[发明专利]基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法

说明书

技术领域

本发明涉及计算机虚拟化技术领域，更进一步涉及Linux内核相关领域以及系统安全领域。本发明可用于客户操作系统为Linux或者类Unix的操作系统的Xen硬件虚拟化平台上，实现在domO中对硬件虚拟化客户操作系统的磁盘文件操作的实时监控，为运行在虚拟化平台上的操作系统和整个虚拟化平台的磁盘文件提供安全保障。

背景技术

计算机世界里，“虚拟化”无处不在。Xen是剑桥大学教授Ian Pratt等发起的一个开源的虚拟机项目，由于其优越的性能和开源性，所以被业界广泛看好，被认为是未来最有前途的虚拟化解决方案之一。Xen的安全问题也自然成为了人们关注的焦点，具体方面主要有基于Xen虚拟化的入侵检测，Xen的内存自省，Xen的磁盘文件监控。其中磁盘文件的安全对于虚拟机安全至关重要，一个虚拟机的虚拟磁盘上的数据被篡改，会破坏文件系统的完整性，甚至导致整个操作系统崩溃。如果一个虚拟磁盘上的共享文件数据被篡改，就严重破坏了各个客户操作系统之间的隔离性，威胁会波及到更多的客户操作系统。因此，在虚拟化平台上，保证各个虚拟的客户操作系统中的磁盘文件安全具有重要意义。

现有的基于Xen虚拟化平台的磁盘文件监控技术比较多，典型的有File-system integrity tools、Xen-RIM for Xen virtual machines、XenAccess等。这些典型的监控技术或者监控工具分别存在这样的不足：File-system integrity tools的实施部署依赖于入侵检测工具，入侵检测工具的数据库必须定时更新这一事实使得实时监控成为了不可能，其本身不能够实时的监控磁盘操作和文件操作，并且缺少必要的日志信息。Xen-RIM for Xen virtual machines使用LSM(Linux安全模块框架，是Linux内核的一部分)具有软件依赖性。XenAccess提供了监控磁盘操作的结构，但其功能单一，只能监控文件的创建和删除。随着虚拟化技术的发展和文件系统安全攻击的层出不穷，对文件操作监控提出了更高的要求：为了具有广泛的适用性，不要修改Xen；为了做出精确的分析，需要对文件操作细粒度的监控并获取尽可能丰富的信息；为了避免监控的滞后，实时监控是必要的。现有的监控技术不能同时满足上述要求。

发明内容

本发明在分析总结了现有基于Xen虚拟化平台的磁盘文件监控技术的缺点的基础上，针对虚拟化技术和系统安全的发展对文件系统安全提出的许多新的需求，提供一种实时，细粒度，实用性强的硬件虚拟化平台的磁盘文件监控系统，以及监控方法。

本发明所涉及的基于Xen硬件虚拟化的磁盘文件操作监控系统是基于Xen的硬件虚拟化平台，客户操作系统为Linux或者类Unix。具体包括4个模块：操作监控模块、信息发送模块、监听模块、安全模块。

监控模块部署在domU，实时监控domU中所有涉及改变磁盘文件内容及属性的操作并产生监控信息，通过信息发送模块发送给domO的监听模块，由监听模块记录相关信息；安全模块保证信息发送模块和监控模块运行时的安全，若受到攻击，向domO的监控者报警。

所述监控模块不需要修改Xen Hypervisor，domO和客户操作系统，以可装载模块的形式实现，无需编译内核，能够实时监控，只监控涉及改变磁盘文件内容及属性的操作，获取详细的行为信息；

所述信息发送模块和监听模块采用XenSocket机制实现domO和domU之间通信，XenSocket内部利用了Xen的共享内存机制，信息发送模块部署在domU的内核态以提高安全性，监听模块部署在domO的用户空间，类似于socket的客户端和服务端；

所述安全模块，不需要修改Xen Hypervisor，能够检测到监控模块和信息发送模块在运行时受到的恶意代码攻击；安全模块部署在的全级别较高的domO以避免自身受到攻击的威胁。

本发明应用上述系统实现基于Xen硬件虚拟化磁盘文件操作监控的方法，其过程如下：

(1)截获并替换客户操作系统中磁盘文件操作系统调用

1a)获取系统调用表地址；

1b)修改crO寄存器的系统调用表可写权限位，使系统调用表可写；

1c)确定替换系统调用的范围；

1d)编写新的系统调用替换原有系统调用，查询对应的系统调用号，修改相应的函数指针为新的函数。

(2)确定被监控文件的类型

2a)通过当前进程结构体struct task和文件描述符获取文件的struct file结构；