ファイルシステムキャッシュを 考慮した 仮想マシン監視機構
DESCRIPTION
ファイルシステムキャッシュを 考慮した 仮想マシン監視機構. 九州工業大学大学院 情報工学府 情報創成工学専攻 12675013 土田賢太朗. 侵入検知システム( IDS). 攻撃者. 攻撃者. 監視. 検知. IDS. IDS はサーバへの攻撃者の侵入を検知するために用いられる 例:ディスク を監視 してファイルの改竄を検知する 攻撃者はまず IDS を攻撃するようになってきた IDS が侵入を検知できなくなる. VM を用いた IDS オフロード. IDS VM. サーバ VM. オフロード. IDS. IDS. 監視. 仮想ディスク. - PowerPoint PPT PresentationTRANSCRIPT
ファイルシステムキャッシュを考慮した仮想マシン監視機構
九州工業大学大学院 情報工学府 情報創成工学専攻 12675013 土田賢太朗
侵入検知システム( IDS)IDS はサーバへの攻撃者の侵入を検知するため
に用いられる例:ディスクを監視してファイルの改竄を検知する
攻撃者はまず IDS を攻撃するようになってきたIDS が侵入を検知できなくなる
攻撃者IDS
監視
攻撃者
検知
VM を用いた IDS オフロードサーバを仮想マシン (VM) で動かし, IDS だけ
を別の仮想マシンで動かす手法オフロードした IDS が仮想ディスクを監視IDS が攻撃の影響を受けにくくなる
サーバ VM では IDS は動いていないIDS VM では不要なサービスを動かさないので侵入されに
くいIDS VM サーバ VM
IDS
仮想ディスク
IDSオフロード
監視
不完全なファイル監視ディスクに書き戻されていないキャッシュ上の
ファイルを監視できないアクセス高速化のためキャッシュが生成される一定時間たつとキャッシュはディスクに書き戻される
メモリをディスクとして使うファイルシステム(tmpfs) を監視できない書き戻されることがない
仮想ディスク
IDS VM
サーバ VM
キャッシュ
IDS監視
キャッシュを利用した攻撃キャッシュからディスクへの書き戻しまでの時
間を長くする例: pdflush の起動間隔を長く設定する( Linux )キャッシュ上にファイルを不正に作成または改竄され
ても検知できない
IDS VM
サーバ VM
キャッシュ
IDS
web サーバ
仮想ディスク
監視
改竄されたweb ページ
webページ
閲覧者改竄されたweb ページ
webページ
CacheShadow ファイルシステム仮想ディスクとキャッシュを統合して監視を行
えるようにするファイルシステムサーバ VM のメモリを解析し、キャッシュ情報を取得3 種類のキャッシュを考慮
CacheShadowファイルシステム 仮想ディスク
キャッシュIDS VMサーバ VM
IDS
ページキャッシュディレクトリキャッシュ
メタデータキャッシュ
ページキャッシュの解析ページキャッシュ
ファイルの内容をメモリページ単位でキャッシュ
すべてのページの管理情報を解析ページの用途から消去法でページキャッシュとして使
われているページを見つける書き換えられたファイルのどの部分がどのページにあ
るかの対応表を作成
メモリ ・・・ページキャッシュ
ファイルとページの対応表
ページキャッシュの統合ファイルの書き換えられた部分をページキャッ
シュから読み込むread システムコールで統合ページサイズごとにファイルを対応表で調べる
見つかればキャッシュ上のデータを使う見つからなければディスクから読み込む
CacheShadowファイルシステム
仮想ディスク
ページキャッシュ
対応表
ディレクトリキャッシュの解析ディレクトリキャッシュ
アクセスしたディレクトリの情報をキャッシュ削除されたファイルの情報も保持
ルートディレクトリから深さ優先探索init プロセスからルートの dentry 構造体を取得子の dentry がなくなるまで再帰的に探索
ディレクトリキャッシュinit プロセス
の構造体ルートの
dentry 構造体
ディレクトリキャッシュの統合ディレクトリキャッシュ上で追加・削除された
ファイルを反映readdir システムコールで統合ディレクトリキャッシュ上のエントリを取得
削除マークのついているエントリは無視ディスク上のエントリを重複しないように取得
キャッシュで削除マークのついているエントリは無視
CacheShadowファイルシステム
仮想ディスク
file1 file3
ディレクトリキャッシュ
file1 file3
/home/user/
*file2 file1 file2
/home/user/
メタデータキャッシュの統合メタデータキャッシュ
ファイルサイズやアクセス権限のキャッシュ
キャッシュがあればその情報を返すディレクトリキャッシュをたどり dentry を見つける見つかれば dentry から inode 構造体を取得
見つからなければディスク上のファイル情報を返す
仮想ディスク
1024KBrwx------
1124KBrwxrwxrwx
メタデータキャッシュ
CacheShadowファイルシステムディレクトリキャッシュ
サーバ VM のメモリ解析サーバ VM のメモリを解析するにはアドレス変
換が必要サーバ VM の仮想アドレスから物理アドレスサーバ VM 内のページテーブルを引くのに時間がかか
る
アドレス変換のキャッシュを作成一度変換したアドレスは再利用サーバ VMIDS VM
ページテーブル
CacheShadowファイルシステム
アドレス変換のキャッシュ
実験実験内容
ページキャッシュの解析時間ファイルの読み込み性能
実験環境Xen 4.1.2IDS VM/ サーバ VM のカーネル: Linux 2.6.39CPU : Intel Xeon 3.60GHzメモリ: 16GBHDD : SATA 500GB
ページキャッシュの解析時間2 つのパターンのファイルで解析時間を測定
サイズの異なるファイル(1つ)解析時間はファイルサイズの影響を受けない
4KB の小さいファイル( 1 〜 10 万個)解析時間はファイルの個数に比例
0 50 100 150 200 250 300 350 400 4500
5
10
15
20
25
30
ファイルサイズ [MB]
解析時間
[s]
0 30000 60000 90000 1200000
5
10
15
20
25
30
ページキャッシュの数
解析時間
[s]
ファイルの読み込み性能4MB のファイルのハッシュ値の計算時間を測定
CacheShadow ファイルシステムでは従来システムの実行時間の 1.3 倍
ページサイズごとに読み込むことによるオーバーヘッド
従来システム CacheShadow ファイルシステム0
20
40
60
80
100
120
140
89.4
114.6
計算時間
[ms]
関連研究VMwatcher [Jiang et al. ‘07]
既存のアンチウィルスでサーバ VM を外から監視可能サーバ VM の仮想ディスクを参照するのみ
Volatility[Petroni et al. '06]ダンプしたメモリ上の tmpfs をコピーして監視可能仮想ディスクとキャッシュの統合はできない
HyperSpector [Kourai et al. ‘05] OS の仮想化機能を利用した IDS オフロードIDS VM はサーバ VM とキャッシュを共有
まとめCacheShadow ファイルシステムを提案
ファイルシステムキャッシュと仮想ディスクを統合して監視が行える
サーバ VM のメモリを解析してぺージキャッシュ,ディレクトリキャッシュ,メタデータキャッシュを取得
今後の課題実際の IDS を用いた評価読み込みのオーバーヘッドを減らす