[发明专利]虚拟机器监控系统及方法

说明书

技术领域

本发明是有关于一种信息监控技术，且特别是有关于一种虚拟机器监控方法及系统。

背景技术

在现代计算机技术的进步下，软件常常无法对过多的硬件资源做有效的利用。通过在硬件上建立虚拟环境以执行数个虚拟机器，将可以使硬件资源获得最有效的利用。

在虚拟环境的虚拟机器中，常会设置一个中央管控的虚拟机器，以将虚拟机器资源进行集中管理。虚拟机器间的沟通需要经过中央管控的虚拟机器进行。因此，在已知的技术中，要判断系统是否有异常的数据传输，只需要对中央管控的虚拟机器进行监控即可。然而为了加速虚拟机器间的沟通，在新近的技术中也允许虚拟机器间在不透过中央管控的虚拟机器的情形下，直接建立私有的通道。因此，已知的监控技术，将难以对这样的私有通道进行监控，容易产生信息安全上的漏洞。

因此，如何设计一个新的虚拟机器监控方法及系统，以克服上述的问题，乃为此一业界亟待解决的问题。

发明内容

本发明的目的在于提供一种虚拟机器监控系统及方法。

因此，本发明的一方面是在提供一种虚拟机器监控系统，包含：虚拟层(hypervisor)、多个虚拟机器、安全监控模块以及超级呼叫(hypercall)拦截模块。虚拟机器通过虚拟层存取至少一实体运算装置的硬件资源，其中虚拟机器包含中央管控虚拟机器，以对虚拟机器进行管控。超级呼叫拦截模块位于虚拟层中，以撷取虚拟层中的中央管控虚拟机器代码信息以及撷取虚拟机器其中之一所传送的超级呼叫，其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道，超级呼叫拦截模块进一步依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型，以于通道为不透过中央管控虚拟机器所建立的私有通道时，使安全监控模块监控私有通道。

依据本发明一实施例，其中通道建立信息包含对应来源虚拟机器的来源虚拟机器代码以及对应目的虚拟机器的目的虚拟机器代码。中央管控虚拟机器代码信息包含中央管控虚拟机器的中央管控虚拟机器代码，超级呼叫拦截模块撷取中央管控虚拟机器代码信息，以判断来源虚拟机器代码以及目的虚拟机器代码是否包含中央管控虚拟机器代码，以判断通道的类型。当来源虚拟机器代码以及目的虚拟机器代码不包含中央管控虚拟机器代码，超级呼叫拦截模块判断通道的类型为私有通道。当来源虚拟机器代码以及目的虚拟机器代码其中之一为中央管控虚拟机器代码，超级呼叫拦截模块判断通道的类型为中央管控通道。

依据本发明另一实施例，通道为虚拟层的共享内存(share memory)。

依据本发明又一实施例，中央管控虚拟机器代码信息是通过核心地图(kernel map)查询。

依据本发明再一实施例，当通道的类型为私有通道时，超级呼叫拦截模块将超级呼叫发布至目的虚拟机器以及安全监控模块，俾使安全监控模块存取私有通道的信息。超级呼叫拦截模块更用以于接收到目的虚拟机器以及安全监控模块分别传送的清除信号后，使来源虚拟机器关闭私有通道。

本发明的一方面是在提供一种虚拟机器监控方法，应用于虚拟机器监控系统中。虚拟机器监控方法包含下列步骤：于虚拟机器监控系统的虚拟层中撷取多个虚拟机器其中之一所传送的超级呼叫，其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道。撷取虚拟层中的中央管控虚拟机器代码信息。依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型。当通道为不透过虚拟机器中的中央管控虚拟机器所建立的私有通道时，使安全监控模块监控私有通道。

依据本发明一实施例，其中通道建立信息包含对应来源虚拟机器的来源虚拟机器代码以及对应目的虚拟机器的目的虚拟机器代码。中央管控虚拟机器代码信息包含中央管控虚拟机器的中央管控虚拟机器代码，依据中央管控虚拟机器代码信息判断通道的类型的步骤还包含判断来源虚拟机器代码以及目的虚拟机器代码是否包含中央管控虚拟机器代码，以判断通道的类型。当来源虚拟机器代码以及目的虚拟机器代码不包含中央管控虚拟机器代码，通道的类型为私有通道。当来源虚拟机器代码以及目的虚拟机器代码其中之一为中央管控虚拟机器代码，通道的类型为中央管控通道。

依据本发明另一实施例，通道为虚拟层的共享内存。

依据本发明又一实施例，中央管控虚拟机器代码信息是通过核心地图查询。

依据本发明再一实施例，当通道的类型为私有通道时，使安全监控模块监控私有通道的步骤还包含：将超级呼叫发布至目的虚拟机器以及安全监控模块以及使安全监控模块存取私有通道的信息。