[发明专利]一种基于VMI的内核数据监控方法及监控系统

权利要求书

1.一种基于VMI的内核数据监控方法，其特征在于，包括如下步骤：

步骤S0、从虚拟机外部获取和分配虚拟机内存的指定大小和连续空间；

步骤S1、搜索整个所述虚拟机内存空间，获取所有目标内核结构的内存地址；

步骤S2、将所有目标内核数据拷贝至分配的内存空间，并完成相应的指针修改和原内核数据结构体的释放；

步骤S3、对分配内存区域实施内存页级别的内存监控。

2.如权利要求1所述的一种基于VMI的内核数据监控方法，其特征在于，所述步骤S3还包括：

采用轮巡式机制，周期性扫描所述虚拟机的内存空间，判断是否存在虚拟机操作系统新生成的目标内核数据结构，然后重复所述步骤S2和所述步骤S3，将其迁移至目标内存空间中，纳入监控范围。

3.如权利要求1所述的一种基于VMI的内核数据监控方法，其特征在于，所述步骤S0还包括：

获取目标虚拟机内存空间，采用目标系统调用替换掉原来系统调用，待目标系统调用执行完毕后，获取已分配内存空间首地址和内存大小信息，恢复原系统调用执行。

4.如权利要求3所述的一种基于VMI的内核数据监控方法，其特征在于，所述步骤S3中，包括：

利用Libvmi工具，根据已获取内存空间首地址和内存大小信息，对所述内存区域实施内存页级别的监控和捕获、拦截所有文件操作，包括文件读、写、打开操作，虚拟机外部的安全工具根据安全策略对拦截操作做出响应。

5.如权利要求4所述的一种基于VMI的内核数据监控方法，其特征在于，搜索整个所述虚拟机内存空间，包括：

使用Libvmi虚拟机自省工具，判断所述内核数据结构；

若为dentry结构体，则从目标虚拟机的内核符号表中查询dentry_cache首地址，通过遍历整个dentry双向链表获取所有内核中所有所述dentry结构体内存地址；

若为filedescriptor table包括fdt，则从目标虚拟机的内核符号表中查询进程链表头指针地址，通过遍历进程双向链表获取所有进程结构体信息，利用各个内核数据结构体指针关系获取到每个进程结构体对应的fdt地址。

6.如权利要求1所述的一种基于VMI的内核数据监控方法，其特征在于，将所有目标内核数据拷贝至新分配的内存空间前，包括：

判断所述内核结构的内存地址是否已纳入监控范围，若是，则跳过检查下一个内核结构的内存地址，否则，进行迁移工作，将所述数据结构拷贝至新的内存区域中，并将所有指向原来的数据结构的指针重新指向受监控内存页中的数据结构。

7.如权利要求1所述的一种基于VMI的内核数据监控方法，其特征在于，将所述原数据结构的释放，包括：

从内核数据结构体开始，寻找相关指针并修改其指向。

8.如权利要求7所述的一种基于VMI的内核数据监控方法，其特征在于：所述相关指针包括指向内部的内部指针、指向首地址的外部地址和用于连接各类双向链表的外部指针。

9.一种基于VMI的内核数据监控系统，其特征在于：包括互相连接的虚拟机管理器、目标虚拟机和主机用户空间，所述主机用户空间包括内存分配模块、内存迁移模块、内存监控模块及数据库，所述目标虚拟机通过所述虚拟机管理器分别与所述内存分配模块、所述内存迁移模块及所述内存监控模块双向连接，所述内存监控模块与所述数据库双向连接，所述数据库用于存储安全策略。