The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

System Integrity Monitoring System using Kernel-based Virtual Machine

커널 기반 가상머신을 이용한 시스템 무결성 모니터링 시스템

  • Received : 2011.03.09
  • Accepted : 2011.03.28
  • Published : 2011.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

The virtualization layer is executed in higher authority layer than kernel layer and suitable for monitoring operating systems. However, existing virtualization monitoring systems provide simple information about the usage rate of CPU or memory. In this paper, the monitoring system using full virtualization technique is proposed, which can monitor virtual machine's dynamic kernel object as memory, register, GDT, IDT and system call table. To verify the monitoring system, the proposed system was implemented based on KVM(Kernel-based Virtual Machine) with full virtualization that is directly applied to linux kernel without any modification. The proposed system consists of KvmAccess module to access KVM's internal object and API to provide other external modules with monitoring result. In experiments, the CPU utilization for monitoring operations in the proposed monitering system is 0.35% when the system is monitored with 1-second period. The proposed monitoring system has a little performance degradation.

가상화 계층은 커널 보다 높은 권한 계층에서 수행되어 운영체제가 사용하고 있는 자원 정보를 모니터링 하는데 적합하다. 하지만 기존 가상화 기반 모니터링 시스템은 CPU나 메모리 사용률과 같은 기초적인 정보만을 제공하고 있다. 본 논문에서 메모리, 레지스터 GDT, IDT 그리고 시스템 콜과 같은 동적인 시스템 커널 객체를 모니터링하기 위하여 전가상화 방식의 모니터링 시스템을 제안한다. 모니터링 시스템을 검증하기 위해 커널의 수정 없이 바로 리눅스 커널에 적용된 전가상화 방식의 KVM을 기반으로 시스템을 구현하였다. 구현된 시스템은 KVM 내부 객체에 접근하기 위한 KvmAccess 모듈, 그리고 가상머신 모니터링 결과를 외부 모듈에서도 사용할 수 있도록 API를 제공하였다. 구현된 모니터링 시스템의 성능을 측정한 결과 1초 주기로 시스템을 모니터링을 하더라도 0.37% 정도의 CPU 점유율을 차지하여 그 성능 부하가 아주 작았다.

Keywords

References

  1. K. Avi, et al, "kvm: the Linux Virtual Machine Monitor", Proceedings of the Linux Symposium, Jun., 2007.
  2. M. Tim Jones, "Discover the Linux Kernel Virtual Machine", IBM Developerworks, May, 2008.
  3. http://www.linux-kvm.org
  4. N. L. Petroni, Jr., T. Fraser, J. Molina, and W. A. Arbaugh, "Copilot-a Coprocessor-based Kernel Runtime Integrity Monitor", Proceedings of the 13th USENIX Security Symposium, Aug., 2004.
  5. D.P. Bovet and M.Cesati. "Understanding the Linux Kernel", O'Reilly & Associates, Inc., 3rd edition, 2005.
  6. T. Garfinkel and M. Rosenblum. "A Virtual Machine Introspection based Architecture for Intrusion Detection." Proceedings of the 2003 Network and Distributed System Symposium, 2003.
  7. David Chisnall "The Definitive Guide to the Xen Hypervisor" Prentice Hall
  8. Barham P.,et al. "Xen and Art of Virtualization.", Proceedings of the 19th ACM symposium on Operating systems principles, Oct., 2003. https://doi.org/10.1145/945445.945462
  9. P. Bryan D, P, Martim D, L, Wenke, "Secure and Flexible Monitoring of Virtual Machines", Computer Security Applications Conference, Dec., 2007. https://doi.org/10.1109/ACSAC.2007.10
  10. Yaozu, D et al., "Extending Xen with Virtualization Technology" Intel Technology Journal, volume 10, Issue3, 2006.
  11. AMD Virtualization Technology (AMD-V). http://www.amd.com/us/products/technologies/virtualization/Pages/amd-v.aspx.
  12. Intel Corporation, "Intel 64 and IA-32 Architectures Software Developer's Manual Vol.3 System Programming Guide," http://www.intel.com, 2006.
  13. Koichi Onoue, Yoshihiro Oyama, Akinori Yonezawa, "Control of System Calls from Outside of Virtual Machines", Proceedings of the 2008 ACM symposium on Applied computing, Mar., 2008. https://doi.org/10.1145/1363686.1364196