仮想的な分散監視環境による安全な侵入検知アーキテクチャ

IPSJ Web Site 2 Citations 22 References

Bibliographic Information

Other Title
  • カソウテキ ナ ブンサン カンシ カンキョウ ニ ヨル アンゼン ナ シンニュウ ケンチ アーキテクチャ
  • A Secure Intrusion Detection Architecture Using Virtual Distributed Monitoring Environments

Search this article

Abstract

本稿では分散システムにおける安全な侵入検知を実現する仮想的な分散監視環境HyperSpector を提案する.分散化された侵入検知システム(IDS)は分散システムを守ることができる一方,それ自身の脆弱性が分散システム全体の危険性を増大させる可能性がある.HyperSpector は仮想化技術を用いて分散IDS を監視対象のサーバから分離することでこの問題を解決する.IDS およびサーバはそれぞれIDS VM,サーバVM と呼ばれる仮想マシン上に配置され,ホスト間にまたがるIDS VMは仮想ネットワークで接続される.IDS VM 内で動く既存のIDS がサーバVM を監視できるようにするために,ソフトウェア・ポートミラーリング,VM 間ディスクマウント,VM 間プロセスマッピングの3 つのVM 間監視機構が提供されている.HyperSpector は攻撃者がIDS に直接行う能動的な攻撃を防ぐことができ,IDS が攻撃用コードを含んだデータを読むまで待つ受動的な攻撃の影響を限定することができる.

We propose a virtual distributed monitoring environment called HyperSpector, which achieves secure intrusion detection in distributed systems. While distributed intrusion detection systems (IDSes) can protect servers within a distributed system, their vulnerabilities can increase the number of insecure points in the whole system. HyperSpector overcomes this problem by using virtualization to isolate a distributed IDS from the servers it monitors. The IDSes and servers are located in virtual machines called an IDS VM and a server VM, respectively, and the IDS VMs among different hosts are connected using a virtual network. To enable legacy IDSes running in the IDS VM to monitor the server VM, HyperSpector provides three inter-VM monitoring mechanisms: software port mirroring, inter-VM disk mounting, and inter-VM process mapping. Consequently, active attacks, which directly attack the IDSes, are prevented. The impact of passive attacks, which wait until data including malicious code is read by an IDS, is confined.

Journal

Citations (2)*help

See more

References(22)*help

See more

Related Projects

See more

Keywords

Details 詳細情報について

Report a problem

Back to top