[发明专利]一种基于内存在线解析的虚拟机无代理监控方法及装置

说明书

技术领域

本发明属于云计算服务器管理技术领域，具体是一种基于内存在线解析的虚拟机无代理监控方法及装置。

背景技术

随着云计算的深入发展及应用，针对虚拟机的监控一直是技术难点和热点。虚拟机安全监控的技术实现方法可以分为两大类：外部监控和内部监控，两者差异在于内部监控需要在虚拟机内部署监控代理。开源OpenStack中的Ceilometer计量与监控服务，采用了外部监控的模式实现对虚拟机、物理服务器等资源的监控。知名云厂商如亚马逊AWS、国内阿里云等都提供虚拟机监控服务，采集的指标主要有CPU使用率、网络负载等常规指标，以及使用内部监控代理程序采集虚拟机内存使用率、交换空间、磁盘空间利用率、TCP连接数等。

上述虚拟机监控服务，一方面缺少在虚拟化层对虚拟机内部进程、驱动、内核等级别的深入监控能力；另一方面，由于被监控虚拟机内部必须安装相应的监控代理组件，还需进一步保证监控组件自身的安全性和可靠性。

中国专利申请201410252843.0，虚拟机监控方法及装置，公开了一种虚拟机监控方法，该方法借助于位于虚拟机内部的系统调用拦截模块，拦截操作系统内部的所有进程发起的系统调用请求，同时记录发起调用的进程信息。依据监控配置，如果发起系统调用的进程是需要监控的进程，就把系统调用的开始以及结束时间等信息记录下来，从而实现对虚拟机内部特定进程信息的详细监控。

上述方案严重依赖于虚拟机内部的系统调用拦截模块，在虚拟机内部存在恶意代码的情况下，无法保证对虚拟机内部特定进程监控的可靠性和安全性。

中国专利申请，201210587189.X，虚拟机监控方法和系统，该方法主要在虚拟机化层，对需要虚拟化层执行的特殊指令，插入监控断点，从而实现对虚拟机执行流程的拦截，从而获取虚拟机当前执行信息。

上述方案架构在指令的翻译阶段，强行插入特殊的监控指令，实现控制流的跳转，增加了虚拟机运行的开销，而且，在基于硬件虚拟化的平台上，特权指令由处理器提供支持，不需要翻译过程。

中国专利申请，200910077241.5，供一种计算机及异常进程的检测方法，该方法提出了一种利用当前运行的CPU寄存器以及段寄存器和KTHREAD等内核结构体，在VMM层获取进程标识等当前运行进程信息，同时依据该进程信息，进一步得到虚拟机内部的进程链表，从而获取虚拟机当前运行进程，判断被隐藏的异常进程。

上述方案中，在基于EPT/NPT硬件辅助虚拟化的虚拟化系统下，由于有硬件支持，虚拟机内部的进程切换并不会陷入到虚拟化平台，避免引起损失。所以，这种每次进程切换均陷入的方式会影响整理性能；另一方面，内核进程双向链表会被内核态恶意代码破坏，进而影响虚拟机当前实时运行进程列表的准确性。

发明内容

本发明针对上述不足，提出一种基于内存在线解析的虚拟机无代理监控方法，在虚拟化层，通过透明地在线解析虚拟机内存，实时地获取虚拟机当前真实运行时视图。

本发明的基于内存在线解析的虚拟机无代理监控方法，包括：

S1，在服务器中设置监控虚拟机，监控虚拟机接收用户输入的监控策略，并将监控策略进行存储；

S2，被监控虚拟机因正常退出事件陷入到虚拟化层时，虚拟机监视器根据监控策略对被监控虚拟机执行内存分析，将被监控虚拟机实时内存分析结果进行存储；

S3,监控虚拟机定时读取出分析结果，对用户进行多维展示。

进一步地，S1步中还包括：

S11，分配监控虚拟机共享内存；

S12，通过系统地址重映射，使应用层可以读取监控虚拟机共享内存中的存储信息；

S13，通过VMCALL指令使虚拟化层可以读取监控虚拟机共享内存中的存储信息。

进一步地，S2步中的虚拟机内存分析结果存储于监控虚拟机共享内存中，S3步中监控虚拟机定时读取出分析结果从监控虚拟机共享内存中读取。

进一步地，S3步中，监控虚拟机将被监控虚拟机实时内存分析结果先存入到分析结果存储模块中，再从分析结果存储模块中取出，对用户进行多维展示。

本发明还提出了一种基于内存在线解析的虚拟机无代理监控装置，包括：

设置于服务器内用于监控被监控虚拟机的监控虚拟机；和设置于虚拟化层的虚拟机监视器；

所述监控虚拟机设置用户监控策略管理模块，用于接收和下发用户输入端输入的监控策略；

所述监控虚拟机设置监控策略存储模块，用于存储用户输入端输入的监控策略；