[发明专利]一种基于虚拟机自省的服务器取证方法

说明书

本发明提供了一种基于虚拟机自省的服务器取证方法，在保证云租户隐私性的前提下，快速分析虚拟机的内部信息和状态，能够在租户的虚拟机受到侵害时，满足云计算平台对租户虚拟机取证分析的准确性、快捷性需求。本发明辅助在云计算平台的虚拟化环境背景下服务器内虚拟机快速、可靠的取证，在云服务使用者发觉自己的虚拟机有异常时，通知云服务提供商并提出取证分析的要求。

技术领域

本发明涉及信息技术领域，特别地，涉及一种基于虚拟机自省的服务器取证方法。

背景技术

随着云计算技术的飞速发展，信息产业已经进入了“云时代”。面对入侵和攻击如此平凡的网络环境，在云服务使用者遭受攻击或云服务使用者发觉自己的系统异常时，云服务提供商能够对其系统情况进行分析取证成为云计算安全领域亟待解决的问题。由于云计算自身的特点，其底层的设备对用户来说是透明的，因此云计算平台的安全性是云服务用户最关心的问题。云服务使用者对安全性的要求高，云服务提供商除了部署相应的安全设备抵御各种攻击之外，还应该在其用户的系统遭受入侵和破坏之后，提供详细的取证分析结果。

在云计算平台中，对硬件资源的虚拟化技术是整个平台的基础所在。由于云计算平台中对用户的隐私性和隔离性要求都比较高。因此，在取证分析过程中有一些特殊的要求，主要表现在以下几个方面：

1.多样性：在当今时代，云计算技术越来越广泛地应用在关键的行业和领域，不同的行业和领域所选择的云服务提供商不同，而不同的云服务提供商在其拥有的底层硬件资源上所采用的虚拟化技术也可能不同。而用户在使用过程中，会根据自己的需求配置对应的虚拟机。在众多可能的匹配下，需要取证的虚拟机类型会有非常多的可能性。

2.准确性：由于云计算平台对云服务使用者提供服务时，需要具有非常高的隐私性要求，在云服务使用者在使用云计算平台的资源时，云计算提供商没有资格查看用户虚拟机中的具体信息。因此，对受损用户虚拟机进行取证时，云计算提供商通常只能获取到诸如内存转储文件等抽象的数据。数据的抽象性增加了解读它的困难，取证分析需要在抽象数据和有用信息之间架起桥梁。

3.快捷性：由于云服务提供商可以在其云计算平台上对数量众多的云计算使用者提供计算或存储服务，而每个云计算使用者可以根据自身需求同时购买若干虚拟机实例。在这样的情况下，一个用户便有可能产生大量的取证分析需求，而不同云计算平台上的众多用户所产生的取证分析需求的规模则会变得非常庞大。因此，取证分析系统必须具有快速进行虚拟机取证分析的能力，使得取证分析系统在实际情况中能够发挥其重要的功能。

为了解决实际虚拟化环境中虚拟机检测的业务需求，全世界的科研、工程人员经过过年研究和探索，发展出了许多虚拟机检测方法。这些方法可以归结为两大类：ExplicitInformation Introspection和Implicit Information Introspection。