Sistema ETD

Archivio digitale delle tesi discusse presso l'Università di Pisa

 

Tesi etd-09202006-220146


Tipo di tesi
Tesi di laurea specialistica
Autore
Sgandurra, Daniele
Indirizzo email
sgandurr@cli.di.unipi.it
URN
etd-09202006-220146
Titolo
Architetture di sicurezza e tecnologie di virtualizzazione: rilevamento delle intrusioni tramite introspezione.
Struttura
SCIENZE MATEMATICHE, FISICHE E NATURALI
Corso di studi
TECNOLOGIE INFORMATICHE
Commissione
Relatore Prof. Baiardi, Fabrizio
Parole chiave
  • hypervisor
  • macchine virtuali
  • IDS
  • Introspezione
  • virtualizzazione
  • sistemi di rilevamento delle intrusioni
  • virtual machine monitor
  • XEN
  • virtual machine introspection
Data inizio appello
13/10/2006;
Consultabilità
completa
Riassunto analitico
Negli ultimi tempi c'è stato un rinnovato e crescente interesse per la virtualizzazione, il cui compito è quello di creare degli ambienti di esecuzione software (chiamati anche macchine virtuali) tramite l'astrazione delle risorse.

Questa tecnologia fornisce degli strumenti utili a rilevare le intrusioni e gli attacchi portati ad un sistema informatico: infatti, è possibile avere una visione completa, e a più livelli, dello stato dell'host che viene eseguito all'interno di un ambiente virtuale. Ad esempio, la virtualizzazione permette di esaminare lo stato della memoria, dei registri del processore e dei dispositivi di I/O della macchina virtuale. Inoltre, queste informazioni sullo stato della macchina virtuale sono meno suscettibili di manomissione da parte di un attaccante.

La virtualizzazione offre anche strumenti efficaci che permettono di reagire ad attacchi e ad intrusioni: ad esempio, è possibile sospendere l'esecuzione o salvare lo stato della macchina virtuale su cui l'host è in esecuzione, per potere eseguire successivamente controlli più accurati sul suo stato.

Questa tesi presenta un'architettura per il rilevamento delle intrusioni su macchine virtuali che fa uso sia di tecniche di introspezione, per analizzare lo stato delle macchine virtuali tramite il Virtual Machine Monitor, che dei tradizionali metodi per il rilevamento delle intrusioni. L'architettura è distribuita su più macchine virtuali: una di queste ha funzionalità di introspezione e di controllo delle altre macchine virtuali e, in caso di intrusione, può agire sullo stato di esecuzione delle macchine virtuali, ad esempio bloccandone l'esecuzione.
File