[发明专利]一种虚拟机防逃逸装置

说明书

技术领域

本发明涉及虚拟机安全技术领域，特别是指一种虚拟机防逃逸装置。

背景技术

虚拟化技术可以将一台计算机虚拟为多台逻辑计算机，其中每台逻辑计算机可以运行不同的操作系统，并且不同逻辑计算机中的应用程序可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率以及计算资源的利用率，是合理分配计算资源的一种有效手段。通常，将物理计算机中虚拟出的逻辑计算机成为虚拟机，而将物理计算机称为宿主机。目前，虚拟机化技术在互联网云服务方面已经得到了广泛应用。

虚拟机是宿主机中一个相对独立的计算环境，类似于一个沙盒，具有较好的安全特性，但是，由于虚拟化软件自身的缺陷与不足，针对虚拟机的安全攻击仍然时有发生，其中最主要一种就是虚拟机逃逸攻击。

所谓虚拟机逃逸攻击是指攻击者从虚拟机环境中逃逸出来，从而能够对宿主机产生影响甚至获得控制，一旦宿主机受到攻击，则攻击者可以反过来轻易地控制该宿主机内的多个虚拟机，并能够访问到该宿主机中的大量敏感数据，可见这种攻击是一种非常危险的安全威胁。

由于虚拟机逃逸攻击主要涉及虚拟机与虚拟机监视器(也被称为hypervisor)之间的交互、共享资源的访问、对宿主机上其他虚拟机的影响，因此可以设计针对这几个关键属性的安全预防措施。现有技术中，为了使得攻击者难以攻破hypervisor，可以设计更加健壮的hypervisor，使得攻击者无法轻易获得权限，并且健壮的hypervisor还可以预防在虚拟化环境中其他更多的安全隐患。此外，为了防止逃逸攻击成功后，攻击者攻击其他的虚拟机，可以设计防止攻击蔓延的技术，将灾难降到最低。

但是，现有技术中的防护措施大都偏向于一个方面，难以对宿主机和虚拟机提供全方位的防护，此外，现有技术中的防护手段也存在效率低下、安全效果较差等等问题。

发明内容

有鉴于此，本发明的目的在于提出一种虚拟机防逃逸装置，该装置可以对宿主机和虚拟机提供全方位、高效率、高等级的安全防护，能够极大降低虚拟机逃逸攻击的发生概率和影响危害。

基于上述目的，本发明提供的技术方案是：

一种虚拟机防逃逸装置，其包括：

内部监控模块，用于从内部对目标虚拟机进行监控；

外部监控模块，用于从外部对目标虚拟机进行监控；

入侵检测模块，用于检测对于目标虚拟机的入侵行为；

完整性保护模块，用于保护数据及传输信息的完整性。

优选地，本装置还包括：

日志记录模块，用于记录宿主机和目标虚拟机的软件信息和硬件信息。

优选地，本装置还包括：

蜜罐模块，用于引诱恶意攻击。

优选地，本装置还包括：

恶意代码检测模块，用于检测恶意代码的存在和行为。

优选地，内部监控模块的工作方式为：

向目标虚拟机内部署钩子函数和跳转模块；

通过事先插入目标虚拟机操作系统内核的内存保护模块对钩子函数和跳转模块所占用的内存空间提供安全保护；

通过钩子函数对目标虚拟机中发生的安全事件进行拦截；

通过跳转模块将安全事件传递到目标虚拟机外；

使用事先定义的安全策略对安全事件做出响应。

优选地，入侵检测模块的工作方式为：

借助虚拟机自省技术从外部对目标虚拟机进行入侵检测；

若检测到入侵，则使用事先定义的安全策略对入侵做出响应。

优选地，完整性保护模块还包含用于对虚拟机监视器提供完整性保护的子模块，该子模块具有不可绕过的内存锁以及受限制的指针索引。

优选地，完整性保护模块包括：

周期性文件保护子模块，用于周期性计算文件的哈希值，判断文件是否被篡改；

实时文件保护子模块，用于实时拦截对文件的操作。

从上面的叙述可以看出，本发明的有益效果在于：

1、本发明装置通过内部监控模块和外部监控模块对虚拟机进行全方位监控，其中，内部监控模块可以直接获得操作系统级语义，不需要语义重构，性能开销较低，而外部监控模块虽需要为语义重构付出一定的性能代价，但通用性较好，不需要对虚拟机系统进行改动；

2、本发明装置中的入侵检测模块可以检测外界对虚拟机的入侵行为，从而能够及时阻断攻击或采取其他的必要措施，将攻击带来的损害降到最低，防止攻击者逃逸到宿主机中；