[发明专利]一种基于多桥的语义重构方法

说明书

一种基于多桥的语义重构方法。其包括利用不同虚拟机自省技术将获取的客户虚拟机的底层数据分别重构为客户虚拟机的运行状态数据；利用客户虚拟机的运行状态数据构建其运行状态视图，然后进行跨视图对比，以获得客户虚拟机此时的安全状态信息；根据安全状态信息判定云平台中客户虚拟机是否处于异常状态，如判定结果为是，确定出具体异常行为；将客户虚拟机的异常行为数据归类并留存，以备后续的电子取证等步骤。本发明通过有效融合多种成熟的虚拟机自省技术，克服了单一虚拟机自省技术重构语义的不足，使得语义鸿沟的跨越更加稳定可靠，鲁棒性更高。通过多种虚拟机自省结果对比融合，获取更加完整的高级语义运行状态数据。

技术领域

本发明属于计算机应用技术领域，特别是涉及一种基于多桥的语义重构方法。

背景技术

目前，虚拟化环境下跨越语义鸿沟进行语义重构主要是利用虚拟机自省技术(VMI,Virtual Machine Introspection)，虚拟机自省技术分为安装代理与无代理两大类方式，其中又以无代理方式透明性更好，安全性更高。无代理方式主要有手工重构、源码分析、动态分析三类语义重构方式。

1)手工重构

手工重构的语义鸿沟解决方案，需要知悉客户虚拟机操作系统中的相关数据结构信息(包括布局、偏移量、字段类型等)，并凭借丰富经验通过遍历指针、搜索特征码等方式重新构造其语义抽象，并且为每个客户操作系统内核重写相应的自省程序，由此可见工作量巨大且极其繁琐，而且无法自省未手工重构的操作系统，对新发行的操作系统版本的自省具有一定的延迟。目前手工重构方式中LibVMI是较为成熟的检测工具，支持包括Linux、Windows的大部分版本，并兼容于Xen、KVM、QEMU等开源虚拟化技术。

2)源码分析

源码分析是基于软件结构知识的语义重构方法，通过分析开源操作系统的源代码，获取相应的软件结构知识，包括函数调用关系、数据结构之间的指向关系等，并利用在客户虚拟机外部提取的底层状态数据重构出高级语义信息。该方法在VMM层和HVM中可实现对客户虚拟机运行状态数据的获取，具有较好的透明性。然而，客户操作系统庞大的代码基、众多的内核版本以及闭源操作系统繁杂的逆向工程造成源码分析方法的复杂低效，而且系统内核版本频繁变化导致的软件结构知识的改变，也使得源码分析方法的可扩展性较差，鲁棒性不高。

3)动态分析

在云平台中，虚拟机监视器在与客户虚拟机以及物理硬件交互时存在一些特定事件，通过动态地跟踪这些特定事件，并根据所获得信息判断触发事件原因，进而借助硬件结构知识，推理出高级语义信息，即属于动态分析。动态分析方法也具有良好的透明性、可扩展性与安全性，但其所依赖的硬件结构知识相对较少，所获取的高级语义信息有限。

目前，虚拟机自省技术涉及的语义重构方式主要有：手工重构、源码分析、动态分析等3种方式。在已有的云平台监测技术中，仅使用其中一种语义重构方式实现虚拟机自省，以对云平台运行情况进行监测管理，因此存在以下问题：

1、监测信息不全面

单一虚拟机语义重构方式，造成获取的监测信息不全面，仅能从某一侧面反映客户虚拟机的运行状态。

2、安全性较差

单一虚拟机语义重构方式抗攻击性不强，容易遭受针对自省技术本身所产生的特定攻击。根据现有的虚拟机自省解决方案的检测数据可以发现，单一虚拟机自省解决方案的语义重构信息的准确性与完整性无法保证，而且鲁棒性较弱。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于多桥的语义重构方法，以便能够更加全面准确地实现云平台的监测管理，采用多种方法获取云平台内多源异构底层信息，通过多种语义重构方式，可以全面高效地跨越语义鸿沟。

为了达到上述目的，本发明提供的基于多桥的语义重构方法包括按顺序执行的下列步骤：