[发明专利]一种基于VMI的内核数据监控方法及监控系统

说明书

本发明属于计算机的技术领域，具体涉及一种基于VMI的内核数据监控方法，包括如下步骤，步骤S0、从虚拟机外部获取和分配虚拟机内存的指定大小和连续空间；步骤S1、搜索整个所述虚拟机内存空间，获取所有目标内核结构的内存地址；步骤S2、将所有目标内核数据拷贝至分配的内存空间，并完成相应的指针修改和原内核数据结构体的释放；步骤S3、对分配内存区域实施内存页级别的内存监控。本发明能够对内存区域实施内存页级别的监控，保护虚拟机文件系统的安全，还能降低了传统方法中非目标内核数据引起的额外性能开销。

技术领域

本发明属于计算机的技术领域，具体涉及一种基于VMI的内核数据监控方法及监控系统。

背景技术

随着云计算的发展，越来越多的服务迁移至云端，安全问题成为制约云计算发展的重要因素。虚拟化技术是云计算的关键技术，在虚拟化环境下，安全边界变得模糊，传统的安全防护手段已经不足以抵抗云环境下新型的安全威胁。

虚拟机自省(Virtual Machine Introspection，VMI)技术作为云环境下有效提供安全性保障的重要技术之一，受到了研究人员的高度重视。近几年，VMI技术在入侵检测、恶意软件分析、虚拟机管理和内存取证等领域得到了广泛的研究和应用。

在云计算中，虚拟机的内核数据监控往往被用以保护虚拟机安全，例如对dentry、inode等文件系统相关的数据结构体监控，就能有效捕获、拦截虚拟机中各类文件操作，但是，受限于因特尔的EPT硬件辅助虚拟化技术，不论现在主流的KVM，还是XEN等虚拟化平台，都只能提供内存页级别的监控，也就是说，如果监控某一内核数据结构，就不得不将整个内存页纳入监控范围，考虑到内存页中存在其他不相关的内核数据，虚拟机操作系统对于他们的访问、修改都会触发已部署的监控系统。

因此，这种内存页级别的内存监控往往会带来大量监控上的性能开销。

发明内容

本发明的目的之一在于：针对现有技术的不足，提供一种基于VMI的内核数据监控方法，能够对内存区域实施内存页级别的监控，保护虚拟机文件系统的安全，还能降低了传统方法中非目标内核数据引起的额外性能开销。

为了实现上述目的，本发明采用如下技术方案：

一种基于VMI的内核数据监控方法，包括如下步骤：

步骤S0、从虚拟机外部获取和分配虚拟机内存的指定大小和连续空间；

步骤S1、搜索整个所述虚拟机内存空间，获取所有目标内核结构的内存地址；

步骤S2、将所有目标内核数据拷贝至分配的内存空间，并完成相应的指针修改和原内核数据结构体的释放；

步骤S3、对分配内存区域实施内存页级别的内存监控。

作为本发明所述的一种基于VMI的内核数据监控方法的一种改进，所述步骤S3还包括：

采用轮巡式机制，周期性扫描所述虚拟机的内存空间，判断是否存在虚拟机操作系统新生成的目标内核数据结构，然后重复所述步骤S2和所述步骤S3，将其迁移至目标内存空间中，纳入监控范围。

作为本发明所述的一种基于VMI的内核数据监控方法的一种改进，所述步骤S0还包括：

获取目标虚拟机内存空间，采用目标系统调用替换掉原来系统调用，待目标系统调用执行完毕后，获取已分配内存空间首地址和内存大小信息，恢复原系统调用执行。

作为本发明所述的一种基于VMI的内核数据监控方法的一种改进，所述步骤S3中，包括：

利用Libvmi工具，根据已获取内存空间首地址和内存大小信息，对所述内存区域实施内存页级别的监控和捕获、拦截所有文件操作，包括文件读、写、打开操作，虚拟机外部的安全工具根据安全策略对拦截操作做出响应。