監控虛擬機進程的系統和方法、過濾page fault異常的方法技術方案

本發明專利技術公開了一種監控虛擬機進程的系統和方法、過濾page?fault異常的方法，其中，監控系統為：攔截設置模塊動態實時的修改虛擬機系統調用表，攔截虛擬機系統調用；捕獲模塊捕獲虛擬機進程執行被監控系統調用時產生的異常；分析處理模塊分析虛擬機進程系統調用行為是否異常；策略庫存儲虛擬機系統調用監控策略；日志存儲虛擬機中異常系統調用行為數據；終端動態實時的更新策略庫。本發明專利技術根據所需監控的功能，動態實時地配置監控策略，且在不需重啟虛擬機或云平臺的情況下即時生效；避免了虛擬機進程執行不必要監控系統調用時帶來的額外性能消耗；且兼容于所有x86指令發起的系統調用流程。

【技術實現步驟摘要】

本專利技術涉及虛擬機安全監控領域，具體涉及一種監控虛擬機進程的系統和方法、過濾page fault異常的方法。
技術介紹
虛擬化技術已經發展成為云計算平臺的核心技術之一，可將實體物理資源進行抽象后分配給多個虛擬機，虛擬機運行著真實的操作系統為租戶提供服務，而如今廣泛使用的操作系統在系統安全方面存在著不同程度的安全缺陷，這些安全缺陷在虛擬機操作系統中同樣存在。通過虛擬機操作系統的漏洞獲得特權的進惡意軟件可以輕易的破壞操縱系統，如計算機病毒、蠕蟲、木馬等，在成功入侵操作系統后，這些惡意軟件能夠竊取計算機操作系統敏感數據，破壞應用程序和數據的完整性，修改宿主進程代碼以偽裝自身的存在，訪問甚至修改敏感文件內容等，嚴重威脅虛擬機的安全，因此虛擬機的安全性受到越來越多的關注。為盡早發現針對虛擬機的攻擊或異常，有必要對虛擬機內的進程進行監控。系統調用是操作系統內核為應用層進程提供的接口，為應用程序提供多種不同功能的服務，因此，對系統調用實施監控對分析進程行為具有重要作用。在云平臺中，現有的虛擬機系統調用監控方法主要分為兩類：一類是內部監控，在虛擬機內核中安裝監控代理，使監控代理與虛擬機內核具有相同的特權級，隨后通過修改系統調用表、掛鉤系統調用函數等方法，攔截系統調用的執行流程，根據系統調用參數進一步分析系統進程的行為。同時，由VMM(Virtual Machine Monitor，虛擬機監視器)提供對監控代理安全性的保證，避免惡意軟件對監控代理的攻擊；另一類是外部監控，利用VMM的高特權級特性，在VMM中透明地改變虛擬機系統調用指令的正常運行條件，使虛擬機在執行系統調用時產生異常陷入到VMM中，隨后VMM利用VMI(Virtual Machine Introspection，虛擬機自省)技術讀取參數進行分析。第一種方法可以方便的獲取虛擬機語義信息，但存在缺陷：1)監控代理依賴于目標虛擬機，不具有通用性；2)VMM提供了對監控代理的安全防護措施，引入的額外防護執行流程增加了監控系統執行的復雜性。第二種方法利用VMM具有的高特權級和隔離性，將監控流程轉移到VMM中，提高了通用性，同樣存在不足：1)執行任意系統調用時，都會產生異常陷入到VMM中，不能根據實際需求對系統調用進行選擇性的監控，靈活性差；2)執行不需監控的系統調用依然會產生異常而陷入VMM，帶來了額外的性能損耗；3)不同版本操作系統使用的系統調用指令不同，需要對多種系統調用指令分別進行針對性的開發，流程復雜。
技術實現思路
本專利技術所要解決的技術問題是提供一種監控虛擬機進程的系統和方法、一種過濾page fault異常的方法，在VMM中動態實時的配置系統調用監控策略，通過透明地修改虛擬機系統調用在系統調用表中對應的表項，根據需求攔截需要監控的系統調用以分析虛擬機進程行為。為解決上述技術問題，本專利技術采用的技術方案是：一種監控虛擬機進程的系統，包括攔截設置模塊、捕獲模塊、分析處理模塊、策略庫和終端；攔截設置模塊：讀取策略庫中系統調用監控策略，通過修改虛擬機系統調用表，完成對虛擬機系統調用攔截的配置；根據動態更新的系統調用監控策略，實時透明地配置虛擬機系統調用監控流程；接收完成配置虛擬機系統調用監控流程后的反饋信息，并寫入策略庫；捕獲模塊：捕獲虛擬機進程執行被攔截系統調用時產生的異常；利用VMI讀取虛擬機進程，執行被攔截系統調用的行為數據；將行為數據傳遞到分析處理模塊；分析處理模塊：接收捕獲模塊傳遞的虛擬機系統調用行為數據；讀取策略庫中系統調用監控策略對行為數據進行分析，判定是否為異常行為；分析完畢后，恢復虛擬機系統調用正常執行流程；策略庫：存儲系統調用監控策略，包括虛擬機系統調用攔截配置和虛擬機系統調用行為規則；為攔截設置模塊提供虛擬機系統調用攔截配置；為分析處理模塊提供虛擬機系統調用行為規則；實時動態地接收終端傳遞的系統調用監控策略；終端：實時動態接收系統調用監控策略，并更新策略庫。