[发明专利]基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法

权利要求书

1.一种基于Xen硬件虚拟化的磁盘文件操作监控系统，其特征在于操作监控系统基于Xen的硬件虚拟化平台包括四个模块：监控模块、信息发送模块、监听模块和安全模块，监控模块部署在domU，实时监控domU中所有涉及改变磁盘文件内容及属性的操作并产生监控信息，通过信息发送模块发送给domO的监听模块，由监听模块记录相关信息；安全模块保证信息发送模块和监控模块运行时的安全；

所述监控模块不需要修改Xen Hypervisor，domO和客户操作系统，以可装载模块的形式实现，无需编译内核，能够实时监控，只监控涉及改变磁盘文件内容及属性的操作，获取详细的行为信息；

所述信息发送模块部署在domU，监听模块部署在domO的用户空间，信息发送模块和监听模块采用XenSocket机制实现domU和domO之间通信；

所述安全模块，不需要修改Xen Hypervisor，能够检测到监控模块和信息发送模块在运行时受到的恶意代码攻击；安全模块部署在的全级别较高的domO以避免自身受到攻击的威胁。

2.根据权利要求1所述的基于Xen硬件虚拟化的磁盘文件操作监控系统，其特征在于：通过在硬件虚拟化客户操作系统中加装半虚拟化I/O模型，具体安装有PCI平台，网络前端驱动，块设备前端驱动，气球驱动四个模块，PCI平台是硬件虚拟化中其余三个模块的基础，它向硬件虚拟机提供了超级调用接口和事件机制，气球驱动依赖于PCI平台，它为domO和硬件虚拟化domU提供共享内存机制，具有半虚拟化的基本机制后，虚拟网络前端和虚拟块设备前端就能正常工作，使得在硬件虚拟化操作系统中也可以使用半虚拟化的网络通信模型，大幅度降低了性能的损耗。

3.一种应用权利要求1所述系统实现基于Xen硬件虚拟化磁盘文件操作监控方法，其特征在于如下过程：

(1)截获并替换硬件虚拟化客户操作系统中磁盘文件操作系统调用：

1a)获取系统调用表地址；

1b)修改crO寄存器的系统调用表可写权限位，使系统调用表可写；

1c)确定替换系统调用的范围；

1d)编写新的系统调用替换原有系统调用，查询对应的系统调用号，修改相应的函数指针为新的函数；

(2)确定被监控文件的类型：

2a)通过当前进程结构体struct task和文件描述符获取文件的struct file结构；

2b)根据文件的内核结构struct file找到对用的inode节点；

2c)根据inode中的i_mode字段确定监控文件的类型；

(3)确定操作进程是否有必要被监控：

3a)获取inti_task地址，遍历系统进程列表，创建bash环境下用户进程哈希表；

3b)根据父子进程间的关系辨别是否是bash进程或者是bash子进程，将其存入哈希表；

3c)遍历哈希表，判断进程是否监控所有的bash下的进程活动，包括守护进程；

(4)根据操作类型、文件种类及进程信息综合确定该行为是否需要监控：

4a)创建监控逻辑表，包括四项：操作类型、文件种类、进程与是否需要监控；

4b)根据监控逻辑表，设计系统调用函数；

(5)获取行为信息：

5a)创建行为信息结构体，存储行为信息，具体包括进程ID、用户ID、操作进程、操作进程的运行位置以及目标文件绝对路径；

5b)通过进程结构体struct task获取进程ID、用户ID、操作进程；

5c)获取进程运行位置，过程如下：获取当前目录dentry结构，获取vfsmount结构的pwdmnt结构，判断是否为装载点，如果是则查找该dentry在父文件系统中的dentry，如果不是则继续向上查找上级目录的dentry并记录目录名直到根目录；

(6)获取操作目标绝对路径：

判断参数类型，目标文件的表示分为字符串和文件描述符两种，根据查找路径算法获得绝对路径；

(7)发送信息：

在系统调用函数中，将获取的行为信息利用XenSocket经前后端网络模型发送至domO；

(8)信息监听：

在domO创建监听用户态守护进程，将接收到信息追加到日志文件；

(9)检测运行在domU的监控模块和信息发送模块代码在运行时是否受到攻击：

9a)在domO创建用户态守护进程，调用XenAccess库的接口监视domU模块运行代码的内存区，获取原始数据；

9b)以轮询的方式监控domU模块的代码运行区，和原始数据进行哈希对比确定代码是否受到恶意攻击。

4.根据权利要求3所述的基于Xen硬件虚拟化磁盘文件操作监控方法，其特征在于如下过程：所述创建bash环境下用户进程哈希表是根据进程间的父子关系及会话关系信息建立的；所述的创建监控逻辑表能够有效避免无意义的监控；所述的获取操作目标绝对路径，采用与linux内核函数相反的方法，逆向解析了绝对路径；所述的发送信息，实现了在硬件虚拟化环境下运用半虚拟化I/O；所述的检测运行在domU的监控模块和信息发送模块代码在运行时是否受到攻击，监视可加载模块的运行代码，用以检测其在运行时是否受到攻击。