[发明专利]一种基于多EPT列表的监控方法和系统

说明书

技术领域

本发明属于虚拟化监控领域，具体涉及一种基于多EPT列表的监控方法和系统。

背景技术

云计算如今广泛应用于处理海量数据和复杂计算的需求，以服务的形式为用户提供各种需求下的计算资源，越来越多的人们开始在云端存储、处理数据，这对云端数据的安全性提出了更高的要求。虚拟化技术作为云计算的支撑技术，也随着云计算的广泛应用而受到了极大的重视，但是在云平台尤其是公有云平台中，同一台虚拟机会为很多用户提供服务，如果虚拟机有了安全漏洞并被攻破，这个漏洞会很快传递开来，影响当前甚至后续用户的使用。另外，虚拟机分布于多台物理机中，如果不具有隔离性，会导致这种漏洞的传递更加容易。虚拟机监控器提供了客户机系统之间的强隔离性，保证了恶意软件无法影响部署在其之外的安全工具。

传统的虚拟机监控器部署在虚拟机内部，一些新型的恶意软件会对安全监控器进行攻击，并且部署在虚拟机内部的安全监控器需要在客户操作系统中插入内核模块，透明性较差，对于不同的虚拟机，也不具有通用性。如今比较常用的虚拟机自省方法，是将监控系统完全置于被监控虚拟机外部，通过虚拟机监视器的高控制权来完成关键事件或关键内核数据结构的监控，外部监控通过在指令中设置断点，当执行到该断点时，调用相应的监控函数，执行完监控函数后才能继续执行原来的指令。但是这种方法，系统调用在执行到同一个指令时，每次都需要中断去执行监控函数，对虚拟机的指令执行效率影响较大。

发明内容

本发明公开一种基于多EPT列表的监控方法和系统，其对不同应用需要对同样的内核代码做不同的探针，通过写时拷贝的方法复制出一个做了修改的内核页表，对于需要截获的进程在执行系统调用时，在所述修改的内核页表中进行寻址，而不需要的进程则使用原始的内核页表，很好地隔离了进程，可以对进程做一些特殊的处理而不会影响到其他进程。

附图说明

图1为现有技术中虚拟机监控自省方法。

图2为本发明中客户页表和EPT页表的操作关系。

图3为本发明中基于多EPT的虚拟机监控步骤

图4为本发明中的系统调用过程。

图5为本发明中监控系统的整体架构图。

图6为本发明中监控系统的处理过程。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

图1展示了现有技术中虚拟机监控自省方法，当app1与app2在内核执行同一个系统调用时，由于所有进程共享内核空间，因此它们会被映射到同一个物理地址，安全工具为了监控该系统调用，会设置钩子函数将其截获，进程会发生VM-Exit中断，进入安全监控，使用安全分析代码进行分析，分析完成VM-Entry后才能继续执行。所述VM-Exit和VM-Entry是很耗时的过程，如果我们对每一个使用了这个系统调用的应用都进行该监控过程，则会对系统性能造成较大影响，严重影响虚拟机的效率。

本发明基于多EPT列表的监控方法将不同需求的进程地址映射到不同的内核态地址中。如内核工作队进程，每隔一段时间会将数据存入磁盘，但是有的应用想要获得写入磁盘的数据量，有的应用需要知道写入磁盘的时间，由于针对不同应用需要对同样的内核代码做不同的探针，因此可以通过写时拷贝的方法复制出一个做了修改的内核页表，例如在不同位置加入探针，从而在需要截获的进程在执行系统调用时，在所述修改的内核页表中进行寻址，而不需要的进程则使用原始的内核页表。此种方法很好地隔离了进程，可以对进程做一些特殊的处理而不会影响其他进程。

本发明中采用多EPT列表，其中存储不同的EPTP，因此对于同一个内核系统调用，可以映射到不同的物理地址，使虚拟机监控器可以有选择地对进程的系统调用进行截获。