ファイルシステムキャッシュを考慮した仮想マシン監視機構

九州工業大学大学院　情報工学府　情報創成工学専攻　12675013 　土田賢太朗

侵入検知システム（ IDS)IDS はサーバへの攻撃者の侵入を検知するため

に用いられる例：ディスクを監視してファイルの改竄を検知する

攻撃者はまず IDS を攻撃するようになってきたIDS が侵入を検知できなくなる

攻撃者IDS

監視

攻撃者

検知

VM を用いた IDS オフロードサーバを仮想マシン (VM) で動かし， IDS だけ

を別の仮想マシンで動かす手法オフロードした IDS が仮想ディスクを監視IDS が攻撃の影響を受けにくくなる

サーバ VM では IDS は動いていないIDS VM では不要なサービスを動かさないので侵入されに

くいIDS VM サーバ VM

IDS

仮想ディスク

IDSオフロード

監視

不完全なファイル監視ディスクに書き戻されていないキャッシュ上の

ファイルを監視できないアクセス高速化のためキャッシュが生成される一定時間たつとキャッシュはディスクに書き戻される

メモリをディスクとして使うファイルシステム(tmpfs) を監視できない書き戻されることがない

仮想ディスク

IDS VM

サーバ VM

キャッシュ

IDS監視

キャッシュを利用した攻撃キャッシュからディスクへの書き戻しまでの時

間を長くする例： pdflush の起動間隔を長く設定する（ Linux ）キャッシュ上にファイルを不正に作成または改竄され

ても検知できない

IDS VM

サーバ VM

キャッシュ

IDS

web サーバ

仮想ディスク

監視

改竄されたweb ページ

webページ

閲覧者改竄されたweb ページ

webページ

CacheShadow ファイルシステム仮想ディスクとキャッシュを統合して監視を行

えるようにするファイルシステムサーバ VM のメモリを解析し、キャッシュ情報を取得3 種類のキャッシュを考慮

CacheShadowファイルシステム 仮想ディスク

キャッシュIDS VMサーバ VM

IDS

ページキャッシュディレクトリキャッシュ

メタデータキャッシュ

ページキャッシュの解析ページキャッシュ

ファイルの内容をメモリページ単位でキャッシュ

すべてのページの管理情報を解析ページの用途から消去法でページキャッシュとして使

われているページを見つける書き換えられたファイルのどの部分がどのページにあ

るかの対応表を作成

メモリ ・・・ページキャッシュ

ファイルとページの対応表

ページキャッシュの統合ファイルの書き換えられた部分をページキャッ

シュから読み込むread システムコールで統合ページサイズごとにファイルを対応表で調べる

見つかればキャッシュ上のデータを使う見つからなければディスクから読み込む

CacheShadowファイルシステム

仮想ディスク

ページキャッシュ

対応表

ディレクトリキャッシュの解析ディレクトリキャッシュ

アクセスしたディレクトリの情報をキャッシュ削除されたファイルの情報も保持

ルートディレクトリから深さ優先探索init プロセスからルートの dentry 構造体を取得子の dentry がなくなるまで再帰的に探索

ディレクトリキャッシュinit プロセス

の構造体ルートの

dentry 構造体

ディレクトリキャッシュの統合ディレクトリキャッシュ上で追加・削除された

ファイルを反映readdir システムコールで統合ディレクトリキャッシュ上のエントリを取得

削除マークのついているエントリは無視ディスク上のエントリを重複しないように取得

キャッシュで削除マークのついているエントリは無視

CacheShadowファイルシステム

仮想ディスク

file1 file3

ディレクトリキャッシュ

file1 file3

/home/user/

*file2 file1 file2

/home/user/

メタデータキャッシュの統合メタデータキャッシュ

ファイルサイズやアクセス権限のキャッシュ

キャッシュがあればその情報を返すディレクトリキャッシュをたどり dentry を見つける見つかれば dentry から inode 構造体を取得

見つからなければディスク上のファイル情報を返す

仮想ディスク

1024KBrwx------

1124KBrwxrwxrwx

メタデータキャッシュ

CacheShadowファイルシステムディレクトリキャッシュ

サーバ VM のメモリ解析サーバ VM のメモリを解析するにはアドレス変

換が必要サーバ VM の仮想アドレスから物理アドレスサーバ VM 内のページテーブルを引くのに時間がかか

る

アドレス変換のキャッシュを作成一度変換したアドレスは再利用サーバ VMIDS VM

ページテーブル

CacheShadowファイルシステム

アドレス変換のキャッシュ

実験実験内容

ページキャッシュの解析時間ファイルの読み込み性能

実験環境Xen 4.1.2IDS VM/ サーバ VM のカーネル： Linux 2.6.39CPU ： Intel Xeon 3.60GHzメモリ： 16GBHDD ： SATA 500GB

ページキャッシュの解析時間2 つのパターンのファイルで解析時間を測定

サイズの異なるファイル（１つ）解析時間はファイルサイズの影響を受けない

4KB の小さいファイル（ 1 〜 10 万個）解析時間はファイルの個数に比例

0 50 100 150 200 250 300 350 400 4500

5

10

15

20

25

30

ファイルサイズ [MB]

解析時間

[s]

0 30000 60000 90000 1200000

5

10

15

20

25

30

ページキャッシュの数

解析時間

[s]

ファイルの読み込み性能4MB のファイルのハッシュ値の計算時間を測定

CacheShadow ファイルシステムでは従来システムの実行時間の 1.3 倍

ページサイズごとに読み込むことによるオーバーヘッド

従来システム CacheShadow ファイルシステム0

20

40

60

80

100

120

140

89.4

114.6

計算時間

[ms]

関連研究VMwatcher [Jiang et al. ‘07]

既存のアンチウィルスでサーバ VM を外から監視可能サーバ VM の仮想ディスクを参照するのみ

Volatility[Petroni et al. '06]ダンプしたメモリ上の tmpfs をコピーして監視可能仮想ディスクとキャッシュの統合はできない

HyperSpector [Kourai et al. ‘05] OS の仮想化機能を利用した IDS オフロードIDS VM はサーバ VM とキャッシュを共有

まとめCacheShadow ファイルシステムを提案

ファイルシステムキャッシュと仮想ディスクを統合して監視が行える

サーバ VM のメモリを解析してぺージキャッシュ，ディレクトリキャッシュ，メタデータキャッシュを取得

今後の課題実際の IDS を用いた評価読み込みのオーバーヘッドを減らす