[发明专利]一种虚拟机进程代码的无代理分页式度量系统和方法

权利要求书

1.一种虚拟机进程代码的无代理分页式度量系统,其特征在于，包括捕获模块、度量模块、基值库、对比模块和日志；

捕获模块在Hypervisor层设置度量点，捕获虚拟机中发生的系统事件；捕获到系统事件后，采用VMI技术进行语义重构，获取虚拟机当前执行进程的进程信息，并将进程信息传递到度量模块；

度量模块接收捕获模块传递的虚拟机进程信息，以虚拟机物理页大小为单位，将虚拟机进程代码划分为多个代码页，生成每个代码页的页信息；根据页信息，判断代码页是否被加载进入虚拟机物理内存中：若被加载入虚拟机物理内存中，则度量此代码页，生成代码页度量信息；若未被加载入虚拟机物理内存中，则忽略此代码页的度量；并将生成代码页度量信息传递到对比模块；

基值库为存储所有的虚拟机进程代码页的度量基值信息的列表；

对比模块接收度量模块传递的度量信息，读取基值库中的基值信息；将度量信息与基值信息进行对比，并将对比信息写入日志中；

日志用于接收并记录对比模块传送的对比信息。

2.根据权利要求1所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述度量点为触发Hypervisor层度量过程的虚拟机系统事件。

3.根据权利要求1或2所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述系统事件为虚拟机系统中引发虚拟机退出事件的系统行为，包括进程系统调用、进程切换、缺页异常。

4.根据权利要求1所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述进程信息为Hypervisor度量虚拟机进程代码所需的基本信息，包括虚拟机进程名称、虚拟机进程代码起始地址、虚拟机进程代码长度；所述虚拟机进程代码起始地址是被度量虚拟机进程代码的虚拟地址。

5.根据权利要求1所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述页信息为Hypervisor度量虚拟机进程代码页所需的基本信息，包括虚拟机进程名称、页编号、页起始地址和页长度；所述页起始地址是虚拟机进程代码页的虚拟地址。

6.根据权利要求1所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述度量信息为对比模块执行对比过程所需的基本信息，包括虚拟机进程名称、代码页编号、代码页度量值和代码页长度。

7.根据权利要求1所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述基值信息为代码页在正常状态下的可信度量信息，可信度量信息包括进程名、代码页编号和代码页度量值。

8.根据权利要求1所述的虚拟机进程代码的无代理分页式度量系统，其特征在于，所述对比信息为虚拟机进程代码页度量值与虚拟机进程代码页基值信息的对比结果，包括进程名、代码页编号、度量值、基值、对比结果、对比时间。

9.一种虚拟机进程代码的无代理分页式度量方法，其特征在于，包括以下步骤：

A：在虚拟机运行过程中，进程通过系统调用陷入指令访问内核系统调用处理程序；

B：虚拟机在调用系统调用陷入指令访问内核系统调用处理程序时，产生虚拟机退出事件；

C：捕获模块捕获虚拟机中产生的虚拟机退出事件，并通过VMI技术重构虚拟机进程语义信息，再传递到度量模块；

D：度量模块接收到虚拟机进程信息后，根据虚拟机进程代码起始地址和虚拟机进程代码长度，以虚拟机物理页大小划分多个代码页，并生成页信息；再根据页信息中的虚拟机进程代码页编号和虚拟机进程代码页起始地址，访问虚拟机物理内存判断代码页是否被加载；若被加载，则对代码页进行度量，生成度量信息传递到对比模块；若未被加载，则忽略此代码页的度量过程；

E：对比模块对比接收到的度量信息和从基值库中读取的基值信息，并将对比信息传递到日志中；恢复虚拟机系统调用处理程序的执行；

F：系统调用处理程序在虚拟机内核中按照正常流程继续执行，执行完毕后调用系统调用退出指令恢复进程的正常运行。