進一步的，還包括日志，所述日志接收并記錄分析處理模塊傳遞的虛擬機系統調用異常行為數據。一種監控虛擬機進程的方法，包括以下步驟：步驟1、在虛擬機啟動過程中，攔截設置模塊根據策略庫中的系統調用監控策略，讀取虛擬機系統調用表中相應表項的虛擬機系統調用處理程序地址，寫入策略庫后，隨后填充為唯一的非法地址；在虛擬機運行過程中，若策略庫中動態添加系統調用監控，攔截設置模塊讀取虛擬機系統調用表中相應表項的虛擬機系統調用處理程序地址，寫入策略庫后，填充為唯一的非法地址；在虛擬機運行過程中，若策略庫中動態取消系統調用的監控，攔截設置模塊讀取策略庫中對應的虛擬機系統調用處理程序地址，填充進入虛擬機系統調用表中對應的表項；步驟2、捕獲模塊捕獲虛擬機進程調用被監控系統調用產生的異常后，利用VMI讀取虛擬機進程系統調用行為數據，傳遞到分析處理模塊；虛擬機進程調用未被監控系統調用時，不會產生異常，按照正常執行流程執行對應的系統調用處理函數；步驟3、分析處理模塊接收捕獲模塊傳遞的系統調用行為數據，讀取策略庫中的系統調用監控策略，并根據系統調用監控策略分析系統調用行為數據；若當前虛擬機系統調用行為正常，直接恢復虛擬機系統調用執行流程；若當前虛擬機進程系統調用行為異常，則將系統調用行為數據寫入日志后，恢復虛擬機系統調用執行流程；步驟4：策略庫接收終端傳遞的配置信息；策略庫為分析處理模塊提供判斷虛擬機進程系統調用行為的行為規則；在虛擬機啟動過程中，策略庫為攔截設置模塊提供攔截虛擬機系統調用的配置信息；在虛擬機運行過程，策略庫為攔截設置模塊提供攔截虛擬機系統調用實時動態變化的配置信息，同時接收攔截設置模塊傳遞的虛擬機被攔截系統調用處理程序的原地址；步驟5：日志接收分析處理模塊傳遞的虛擬機進程系統調用異常行為數據；步驟6：終端用于動態實時地更新策略庫，包括增加規則、修改配置、刪除映射。進一步的，所述系統調用監控包含虛擬機系統調用攔截配置和虛擬機系統調用行為規則，其中：虛擬機系統調用攔截配置用于提供攔截虛擬機中所需監控系統調用的所需的配置信息；虛擬機系統調用行為規則用于提供判斷虛擬機系統調用行為是否異常的依據。進一步的，所述攔截設置模塊具體實施為：攔截設置模塊根據策略庫的系統調用監控策略，通過VMI方式動態實時地修改虛擬機系統調用表；在虛擬機啟動過程中，攔截設置模塊根據策略庫中的系統調用監控策略，修改虛擬機系統調用表中被監控系統調用對應的表項，將其填充為一個唯一的非法地址，并將表項中的系統調用處理程序原地址取出并寫入策略庫；在虛擬機運行過程中，攔截設置模塊根據策略庫中系統調用監控策略的更新，修改虛擬機系統調用表中相應的表項；若更新的策略是增加監控的系統調用，則修改虛擬機系統調用表中被監控系統調用對應的表項，將其填充為一個唯一的非法地址，并將表項中的系統調用處理程序原地址取出并寫入策略庫；若增加的變化是取消監控的系統調用，則讀取策略庫中對應的系統調用處理程序地址，填充到虛擬機系統調用表中對應的表項中；在虛擬機關機后，策略庫中保存的系統調用監控策略不變，作為下一次虛擬機啟動過程中默認的虛擬機系統調用監控策略。進一步的，所述捕獲模塊具體實施為：捕獲虛擬機進程調用被監控系統調用時產生的異常；捕獲異常后根據虛擬機EIP寄存器的唯本文檔來自技高網...

【技術保護點】
一種監控虛擬機進程的系統，其特征在于，包括攔截設置模塊、捕獲模塊、分析處理模塊、策略庫和終端；攔截設置模塊：讀取策略庫中系統調用監控策略，通過修改虛擬機系統調用表，完成對虛擬機系統調用攔截的配置；根據動態更新的系統調用監控策略，實時透明地配置虛擬機系統調用監控流程；接收完成配置虛擬機系統調用監控流程后的反饋信息，并寫入策略庫；捕獲模塊：捕獲虛擬機進程執行被攔截系統調用時產生的異常；利用VMI讀取虛擬機進程，執行被攔截系統調用的行為數據；將行為數據傳遞到分析處理模塊；分析處理模塊：接收捕獲模塊傳遞的虛擬機系統調用行為數據；讀取策略庫中系統調用監控策略對行為數據進行分析，判定是否為異常行為；分析完畢后，恢復虛擬機系統調用正常執行流程；策略庫：存儲系統調用監控策略，包括虛擬機系統調用攔截配置和虛擬機系統調用行為規則；為攔截設置模塊提供虛擬機系統調用攔截配置；為分析處理模塊提供虛擬機系統調用行為規則；實時動態地接收終端傳遞的系統調用監控策略；終端：實時動態接收系統調用監控策略，并更新策略庫。

