[发明专利]基于KVM虚拟化平台的虚拟机在线杀毒系统

说明书

技术领域

本发明涉及计算机技术领域，尤其是涉及一种基于KVM虚拟化平台的虚拟机在线杀毒系统。

背景技术

随着因特网的发展，越来越多的大型企业或者实验室趋向于使用虚拟化架构来节约服务器成本或提高应用灵活性。虚拟化的实质就是利用众多的虚拟机来代替原来的物理机进行各项工作。图1表明了虚拟化的基本结构，其中最下面一层x86 Architecture（x86结构） 为物理机的硬件设备，包括重要处理器（CPU）、内存（Memory）、网络适配器（NIC）、硬盘（Disk）等设备，第二层为虚拟化层（Virtualization Layer），负责对物理机上的物理设备进行虚拟化，以便各虚拟机进行使用，各虚拟机中包括操作系统（Operating System）和应用程序（App），同时专门有一台虚拟机作为服务控制台（Service Console）。传统计算机的使用，每个用户都有自己的一套硬件设备，包括显示器、内存、硬盘、CPU、网卡等，而在虚拟化平台下，每个用户不再需要拥有整套设备，只需一个终端显示设备即可。虚拟机运行在虚拟机服务器上，由服务器分发给要使用虚拟机的用户。图2表明用虚拟机（VM）代替物理机的工作方式，服务器上设置多个虚拟机，企业内部的客户端A、B、C可以直接连接服务器使用虚拟机，企业外部的客户端D、E也可以通过防火墙后连接到服务器使用虚拟机。虚拟化在各种应用中，包括有服务器虚拟化、桌面虚拟化，以及当下最流行的云计算等各种应用中担当着举足轻重的地位。面对这些应用，数据中心少则部署几台虚拟机，多则几十上百台。

虚拟机可以完成物理机能进行的各种工作，在虚拟机中可以进行各种网络通信，所以虚拟机和物理主机一样，面临着各种各样的安全威胁，对虚拟机进行安全维护特别是病毒查杀有着重要的意义。

传统的虚拟机杀毒工作方式中，需要用户在每个虚拟机里面都安装杀毒软件，在开机时单独对各个虚拟机进行病毒查杀，如图3所示，在图3所示的虚拟化基本结构下，需要在每个虚拟机（VM）安装安全杀毒软件（Antivirus），然后由虚拟机的操作系统（Operating System）调用杀毒软件。但是，这种反病毒框架不能有效利用虚拟化的优势，直接部署到虚拟化平台下效率较低，不能实现对虚拟机的集中管理，会导致人力和计算资源的浪费，与此同时，传统反病毒软件自身的安全性已经受到严重威胁。如在Windows系统中，使用Rootkit等先进技术的病毒能在内核空间中，与反病毒软件“平等”竞争系统控制权。传统的方法只能控制病毒进入内核的已知通道，难以可靠地防止病毒进入系统内核破坏杀毒软件。

随着虚拟化和云计算技术的广泛推进，国内外对于虚拟化平台上安全系统的研究也呈现多元化、专业化的趋势。在虚拟机进程管理方面，中国科技大学的张纪胜等人实现了在VMM(Virtual Machine Monitor, 虚拟机监视器）下客户机（Guest）操作系统进程级的管理工具，大大提高了管理性能。在虚拟机安全检测方面，Xuxian Jiang等人实现了基于VMM的Rootkit检测，复旦大学的杜海等人实现了基于完全虚拟化技术的可疑进程与可疑模块的检测。在商业应用方面，趋势科技新推出了Deep Security 安全系统，实现了VMWare平台上 “客户机不安装任何辅助软件”的透视防护（仍然要安装特殊驱动程序），一定程度上代表了服务器安全领域的发展方向。

发明内容

针对传统的虚拟机杀毒工作方式效率低下的问题以及现有反病毒软件自身的安全性缺陷，提供一种基于KVM虚拟化平台的虚拟机在线杀毒系统。

本发明的技术方案为一种基于KVM虚拟化平台的虚拟机在线杀毒系统，所述KVM虚拟化平台包括服务器上的KVM内核模块和多个虚拟机，设置安全内核模块、安全控制模块和网络模块，

在KVM内核模块中添加读取内存的函数，并提供安全内核模块注册钩子的接口；

安全内核模块设置于服务器中，用于通过接口在KVM内核模块中注册钩子，向安全控制模块发出扫描命令，接受安全控制模块所得扫描查毒结果，暂停可疑进程，对可疑进程进行相应处理；所述钩子通过执行钩子回调函数实现操作，包括获取当前进程在虚拟机内存中的地址，根据所获地址通过KVM内核模块中读取内存的函数获得虚拟机的进程信息，根据进程信息将虚拟机的进程的可执行代码由虚拟机内存映射到安全控制模块的内存；

安全控制模块设置于服务器中，用于接受安全内核模块发出的扫描命令，调用杀毒引擎对安全控制模块的内存中所有虚拟机的进程的可执行代码进行扫描查毒，并将结果报告给安全内核模块；