VMwall:虚拟机自省下的恶意连接阻断技术
超级会员免费看
抗篡改、感知应用的恶意网络连接阻断技术
1. 引言
在计算机系统的安全防护体系中,防火墙扮演着至关重要的角色。应用级防火墙作为其中的重要组成部分,能够基于发送或接收网络流量的进程来过滤数据包,帮助检测并阻止诸如僵尸程序、蠕虫、后门、广告软件和间谍软件等恶意进程。与网络级或主机级防火墙通过端口和 IP 地址进行粗粒度过滤不同,应用级防火墙凭借对系统的全面了解,实现了细粒度的流量过滤。
然而,传统应用级防火墙存在明显缺陷。其架构通常将数据包信息从内核级网络接口传递到与恶意软件共存的用户级防火墙进程,这使得防火墙极易受到恶意软件的直接攻击。攻击者可以通过操纵内核模块或停止特定服务来禁用防火墙,一旦防火墙失效,所有网络流量将不受管控,恶意软件便可随意收发数据。
为解决这一问题,有设计尝试将防火墙与易受攻击的系统隔离,利用虚拟机构建在受攻击操作系统之外运行的防火墙设备。但这类防火墙舍弃了应用级知识,仅通过 IP 地址和端口号进行粗粒度过滤,攻击者可轻松绕过。
在此背景下,VMwall 应运而生。它结合了应用级防火墙的进程知识和传统独立防火墙的隔离特性,使用 Xen 虚拟机管理程序提供对恶意软件的防护,并通过虚拟机自省(VMI)技术将 TCP 或 UDP 流量与进程信息关联起来。实验表明,VMwall 能成功阻断针对 Linux 系统的多种真实攻击,同时允许所有合法网络流量,且性能表现出色,对网络连接的延迟影响极小。
2. 相关工作
2.1 传统主机防火墙
早期研究推动了传统主机防火墙的发展。Mogul 等人开发了用于 UNIX 的内核驻留数据包过滤器,为用户进程选择合法数据包提供了灵活性;Venema
订阅专栏 解锁全文
扫一扫
40
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
