[发明专利]一种用于发现虚拟机自省系统中是否存在漏洞的方法

说明书

本发明公开了一种用于发现虚拟机自省系统中是否存在漏洞的方法，通过在被更改的Linux虚拟机系统调用函数入口地址处插入特定的jmp指令，如果能够对虚拟机自省系统进行修改，则表示表示虚拟机自省系统存在漏洞，标志着针对虚拟机自省系统动态监控结果可实现人为控制，将虚拟机自省系统的漏洞进一步暴露，为后续相关研究者进一步完善该系统提供了极为重要的参考。

技术领域

本发明属于计算机科学与技术领域，涉及针对虚拟机自省(Virtual MachineIntrospection，简称VMI)系统中系统调用监控结果的修改，通过查看系统调用结果能否实现人为控制，发现系统漏洞，为系统的进一步完善作参考，具体是一种用于发现虚拟机自省系统中是否存在漏洞的方法。

背景技术

虚拟机自省技术由于能够兼顾良好的“隔离性”和“能见度”，成为保护虚拟机安全的重要选择，引起业界广泛的关注和研究。VMI通常运行于虚拟机下面的虚拟机管理器(VMM)层，由于没有运行在被监控的虚拟机内部，所以VMI和虚拟机具有良好的隔离性。同时，VMM为VMI提供了能够直接检查被监控虚拟机的硬件级别状态(比如物理内存页面、寄存器和硬盘等)和事件(比如系统调用和中断等)的能力，并且能基于先前的数据结构和相关知识推断系统软件状态(比如虚拟机内部的当前运行进程列表)，所以VMI对于被监控的虚拟机具有较好的“能见度”。

多个基于虚拟机自省的安全系统已经被相继开发出来。比较知名的虚拟机自省系统(或工具)包括开源库LibVMI，佐治亚理工学院开发的XenAccess[Payne et al.,ACSAC2007]和Ether[Dinaburg et al.,ACM CCS 2008]，以及慕尼黑工业大学开发的Nitro[Pfohet al.,International Workshop on Security 2011]等。归纳起来，虚拟机自省系统提供的安全功能主要包括两种类型，分别是静态监控功能和动态监控功能。其中，静态监控功能通过在虚拟机外部(VMM层)监控虚拟机内部特定内存页面上的内容实现对虚拟机的安全监控，例如，监控虚拟机内部正在运行的进程列表和已加载的内核模块列表等。动态监控功能则通过在虚拟机外部(VMM层)监控虚拟机内部发生的动态事件实现对虚拟机的安全监控，例如，监控虚拟机的系统调用事件、中断事件等。这些功能为保护虚拟机安全发挥了重要作用。

然而，分析发现，所有的虚拟机自省系统(或工具)在设计时都是基于一个共同的假设前提：假设被监控的虚拟机操作系统按照规定的方式使用标准内核数据模板，其内存页面提供的原始内容或通过虚拟机管理器报告的事件是正确的。而这在实际中并不是绝对的，使用者可以采用各种技术手段修改虚拟机操作系统底层的内核数据、执行流程等来欺骗虚拟机自省工具，实现虚拟机自省系统监控结果的可控制。为此，北卡罗来纳州立大学的Bahram等人开发了DKSM[Bahram et al.,IEEE SRDS2010]，实现了可控制结果的虚拟机自省系统静态监控功能。DKSM以XenAccess为实验系统，通过修改Linux虚拟机中保存当前运行进程列表和已加载内核模块的数据结构的特定节点，使得XenAccess监控到错误的结果，由此发现虚拟机自省系统存在漏洞，揭开了人为控制虚拟机自省系统监控结果的序幕，为虚拟机自省系统的进一步完善提供了重要参考。

到目前为止，在虚拟机自省系统中实现监控结果可控制研究仍然处于起步阶段，并没有一个完整成型的设计思路，还未实现针对虚拟机自省系统动态监控结果的可控制。

发明内容

为了弥补现有技术的不足，本发明提出了一种用于发现虚拟机自省系统中是否存在漏洞的方法，该方法通过在虚拟机中插入内核模块实现VMI系统中系统调用动态监控结果，能够使VMI系统在监控64位Linux虚拟机运行时，得到虚假的系统调用监控信息，从而隐藏实验者在虚拟机中实际执行的系统调用操作，达到其修改虚拟机自省系统动态监控功能(系统调用监控)目的，该方法标志着针对虚拟机自省系统动态监控结果可实现人为控制，将虚拟机自省系统的漏洞进一步暴露，为相关研究者进一步完善虚拟机自省系统提供了极为重要的参考。