[发明专利]一种基于虚拟机自省技术的API动态监控方法及系统

说明书

本发明公开了一种基于虚拟机自省技术的API动态监控方法及系统。本方法为：1)读取并解析设定的监控策略配置文件，获取所需监控的API以及API所属的动态链接库DLL；2)遍历已加载到系统内存的动态链接库，对已加载到内存中且需要监控的API进行监控；对未加载入系统内存的动态链接库进行监控，当其载入系统内后，确认是否是需要监控的动态链接库，如果是，则对该动态链接库内需要监控的API函数进行监控；3)当所需监控API函数被触发后，对当前操作系统内存进行解析，提取出当前进程、进程ID、当前线程、线程ID、当前进程名、所调用API、所属动态链接库信息，并写入日志。

技术领域

本发明属于网络安全技术领域，涉及一种虚拟化监控方法，具体为一种基于虚拟机自省技术的API动态监控方法及系统。

背景技术

虚拟化技术是图纸办法通过硬件级虚拟化在计算机硬件层上增加一个名为虚拟机管理器(Virtual Machine Monitor，简称：VMM)的软件层，也称作hypervisor。VMM为每个虚拟机进行必要的硬件资源虚拟，虚拟机可以按照自己需求安装不同的操作系统并在VMM的监控和管理下访问所需的硬件物理资源。从直观上讲，虚拟化技术即对硬件资源进行复用处理，允许同时运行多个虚拟机，即多个客户机操作系统。在安装VMM的硬件平台上，VMM通过协调客户机操作系统发出指令实现隔离操作系统和硬件，目前虚拟化技术分为全虚拟化和半虚拟化。

虚拟机自省技术(VMI)就是在虚拟机外部通过分析其内部的系统状态(软硬件)，来了解虚拟机的内部状态。由于虚拟机管理器兼具基于主机的入侵检测框架(host-basedintrusion detection system，简称：HIDS)良好的隔离性，所以虚拟机自省能够借助虚拟机管理器(VMM)实现对虚拟机的监控。虚拟机管理器通常是一台独立并且受信任的虚拟机，由于该虚拟机独立于被监控的客户机，所以具有非常好的安全隔离性。虚拟机管理器能够在被监控虚拟机外部读取虚拟机的内存页面、寄存器、中断事件，用户可使用此技术对内存页面、寄存器、中断等低级事件进行分析，最终得到虚拟机进程、内核模块、系统调用等信息。

当前虚拟机监控技术分为虚拟机内部监控(In-VM)和虚拟机外部监控(Out-of-VM)两类。虚拟机内部监控是指通过在目标虚拟机内部加载模块、插件，获取虚拟机中发生的行为、事件等信息。内部监控的优势在于其在目标虚拟机中介或系统发生的事件，获取到的是具有操作系统语义的信息，不需要进行语义重构，减少了性能上的开销。然而，这种方式需要在目标系统中运行代理，会对系统性能造成影响。另外，获取到的信息容易被内核态Rookit欺骗，无法获取到真实的系统信息。随着信息技术的发展，新型木马不仅具有反沙箱检测的能力，而且具有很强的自毁和反取证能力，当木马检测到病毒木马检测工具运行时，就立即中断攻击行为，自毁并擦除攻击痕迹。

虚拟机外部监控指采用虚拟机自省机制(Virtual Machine Introspection,VMI)，在虚拟机外部探测虚拟机内部发生的事件。其获取到的信息为宿主机系统底层信息。如何将其还原为具有语义的字符序列或者数据结构这一问题被称为语义鸿沟(semanticgap)问题。在对宿主机和虚拟机无任何先验知识的情况下，获取虚拟机的信息是非常困难的。目前主要采用手动分析、调试器辅助分析、编译器辅助分析以及二进制分析等方法来解决语义鸿沟问题。XenAccess是一个监控Xen环境下内存和磁盘信息的类库；Virttuoso通过提取二进制生成VMI代码监控系统运行状态信息。在Libvmi的基础上，Watson等人也提出了基于VMM辅助的虚拟机进程信息检测方案。虚拟机外部监控技术对于API的监控，必须在程序运行时，对应API已经加载在内存之中，或者对于文件的读写与映射进行监控，导致系统性能损耗异常严重。

发明内容