Logo der Universität Passau
Informationen für... Fakultäten & Einrichtungen
Hilfe Login
Lehrstuhl für Zuverlässige Verteilte Systeme
Lehrstuhl für Zuverlässige Verteilte Systeme

ARADIA

Projektleitung Universität Passau

Prof. Hans P. Reiser

Projektmitarbeiter

Stewart Sentanoe
Benjamin Taubmann
Noëlle Rakotondravony

Zusammenfassung

Virtual Machine Introspection (VMI) ermöglicht es, von außen den inneren Zustand einer virtuellen Maschine zu analysieren. VMI hat sich für Aufgaben wie Einbruchserkennung, Malware-Analyse und Forensik bewährt. Im Vergleich zu Analysetechniken innerhalb des Zielsystems profitiert VMI von der Isolation durch den Hypervisor und ist unauffälliger und besser manipulationsgeschützt.

Dieses Projekt wird den Stand der Technik von VMI signifikant verbessern. Die wichtigsten Ziele sind hierzu folgende:

  • Erforschung innovativer Ansätze für tiefgehende Speicherintrospektion: Es werden effiziente Algorithmen zur Untersuchung von Zielsystemen mit geschachtelten Hypervisoren oder virtuellen Containern, zur effizienten und feingranularen semantischen Interpretation, sowie zur exakten zeitlichen Kontrolle der Introspektion gesucht.
  • Effiziente VMI-basierte Ereignisverfolgung: Anders als existierende Systeme, die nur einzelne Ereignisquelle (wie z.B. Systemaufrufe) beobachten, ist es unser Ziel, mehrere Ereignisquellen zu integrieren, die Ereignisse dieser Quellen zu korrelieren und die Erfassung flexible nach Bedarf zu orchestrieren, um so die Laufzeitkosten zu minimieren und gleichzeitig hochgradig detaillierte Daten zu erfassen.
  • Sicheres und effizientes VMI-Deployment in Umgebungen wie privaten und öffentlichen Cloud-Infrastrukturen und mobilen Plattformen: Der Mangel an Deployment-Unterstützung ist eine der größten Einschränkung von heute existierenden VMI-Systemen. Teil dieses Ziel ist es auch, Ziel-VMs während einer Migration in Cloud-Umgebungen zu beobachten sowie die Machbarkeit des Einsatzes von neuer Hardware-Mechanismen wie Intel SGX zu untersuchen.
  • Zugänglichkeit von VMI für menschliche Nutzer: Zentraler Schritt jeder VMI-basierten Analyse ist die Extraktion von verwertbaren Informationen aus Low-Level-Daten. Unsere erwarteten Resultate sind eine Architektur zur leicht zugänglichen Speicherung und Aufbereitung von VMI-Daten, neue Ansätze zur Visualisierung der kombinierten Daten aus mehreren Quellen sowie Mechanismen zur dynamischen Steuerung der VMI-basierten Datenerfassung.

Insgesamt soll dieses Projekt ermöglichen, dass VMI auf Systemen eingesetzt werden kann, wo dies heute nicht möglich ist, dass wesentlich umfangreichere Information mit tiefgehender Introspektion und Ablaufverfolgung erfasst werden, und dass der menschliche Nutzer die VMI-Mechanismen kontrollieren und die Ergebnisse besser visualisieren kann.

Wir planen, unsere innovativen Algorithmen und Strategien in einem Open-Source-Prototypen für erweitertes VMI umzusetzen, und so auch die Entwicklung von darauf aufbauenden Werkzeugen zur Angriffserkennung, -analyse und -verhinderung zu unterstützen.

Projektträger

Logo der Deutsche Forschungsgemeinschaft

Deutsche Forschungsgemeinschaft

Projektbezogene Publikationen

2022

KVMIveggur: Flexible, secure, and efficient support for self-service virtual machine introspection

S. Sentanoe, T. Dangl and H. P. Reiser, "KVMIveggur: Flexible, secure, and efficient support for self-service virtual machine introspection" , Forensic Science International: Digital Investigation , vol. Volume 42 S, 2022. Elsevier.

SSHkex: Leveraging virtual machine introspection for extracting SSH keys and decrypting SSH network traffic

S. Sentanoe and H. P. Reiser, "SSHkex: Leveraging virtual machine introspection for extracting SSH keys and decrypting SSH network traffic" , Forensic Science International: Digital Investigation , vol. 40, 2022.

