[发明专利]一种基于虚拟化的高可用系统设计方法

说明书

本发明公开了一种基于虚拟化的高可用系统设计方法，基于虚拟化技术，实现内核关键数据结构的保护策略，主要依赖于影子页表管理机制和超调用机制，以及异常处理逻辑保证正确有效执行；提出了基于客户机异常处理的高可用系统，该系统的整体系统框架主要由用户操作模块和内核模块两类模块组成。所述高可用系统设计方法，基于虚拟化技术利用客户机的降权执行和资源管理手段，对内核关键数据结构进行保护，防止恶意程序通过篡改内核关键数据从而获得控制权限的过程，有效地提高操作系统内核的可用性，有效地防止rootkit的攻击，性能损耗小，不依赖硬件架构，对应用程序和用户透明。

技术领域

本发明涉及高可用系统设计领域，具体涉及一种基于虚拟化的高可用系统设计方法。

背景技术

操作系统安全性是影响内核可用性的一个方面，通过修改内核关键数据结构来获得控制权限的攻击方式成为目前Rootkit工具的主要手段之一。操作系统内核的可用性决定了系统整体可用性，而安全性是影响可用性的其中一个方面。在Linux内核提供可加载模块机制后(LKM),在给内核提供可扩展性的同时，带来了一定的安全隐患。在Linux 内核中Rookit 通常基于以下系统特性：

1) SUID/SGID : 利用suid 可以获得root用户权限来执行suid shell；；

2)系统中运行的大量守护进程(daemon)，通常是rootkit攻击的入口(entry)；

3) 获得root权限进而通过LKM机制来进入内核，破坏系统以及获得系统关键信息。

通常典型的Rookit利用守护进程的漏洞，例如perl5.03的缓冲区溢出，获得root权限，进而恶意攻击程序可以利用可加载模块的机制，注入Linux内核，修改关键数据结构或者函数指针，从而达到利用后门程序进行攻击的目的。传统的检测恢复机制存在以下两方面的缺点：第一，恢复可用手段依赖于检测，也就是无法阻止破坏事件的发生。可能在恢复之前，系统遭受了一定程度影响；第二，检测和恢复线程带来了一定的时间开销，降低了系统性能。分析只能检测以及恢复的根本原因，在于侵入到系统的可加载模块，具有内核其它部分相同的执行权限，因而系统对已经加入到内核的可加载模块，不能阻止它执行动作，所以只能依赖于检测-恢复的策略，以确保对系统关键代码和数据的保护。

而基于虚拟化技术，能给这方面的问题带来另外的解决办法，因为虚拟化中确保客户机正确执行的基本策略就是降权执行，并且虚拟机管理器具有完全的资源控制权限，通过客户机和管理器的异常触发和注入手段来保证相互之间的交互，从而确保了客户机的正确执行。

发明内容

针对现有技术存在的不足之处，本发明提供了一种基于虚拟化的高可用系统技术的设计和实现方法。

本发明提供了一种基于虚拟化的高可用系统设计方法，其解决所述技术问题采用的技术方案如下：所述基于虚拟化的高可用系统设计方法提出了一种高可用系统，该系统基于虚拟化技术，利用客户机的降权执行和资源管理手段，对内核关键数据结构进行保护，防止恶意程序通过篡改内核关键数据从而获得控制权限的过程；

所述基于虚拟化的高可用系统设计方法，基于虚拟化的高可用技术，实现内核关键数据结构的保护策略，主要依赖于影子页表管理机制和超调用机制，以及异常处理逻辑保证正确有效执行；通过客户机获得内核关键数据的地址和域信息，扩展VMCALL异常处理方式，设计超调用机制，客户机通过超调用机制与宿主机交换数据，内核模块获得需要保护的数据相关信息；并设置对应影子页表的写保护权限；扩充缺页异常处理程序，确保保护数据不被更改的同时，对其它部门的修改无影响，保证客户机正常有序的执行。

本发明基于虚拟化的高可用系统设计方法中，提出的高可用系统是基于客户机异常处理的高可用系统，该系统的整体系统框架主要由两类模块组成，分别是：用户操作模块和内核模块；其中，内核模块又包含初始化模块、可用性处理模块、注册库、异常处理模块、日志记录模块及扩充的KVM异常处理模块。