[发明专利]一种基于Xen平台的虚拟机检测方法

说明书

本发明公开了一种基于Xen平台的虚拟机检测方法，涉及计算机领域。本发明包括：构建C语言库LibVMI；编写工具Volatility；在特权域Dom0中部署C语言库Libvmi与工具Volatility；搭建在线检测平台；通过Xen向Guest OS提供了一系列的超级调用；通过工具Volatility获取虚拟机数据，对虚拟机数据进行简要整理分析后，形成主动监控语义信息；通过工具Volatility和C语言库Libvmi对待测软件采用连续累加测试模式进行测试。本发明通过Xen和LIBVMI的结合，实现对虚拟机的实时监测，同时运用Volatility对虚拟机内存文件进行准确的分析取证。

技术领域

本发明属于计算机技术领域，特别是涉及一种基于Xen平台的虚拟机检测方法。

背景技术

VMI(虚拟机自省)技术是从虚拟机外部获取客户虚拟机操作系统内部状态信息的技术,该技术提供了一种强大的隔离层,从而为保障虚拟化环境的安全性、可靠性和提高对虚拟机的管理能力提供了新的机遇。

现有技术中，基于软件结构知识的独立性自省方法的体系，如说明书附图1所示，VM外部提取底层状态数据,借助软件结构知识重构出高层语义信息，攻击者通过改变软件结构的方式,可以使得自省程序失效,即该方法易受攻击、预防性不高；同时该方法一般基于特定的软件结构知识设计自省程序,因此,软件架构知识的变化会导致自省程序失效,故该方法的客户操作可移植性也较差。

发明内容

本发明的目的在于提供一种基于Xen平台的虚拟机检测方法，通过建立异常行为在线检测平台,实现对网络上突出的异常行为进行连续测试与监测，解决了背景技术中提出的相关问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种基于Xen平台的虚拟机检测方法，包括：

S01、构建支持Python语言绑定的C语言库LibVMI；通过Python编写的跨平台的、用于内存分析的工具Volatility；

S02、在特权域Dom0中部署C语言库Libvmi与工具Volatility；搭建在线检测平台；

S03、通过Xen向Guest OS提供了一系列的超级调用；

S04、通过工具Volatility获取虚拟机数据，对虚拟机数据进行简要整理分析后，形成主动监控语义信息；

S05、通过工具Volatility和C语言库Libvmi对待测软件采用连续累加测试模式进行测试。

进一步地，所述虚拟机数据包括虚拟机内存、获取VCPU寄存器的数据以及自陷硬件事件。

进一步地，所述在线检测平台包括恶意软件防治产品测试与网络应用的安全性监测。

LibVMI是衍生于XenAccess的开源虚拟机自省工具,相对于XenAccess只适用于Xen,LibVMI适用于Xen或者KVM虚拟化环境,能作用于32位和64位的虚拟机；使用LibVMI可以在宿主机上透明读写虚拟机的内存。

工具Volatility目的是为了在数据犯罪中提取易失性数据,支持Linux和Windows系统的内存取证分析,提供了大量功能插件,能够从静态内存文件中获取进程信息、内核对象信息、网络信息以及操作系统信息,能够检测和协助清除Rootkit；通过pyvmi工具与LibVMI连接后,能够对正在运行的虚拟机进行内存分析,将其强大的功能用于虚拟机自省。