[发明专利]一种虚拟机进程代码的无代理分页式度量系统和方法

说明书

本发明公开一种虚拟机进程代码的无代理分页式度量系统和方法，系统包括捕获模块、度量模块、对比模块、基值库和日志；捕获模块设置度量点，捕获虚拟机中发生的系统事件，采用VMI技术重构虚拟机当前执行进程的进程信息；度量模块根据进程信息，将虚拟机进程代码按照虚拟机物理页大小进行划分，为每个页生成页信息，并根据页信息度量被加载进入虚拟机物理内存的代码页，生成度量信息；对比模块根据代码页的度量信息，结合基值库中的基值进行对比，分析其完整性，并将对比信息写入日志；基值库中存储代码页的基值信息；日志记录代码页度量过程的对比信息。本发明解决了虚拟机动态分配内存方式导致Hypervisor无法度量完整虚拟机进程代码的问题。

技术领域

本发明涉及虚拟机安全监控技术领域，具体涉及一种虚拟机进程代码的无代理分页式度量系统和方法。

背景技术

虚拟化技术是云计算平台的核心技术之一，随着云计算服务的大量应用，云计算平台中的安全成为关注焦点。一般情况下，部署在云上的关键业务需要长时间运行，为用户提供服务，而业务的安全性、稳定性和可用性则是保证服务质量的关键需求。一方面，虚拟机操作系统作为关键业务的载体，存在不同程度的安全缺陷，如系统配置、代码漏洞等；另一方面，关键业务自身代码也存在漏洞等。恶意软件可以利用操作系统和业务系统的漏洞修改关键业务代码，以伪装自身存在、窃取敏感数据等，严重威胁关键业务的稳定运行。因此，尽早发现针对关键业务的篡改，有必要对虚拟机进程代码完整性进度量。

现代操作系统一般采用分页机制实现内存管理，为用户态进程分配连续的逻辑地址空间，但以物理页为单位，采用按需分配的方式动态分配物理内存，只加载需要立即访问的代码或数据。完整性验证流程一般包括度量和验证两个部分：度量部分负责收集系统内部信息并发送到验证部分；验证部分负责保存原始基值，并与接收的度量信息进行比较以验证完整性。在云环境下针对虚拟机系统进行度量的方法中，根据度量部分的部署位置，可以分为两类：一类是将度量部分部署在虚拟机中；另一类是将度量部分部署在Hypervisor中。

第一类方法可以获取丰富的虚拟机系统信息，但存在缺陷：1）依赖目标虚拟机版本，通用性不强；2）易受虚拟机内部恶意软件的攻击，需要Hypervisor提供额外的防护措施，增加了系统的复杂性。第二类方法利用Hypervisor具有的高特权级和隔离性，避免度量部分受到来自虚拟机的恶意攻击，但同时也面临挑战：虚拟机为内部进程动态分配物理内存并加载代码或数据，处于Hypervisor的度量部分难以完整地获取虚拟机进程代码或数据并对其进行完整性验证。

发明内容

针对上述问题，本发明的目的在于提供一种能够对虚拟机进程完整性进行度量的虚拟机进程代码的无代理分页式度量系统和方法，以解决虚拟机动态分配内存方式导致Hypervisor无法度量完整虚拟机进程代码段的问题。技术方案如下：

一种虚拟机进程代码的无代理分页式度量系统,包括捕获模块、度量模块、基值库、对比模块和日志；

捕获模块在Hypervisor层设置度量点，捕获虚拟机中发生的系统事件；捕获到系统事件后，采用VMI（Virtual Machine Introspection虚拟机内省）技术进行语义重构，获取虚拟机当前执行进程的进程信息，并将进程信息传递到度量模块；

度量模块接收捕获模块传递的虚拟机进程信息，以虚拟机物理页大小为单位，将虚拟机进程代码段划分为多个代码页，生成每个代码页的页信息；根据页信息，判断代码页是否被加载进入虚拟机物理内存中：若被加载入虚拟机物理内存中，则度量此代码页，生成代码页度量信息；若未被加载入虚拟机物理内存中，则忽略此代码页的度量；并将生成代码页度量信息传递到对比模块；

基值库为存储所有的虚拟机进程代码页的度量基值信息的列表；

对比模块接收度量模块传递的度量信息，读取基值库中的基值信息；将度量信息与基值信息进行对比，并将对比信息写入日志中；