[发明专利]基于虚拟化的主机行为异步侦听截获系统和方法

说明书

本发明涉及一种基于虚拟化的主机行为异步侦听截获系统和方法。该系统中，事件接收模块负责截获系统指令、拦截系统调用，并将收集的数据转送至数据异步缓冲模块，同时通知数据访问控制模块有新数据生成；数据异步缓冲模块负责异步接收存储系统指令、系统调用信息及虚拟机的基本信息；数据访问控制模块负责接收、分析数据生成指令，并将数据从数据异步缓冲模块中取出，发送至行为分析控制模块；动态更新模块负责动态更新行为检测策略；行为分析控制模块负责管理分析线程，根据动态更新模块生成的行为检测策略进行行为分析。本发明实现了细粒度的主机行为截获分析，能够减少对虚拟机性能的影响，提高行为分析的准确性与可靠性。

技术领域

本发明涉及虚拟化安全监控领域，具体涉及基于虚拟化的主机行为异步侦听截获系统和方法。

背景技术

基础架构即服务(Infrastructure as a Service，IaaS)是云计算的一种，其为各种互联网应用提供基础架构服务。作为IaaS的技术基石，虚拟化技术已被广泛应用至大量数据中心及服务器集群。作为虚拟化平台中的重要组成部分，虚拟机监视器(简称Hypervisor)是运行在物理服务器和操作系统之间的中间软件层，维护控制着CPU、内存及I/O等物理资源，可允许多个操作系统和应用共享一套基础物理硬件。虚拟化平台的此种架构为行为监控提供了新的挑战，带来了全新的监控思路。作为一个相对封闭的网络环境，使用虚拟化技术构建的虚拟网络被研究人员广泛应用于协议分析、仿真验证及比武对抗等众多前沿应用，并被期望全面获取其内部的各种行为，以全面分析行为数据，提高分析准确性。虚拟化行为监控自虚拟化技术广泛应用以来，一直是研究人员追求的研究热点，尤其是主机行为监控分析。因此本发明重点关注VM(Virtual Machine，虚拟机)内部的主机行为截获及分析。

目前虚拟化平台行为监控按照VM行为获取方式划分为主动获取信息方式及被动获取信息方式。主动获取方式是指用户通过扫描或者轮询方式获取VM内部的语义信息，其多采用快照技术或计时触发器；被动获取方式是指设置事件触发器，只有当VM中相应事件发生时，触发事件触发器，才获取VM内部的相关信息。主动获取方式监控粒度较大，无法获取两次获取间隔内的行为，同时采用减少轮询时间或增大扫描频率等方式减少间隔时间，会在一定程度上消耗物理服务器及VM资源，影响物理服务器及VM性能。被动获取方式采用触发器结构能够更及时准确的获取更为关心的行为数据。

虚拟化平台行为监控按照行为动作获取位置分为内部获取方式和外部获取方式。内部获取方式即是将行为获取部署至VM内部，在内部进行各种行为动作的拦截获取；而外部获取方式是在VM外部获取并分析VM内部的行为动作。内部获取方式将行为获取放置在VM内部，易被入侵者或查杀工具发现并查杀，从而失去了行为获取的能力。外部获取方式具有行为获取隐蔽性等特点，不易被入侵者及内部查杀工具篡改或屏蔽。

现阶段VM主机行为监控分析的常见方法是：1)利用传统的监控方式，将监控手段完全部署在VM操作系统内或VM内核态中；2)基于trap、断点或rollback方式，在VM内设置Hooks挂钩到Hypervisor，Hypervisor通过操作Hooks以获取VM的行为动作；3)完全基于Hypervisor进行监控。方法1)将监控手段完全放置于虚拟机内部，易被恶意软件篡改或查杀工具查杀，有很大的安全隐患；方法2)虽然在一定程度上保护了监控工具，但由于仍有部分内容在虚拟机内部，因此仍然存在安全隐患；方法3)是安全级别最高的行为监控，但由于和虚拟机无任何关联，因此监控难度较大。

发明内容