[发明专利]基于虚拟化的主机行为主被动结合检测系统和方法

说明书

本发明涉及一种基于虚拟化的主机行为主被动结合检测系统和方法。该系统包括主动监控获取数据模块、被动监控获取数据模块、数据转发模块和行为分析模块，其中主动监控获取数据模块采用主动监控方式主动获取虚拟机内部当前时刻的静态数据；被动监控获取数据模块采用异步侦听方式截获虚拟机内部的系统调用和系统指令数据；数据转发模块负责将本地获取的数据远程转发至行为分析服务器进行；行为分析模块接收数据转发模块发送的行为数据，并根据数据来源，动态控制分析线程对行为数据进行分析。本发明采用主动监控与被动监控相结合的方式，实现了具有透明性、实时性、灵活性等特点的集中式虚拟机监控机制。

技术领域

本发明涉及虚拟化安全监控领域，具体涉及基于虚拟化的主机行为主被动结合检测系统和方法。

背景技术

随着科技技术及工艺技术的不断发展，计算机处理能力快速增长，特别是多核处理器的出现，这导致服务器的利用率下降。虚拟化技术的出现，在一定程度上提高了服务器的利用率。虚拟化技术将服务器硬件资源充分整合利用，在硬件资源之上由运行单一操作系统环境变为能够同时运行多个操作系统环境，且不同操作系统环境之间相对封闭、互不影响。在虚拟化技术中，虚拟机管理器(Virtual Machine Monitor，简称VMM)起着至关重要的作用，它管理服务器硬件资源，并对硬件资源进行抽象、分割，供硬件环境之上的虚拟操作系统环境(Virtual Machine，简称VM)使用。与传统架构相比，虚拟化技术所产生的虚拟化架构为安全监控提出了新的思路与挑战。在虚拟化架构中，操作系统不再直接运行于硬件环境之上，不再管理控制硬件环境，而是由虚拟机管理器取而代之，同时虚拟机管理器处于操作系统和真实硬件环境之间，比操作系统的权限更高。这些特性使得借助虚拟机管理器来保证系统平台的安全性已渐成一种研究趋势。目前利用虚拟化进行安全监控主要集中在虚拟化网络行为及虚拟化主机行为等方面，本发明重要关注虚拟化主机行为的截获与分析。

目前，从监控触发方式角度来看，利用虚拟化技术进行主机行为安全监控可以分为两大类：主动监控及被动监控。主动监控是指利用扫描或者轮询的方式，周期性触发行为监控。主动监控的典型代表是Lares、Libvmi等。这种监控方式完全可控，在任何时刻均可实施主机行为监控，适用于对主机行为的完全获取，更注重于获取主机内部的完整行为动作，而不是特定事件的截获，同时可能招致监控效率低下及对VM的性能损耗。被动监控是指设置事件触发器，仅当相应事件发生时触发事件触发器，才对主机行为数据进行监控。被动监控的典型代表是Ether、Nitro等。这种监控方式通过特定事件触发，能够在第一时间内监控到特定动作的发生，适用于对特定主机行为动作的监控，更注重于获取某些特定的行为事件，然而由于监控动作不可控，可能导致监控误报或漏报的情况发生。

现阶段主机行为监控的常见方法是：1)采用主动监控方式，周期性触发监控动作；2)采用被动监控方式，以事件驱动方式触发监控动作。两种监控方式兼有优缺点，单纯采用单一的监控方式很难获取完整的语义分析视图，难以兼顾实时性、灵活性及准确性等特点。主动监控方式缺乏实时性，语义分析视图何时生成主要取决于轮询策略或者计时触发器触发，这种方式无法实时感知虚拟机中系统状态的变化，如进程的创建和切换，文件的打开和关闭等。更准确的说，主动监控方式适用于获取虚拟机中静态的行为数据。被动监控方式仅能获取当前时刻特定事件的语义分析视图，如进程切换、系统调用及中断等，缺乏灵活性，很难灵活获取某一时刻包含虚拟机内部所有行为的语义视图。若如果想使用被动监控方式获取虚拟机内部全部行为的语义视图，则需要拦截虚拟机内部的所有事件，这种状况会严重影响虚拟机的性能。

发明内容