【技術特征摘要】
1.一種監控虛擬機進程的系統，其特征在于，包括攔截設置模塊、捕獲模塊、分析處理模塊、策略庫和終端；攔截設置模塊：讀取策略庫中系統調用監控策略，通過修改虛擬機系統調用表，完成對虛擬機系統調用攔截的配置；根據動態更新的系統調用監控策略，實時透明地配置虛擬機系統調用監控流程；接收完成配置虛擬機系統調用監控流程后的反饋信息，并寫入策略庫；捕獲模塊：捕獲虛擬機進程執行被攔截系統調用時產生的異常；利用VMI讀取虛擬機進程，執行被攔截系統調用的行為數據；將行為數據傳遞到分析處理模塊；分析處理模塊：接收捕獲模塊傳遞的虛擬機系統調用行為數據；讀取策略庫中系統調用監控策略對行為數據進行分析，判定是否為異常行為；分析完畢后，恢復虛擬機系統調用正常執行流程；策略庫：存儲系統調用監控策略，包括虛擬機系統調用攔截配置和虛擬機系統調用行為規則；為攔截設置模塊提供虛擬機系統調用攔截配置；為分析處理模塊提供虛擬機系統調用行為規則；實時動態地接收終端傳遞的系統調用監控策略；終端：實時動態接收系統調用監控策略，并更新策略庫。2.如權利要求1所述的監控虛擬機進程的系統，其特征在于，還包括日志，所述日志接收并記錄分析處理模塊傳遞的虛擬機系統調用異常行為數據。3.一種監控虛擬機進程的方法，其特征在于，包括以下步驟：步驟1、在虛擬機啟動過程中，攔截設置模塊根據策略庫中的系統調用監控策略，讀取虛擬機系統調用表中相應表項的虛擬機系統調用處理程序地址，寫入策略庫后，隨后填充為唯一的非法地址；在虛擬機運行過程中，若策略庫中動態添加系統調用監控，攔截設置模塊讀取虛擬機系統調用表中相應表項的虛擬機系統調用處理程序地址，寫入策略庫后，填充為唯一的非法地址；在虛擬機運行過程中，若策略庫中動態取消系統調用的監控，攔截設置模塊讀取策略庫中對應的虛擬機系統調用處理程序地址，填充進入虛擬機系統調用表中對應的表項；步驟2、捕獲模塊捕獲虛擬機進程調用被監控系統調用產生的異常后，利用VMI讀取虛擬機進程系統調用行為數據，傳遞到分析處理模塊；虛擬機進程調用未被監控系統調用時，不會產生異常，按照正常執行流程執行對應的系統調用處理函數；步驟3、分析處理模塊接收捕獲模塊傳遞的系統調用行為數據，讀取策略庫中的系統調用監控策略，并根據系統調用監控策略分析系統調用行為數據；若當前虛擬機系統調用行為正常，直接恢復虛擬機系統調用執行流程；若當前虛擬機進程系統調用行為異常，則將系統調用行為數據寫入日志后，恢復虛擬機系統調用執行流程；步驟4：策略庫接收終端傳遞的配置信息；策略庫為分析處理模塊提供判斷虛擬機進程系統調用行為的行為規則；在虛擬機啟動過程中，策略庫為攔截設置模塊提供攔截虛擬機系統調用的配置信息；在虛擬機運行過程，策略庫為攔截設置模塊提供攔截虛擬機系統調用實時動態變化的配置信息，同時接收攔截設置模塊傳遞的虛擬機被攔截系統調用處理程序的原地址；步驟5：日志接收分析處理模塊傳遞的虛擬機進程系統調用異常行為數據；步驟6：終端用于動態實時地更新策略庫，包括增加規則、修改配置、刪除映射。4.如權利要求3所述的監控虛擬機進程的方法，其特征在于，所述系統調用監控包含虛擬機系統調用攔截配置和虛擬機系統調用行為規則，其中：虛擬機系統調用攔截配置用于提供攔截虛擬機中所需監控系統調用的所需的配置信息；虛擬機系統調用行為規則用于提供判斷虛擬機系統調用行為是否異常的依據。5.如權利要求3所述的監控虛擬機進程的方法，其特征在于，所述攔截設置模塊具體實施為：攔截設置模塊根據策略庫的系統調用監控策略，通過VMI方式動態實時地修改虛擬機系統調用表；在虛擬機啟動過程中，攔截設置模塊...

【專利技術屬性】
技術研發人員：陳興蜀，趙成，金鑫，
申請(專利權)人：四川大學，
類型：發明
國別省市：四川;51