[发明专利]一种基于多EPT列表的监控方法和系统

权利要求书

1.一种基于多EPT列表的监控方法，包括，将不同需求的进程地址映射到不同的内核态地址中，复制一个修改的内核页表，在需要截获的进程在执行系统调用时，在所述复制的内核页表中进行寻址，而不需要的进程则使用原始的内核页表。

2.如权利要求1所述的方法，其特征在于，所述多EPT列表中存储不同的EPTP，使虚拟机监控器可以有选择地对进程的系统调用进行截获。

3.如权利要求2所述的方法，其特征在于，所述EPT列表的切换过程为以下步骤：S1，读取寄存器EAX值，如果EAX寄存器的值为N，如果VM-functions control字段的bit N为0，则产生VM-exit，如果EAX寄存器提供VM功能号0，表明调用“EPTP switching”功能，进入步骤S2；S2，读取寄存器ECX的值，如果ECX的值大于511，则产生VM-exit，否则，可以获得EPTP的值，进入S3；S3，判断EPTP值是否有效，如果无效，产生VM-exit，如果有效，则调用服务器例程，进行EPT列表的切换。

4.如权利要求3所述的方法，检查ETPT有效的标准为当使用EPTP switching功能时，要检查处理器控制字段中的secondary processor-based VM-execution control字段，其中“enable VM functions”字段必须为1，并且保留位为0；VM-function control字段的“EPTP switching”为1，并且在EPTP-list address字段里提供4K页面物理地址，地址值的第1至0位必须为0，并且宽度不能超过预设值。

5.一种基于多EPT列表的监控系统，所述系统利用KVM使宿主机本身成为一个虚拟机监视器，进行EPT页表的映射，将从客户机虚拟地址到宿主机物理地址的转换，在转换的过程中将同一个内核地址映射到不同的物理地址。

6.如权利要求5所述的系统，其特征在于，所述同一个内核地址映射到不同的物理地址被设置在虚拟机监控器中的钩子函数截获，通过安全应用进行监控与分析。

7.如权利要求6所述的系统，其工作流程包括以下几步：步骤1，在需要监控的内核代码处写入断点函数，将EPTP-list表项在内存中写入，并部署好安全监控工具；

步骤2，启动安全工具，在客户机中测试需要被监控的系统调用函数:，提前定义好应用的可信程度；

步骤3，对于可信应用，则调用服务器例程令切换到没有设置截获函数的内核地址对应的EPTP值；对于不可信应用，则切换到设置了截获函数的内核地址对应的EPTP值；

步骤4，截获系统调用后，使用安全工具对该系统调用进行分析，从而判断下一步操作为中断还是继续执行。