[发明专利]一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法

说明书

本发明一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法属于云安全领域；装置包括硬件为安全虚拟机、目标虚拟机和虚拟机管理层提供硬件基础，安全虚拟机包括监控框架，安全虚拟机与目标虚拟机通过虚拟机管理层交互，虚拟机管理层连接提取模块,提取模块通过页面执行信息分别连接学习模块和监控模块；方法包括监控开启；提取模块对目标虚拟机注入监控点从而让虚拟机管理层能够监听调用中的子函数，利用静态内存分析的方法和动态跟踪，再次进行静态分析得到其后的子函数地址进行监听，循环执行，直到系统调用返回；通过三种学习方法对执行信息进行建模；从而检测内核控制流的完整性，防止被攻击者检测到甚至于攻破。

技术领域

本发明一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法属于云安全领域。

背景技术

在云计算蓬勃发展的现今，其安全问题必须得到重视。在云计算基础设施和服务中，提供于用户的服务核心作为虚拟机形式而存在，无论个人用户还是企业级服务器用户，其最终呈现形式都是位于云计算提供商主机集群内的一个或多个虚拟机。而内核控制流的完整性对于虚拟机的安全十分重要，如果虚拟机的内核遭到破坏，那么整个云平台的安全都可能受到威胁。因此，检测虚拟机的内核控制流完整性对于云计算十分重要。

目前控制流检测技术主要分为静态内存分析和动态跟踪方法。静态内存分析是分析内存中的代码和指针，检查是否有问题。但是，静态分析方法丧失了动态执行的信息，导致分析不够全面，可能存在漏报。而动态跟踪方法则是跟踪内核或者程序的执行过程收集执行信息，从而分析控制流的完整性。但是，目前基于动态跟踪的方法往往基于指令级跟踪或者跳转级跟踪使性能下降严重，无法应用于云计算当中。

而且，传统的控制流检测方法往往作为一个模块运行于操作系统中，或者作为一个进程运行于用户空间，但是这种方案可能被攻击者检测到甚至于攻破。随着虚拟化的发展，虚拟机自省技术(VMI)为虚拟机监控提供一种安全隐蔽的方案。在VMI架构中，监控程序不是运行于目标中，而是运行于VMM层或者安全虚拟机中。由于云计算中VMM层具有最高特权，且VMM与虚拟机以及各虚拟机之间都具有很强的隔离性。因此VMI的监控手段更加适合于云计算。

发明内容

针对上述问题，本发明的目的在于提供一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法。

本发明的目的是这样实现的：

一种基于虚拟机自省函数级虚拟机内核动态检测系统，包括安全虚拟机、目标虚拟机、虚拟机管理层和硬件；所述硬件为安全虚拟机、目标虚拟机和虚拟机管理层提供硬件基础，所述安全虚拟机包括监控框架，所述监控框架包括提取模块、学习模块和监控模块；所述安全虚拟机与目标虚拟机通过虚拟机管理层交互，利用VMI技术，所述安全虚拟机通过虚拟机管理层对目标虚拟机中想要处理的部分进行操控，目标虚拟机也能够通过虚拟机管理层接收在安全虚拟机中所关注的目标对象的状态数值和变化事件，所述虚拟机管理层连接提取模块,所述提取模块通过页面执行信息分别连接学习模块和监控模块，所述学习模块通过控制流模型连接监控模块，所述监控模块通过控制流模型反向连接学习模块；

提取模块、用于将目标虚拟机内核中的控制流进行显式的处理并采集过程中生成的相关数据，承担与虚拟机管理层进行交互的全部工作；

学习模块、用于将假设前提下的正常内核产生的控制流数据作为合法控制流数据，按照提供的学习方法进行处理，将学习结果添加至合法数据库中，将所述数据库作为安全标准提供安全技术；

监控模块、用于将假设前提下无法判断是否正常的内核中的控制流数据作为待检测对象，按照指定的检测方法处理所述控制流数据，判断是否合法。

基于所述基于虚拟机自省函数级虚拟机内核动态检测系统实现的检测方法，包括以下步骤：

步骤a、监控开启；