Transcall

TranscallはオフロードしたIDSに修正を加えることなく動作させられるようにする実行環境であるVM Shadowを提供します。Transcallはシステムコールのエミュレーションを行うことで、IDS にオフロード元の仮想マシンのOSの情報を返します。また、proc ファイルシステムも含め、オフロード元と同一のファイルシステムを提供します。ただし、IDS の実行ファイル等については安全のためにオフロード先の仮想マシンのファイルを提供します。現在の実装では、VM Shadow 内でchkrootkit やTripwire などを動作させることが可能です。

図1 VM Shadowイメージ図

図1にVM Shadowのイメージ図を示します。仮想マシンごとに専用のVM Shadowを用意し、監視を行います。Transcallのシステム概略図を図1に示します。ptraceシステムコールを用いてシステムコール・エミュレータを実装し、FUSEを用いてShadow procファイルシステムを実装しています。これらを用いることによりカーネルには修正を加えることなく実現しています。

図2 Transcallシステム概略図

ドキュメント

• 動作環境
  • Xen 3.4 and 4
  • Domain U: Linux 2.6.27.35
  • 現在の実装では上記されている環境以外で動作する保証はありません。
    ご注意の上ご使用ください。
• 別途必要パッケージ
  • FUSE: Filesystem in Userspace
  • domainUにLVMを使っている場合にはlvm2が必要になります。
• 論文
  • VM Shadow: 既存IDSをオフロードするための実行環境 [slide]
    飯田貴大, 光来健一
    第119回OS研究会, 2011年11月.

ソースコード

• transcall-1.3.4.tar.gz

使用事例

Transcallが使われている研究を紹介します。

• OUassister: 仮想マシンのオフラインアップデート機構 [slide]
  塩田裕司, 光来健一
  ディペンダブルシステムワークショップ&シンポジウム (DSW&DSS 2011), 2011年12月.
• ファイルキャッシュを考慮したIDSオフロード
  土田賢太朗、光来健一

連絡先

• プログラムに関するお問い合わせはメールにてお願いします。
  • kourai _at_ ci.kyutech.ac.jp

Links

• KSL -Kernels & Systems Lab-