啟動的服務(wù)或者程序��。
程序運(yùn)行在沙箱中����。相互間不會互相影響��,如果需要和操作系統(tǒng)進(jìn)行交互或者需要執(zhí)行操作系統(tǒng)級別的命令����,則也只能訪問影子系統(tǒng)�。而虛擬計(jì)算機(jī)則提供了不同程序所需要的不同操作系統(tǒng)環(huán)境。這樣無論如何����。
真實(shí)的操作系統(tǒng)都不會受到影響。
本文選取了aDache在正常訪問時間時候的數(shù)據(jù)比較�。在犧牲了有限的計(jì)算機(jī)資源的同時獲得了較高的安全系數(shù)。本文認(rèn)為還是有價值的�。
