• hypervisor
• macchine virtuali
• IDS
• Introspezione
• virtualizzazione
• sistemi di rilevamento delle intrusioni
• virtual machine monitor
• XEN
• virtual machine introspection

Negli ultimi tempi c'è stato un rinnovato e crescente interesse per la virtualizzazione, il cui compito è quello di creare degli ambienti di esecuzione software (chiamati anche macchine virtuali) tramite l'astrazione delle risorse.

Questa tecnologia fornisce degli strumenti utili a rilevare le intrusioni e gli attacchi portati ad un sistema informatico: infatti, è possibile avere una visione completa, e a più livelli, dello stato dell'host che viene eseguito all'interno di un ambiente virtuale. Ad esempio, la virtualizzazione permette di esaminare lo stato della memoria, dei registri del processore e dei dispositivi di I/O della macchina virtuale. Inoltre, queste informazioni sullo stato della macchina virtuale sono meno suscettibili di manomissione da parte di un attaccante.

La virtualizzazione offre anche strumenti efficaci che permettono di reagire ad attacchi e ad intrusioni: ad esempio, è possibile sospendere l'esecuzione o salvare lo stato della macchina virtuale su cui l'host è in esecuzione, per potere eseguire successivamente controlli più accurati sul suo stato.

Questa tesi presenta un'architettura per il rilevamento delle intrusioni su macchine virtuali che fa uso sia di tecniche di introspezione, per analizzare lo stato delle macchine virtuali tramite il Virtual Machine Monitor, che dei tradizionali metodi per il rilevamento delle intrusioni. L'architettura è distribuita su più macchine virtuali: una di queste ha funzionalità di introspezione e di controllo delle altre macchine virtuali e, in caso di intrusione, può agire sullo stato di esecuzione delle macchine virtuali, ad esempio bloccandone l'esecuzione.