[发明专利]虚拟机安全性应用程序的事件过滤

说明书

所描述系统及方法允许保护硬件虚拟化系统免遭恶意软件的影响。一些实施例使用混合式事件通知/分析系统，其中在受保护虚拟机VM内执行的第一组件注册为因违反存储器存取权限而触发的处理器异常的处理程序，且其中在所述相应VM外部执行的第二组件注册为VM退出事件的处理程序。所述第一组件根据一组规则而过滤权限违反事件，且仅将被认为与安全性相关的事件通知所述第二组件。所述第二组件分析所通知事件以检测恶意软件。

相关申请案

本申请案主张于2016年12月19日提出申请的标题为“用于加速虚拟机中的计算机安全性操作的事件过滤器(Event Filter for Accelerating Computer SecurityOperations in Virtual Machines)”的第62,436,027号美国临时专利申请案的申请日期的权益，所述美国临时专利申请案的全部内容以引用的方式并入本文中。

背景技术

本发明涉及计算机安全性系统及方法，且明确地说，涉及用于保护虚拟机免受恶意软件攻击的系统及方法。

恶意软件(也被称为恶意软件(malware))在世界范围内影响大量计算机系统。在其许多形式(例如计算机病毒、隐匿程序(rootkit)、间谍软件及勒索软件)中，恶意软件给数百万计算机用户呈现严重风险，使其易受数据及敏感信息丢失、身份盗用及生产力损失以及其它侵害。计算机安全性软件可用于保护计算机系统免遭恶意软件的影响。

硬件虚拟化技术使得能够形成以许多方式表现为物理计算机系统的模拟计算机环境(通常称为虚拟机(VM))。在例如服务器合并及基础设施即服务(也俗称“云计算”)的典型应用程序中，数个虚拟机可在同一计算机系统上同时运行，从而在其当中共享硬件资源，因此减少投资及操作成本。每一虚拟机可独立于其它虚拟机而运行其自身的操作系统及/或软件应用程序。每一此VM潜在地需要保护措施来抵御计算机安全性威胁。

在受保护虚拟机外部放置计算机安全性软件通常确保高保护等级。然而，与非虚拟化环境相比，当以此类配置实施时，计算机安全性软件的操作基本上更复杂且计算上更昂贵。在常规硬件虚拟化反恶意软件系统中，在受保护VM内发生的安全性相关事件通常致使硬件处理器暂停执行相应VM，且切换到执行在受保护VM外部的安全性软件。接着，处理器可响应于事件分析而往回切换到执行受保护VM。频繁的VM暂停/重新开始循环会产生大量计算成本，且可影响生产力及用户体验。

对改进硬件虚拟化平台中的计算机安全性操作的效率存在极大兴趣。

发明内容

根据一个方面，一种主机系统包括硬件处理器及存储器。所述硬件处理器经配置以执行虚拟机(VM)、事件过滤器及自检引擎，所述事件过滤器在所述VM内执行，所述自检引擎在所述VM外部执行。所述硬件处理器进一步经配置以：响应于检测到在所述VM内执行的软件实体以违反存储器存取权限的方式存取存储器位置的尝试而产生第一异常；及响应于所述第一异常，从执行所述软件实体切换到执行所述事件过滤器.所述硬件处理器进一步经配置以响应于第二异常而从执行所述事件过滤器切换到执行所述自检引擎。所述事件过滤器经配置以响应于所述第一异常根据事件资格准则而确定所述尝试是否有资格被通知给所述自检引擎。所述事件过滤器进一步经配置以响应于确定所述尝试是否有资格被通知，当所述尝试有资格时，致使所述处理器产生所述第二异常，及当所述尝试没有资格时，阻止所述处理器产生所述第二异常，且替代地，致使所述处理器重新开始执行所述软件实体。所述自检引擎经配置以确定所述尝试是否为恶意的。