DOI: https://doi.org/10.1016/j.fsidi.2022.301337

Datei: https://www.sciencedirect.com/science/article/pii/S2666281722000063

VMIFresh: Efficient and Fresh Caches for Virtual Machine Introspection

T. Dangl, S. Sentanoe and H. P. Reiser, "VMIFresh: Efficient and Fresh Caches for Virtual Machine Introspection" in Proceedings of the 17th International Conference on Availability, Reliability and Security , New York, NY, USA: Association for Computing Machinery, 2022.

DOI: 10.1145/3538969.3539002

ISBN: 9781450396707

Datei: https://doi.org/10.1145/3538969.3539002

2021

Introspect Virtual Machines Like It Is the Linux Kernel!

A. Abdelraoof, H. P. Reiser and B. Taubmann, "Introspect Virtual Machines Like It Is the Linux Kernel!" in 18th Int. Conf. on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA'2021) , 2021.

RapidVMI: Fast and multi-core aware active virtual machine introspection

T. Dangl, B. Taubmann and H. P. Reiser, "RapidVMI: Fast and multi-core aware active virtual machine introspection" in Proc. of the 16th International Conference on Availability, Reliability and Security (ARES 2021) , 2021.

2020

Agent-based file extraction using virtual machine introspection

T. Dangl, B. Taubmann and H. P. Reiser, "Agent-based file extraction using virtual machine introspection" in Proc. of the 25th Nordic Conference on Secure IT Systems (NordSec) , 2020.

Towards Hypervisor Support for Enhancing the Performance of Virtual Machine Introspection

B. Taubmann and H. P. Reiser, "Towards Hypervisor Support for Enhancing the Performance of Virtual Machine Introspection" in Proc. of the 20th Int. Conf. on Distributed Applications and Interoperable Systems (DAIS) , Cham: Springer International Publishing, 2020. pp. 41--54.

DOI: 10.1007/978-3-030-50323-9_3

ISBN: 978-3-030-50323-9

2019

Poster: Reconfigurable monitoring and performance awareness in VMI-based SIEM systems

N. Rakotondravony, B. Taubmann, S. Sentanoe and H. P. Reiser, "Poster: Reconfigurable monitoring and performance awareness in VMI-based SIEM systems" in 2019 {IEEE} Security and Privacy Poster, San Francisco, CA, USA, May 20-22 , 2019.

TwinPorter - An Architecture For Enabling the Live Migration of VMI-based Monitored Virtual Machines

B. Taubmann, A. Böhm and H. P. Reiser, "TwinPorter - An Architecture For Enabling the Live Migration of VMI-based Monitored Virtual Machines" in The 18th IEEE International Conference on Trust, Security and Privacy in Computing and Communications (IEEE TrustCom'19) , 2019.

VMIGuard: Detecting and Preventing Service Integrity Violations by Malicious Insiders Using Virtual Machine Introspection

S. Sentanoe, B. Taubmann and H. P. Reiser, "VMIGuard: Detecting and Preventing Service Integrity Violations by Malicious Insiders Using Virtual Machine Introspection" in Proc. of the 24th Nordic Conference on Secure IT Systems (NordSec) , 2019. pp. 271--282.

2018

Introspection for ARM TrustZone with the ITZ Library

M. Guerra, B. Taubmann, H. P. Reiser, S. Yalew and M. Correia, "Introspection for ARM TrustZone with the ITZ Library" in Proc. of the 18th IEEE Int. Conf. on Software Quality, Reliability, and Security , 2018.

Sarracenia: Enhancing the Performance and Stealthiness of SSH Honeypots using Virtual Machine Introspection

S. Sentanoe, B. Taubmann and H. P. Reiser, "Sarracenia: Enhancing the Performance and Stealthiness of SSH Honeypots using Virtual Machine Introspection" in Proc. of the 23. Nordic Conference on Secure IT Systems , 2018.

Zuletzt aktualisiert: | Seiten-ID: 23323
Seite teilen
Seite drucken
Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von Vimeo hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Ich bin damit einverstanden, dass beim Abspielen des Videos eine Verbindung zum Server von YouTube hergestellt wird und dabei personenbezogenen Daten (z.B. Ihre IP-Adresse) übermittelt werden.
Video anzeigen