一个基于虚拟机的日志审计和分析系统

？snare是linux操作系统的一个日志审计和分析工具，但它容易受到攻击。提出了一个新的方法被用来保护它免受攻击。运用虚拟机监控器的功能，snare被移植到运行在虚拟机监控器xen上的两个虚拟机中，snare的两个主要部分——linux内核补丁和审计后台进程被分隔而分别放入两个被xen强隔离的虚拟机。xen提供了两个虚拟机间共享内存的机制，运用这一机制，运行在一个虚拟机上的linux内核补丁记录并转移审计日志到运行在另一个虚拟机上的审计后台进程。与传统的snare相比，新方法使攻击者毁坏或篡改这些日志更加困难。初步的评估表明这个原型是简单而有效的。