[发明专利]一种基于Xen的主动防御方法

摘要

一种基于虚拟机Xen的主动防御方法，该方法首先使用Xen为用户生成一个虚拟机，使用户所有的操作都在虚拟机中，同时系统将传统的需要安装在虚拟机内部的安全程序剥离出并置于虚拟机外部，使得安全程序核心模块对恶意程序不可见，另外通过在用户虚拟机内部设置前端驱动，使得在虚拟机外部的安全模块可以扫描并干预虚拟机内部操作，同时由虚拟机监视器层的内存保护模块对前端驱动进行保护，防止恶意程序攻击前端驱动。本发明由于核心组件置于虚拟机外部，对恶意程序不可见，从而提供较传统类安全程序部署方法更高的安全性，另通过引入基于准虚拟化输前后/端驱动通讯方式，大大降低了由虚拟化带来的系统开销，使得该方法具有很高的实用价值。

主权项

一种基于Xen的主动防御方法，其特征在于：利用Xen生成用户虚拟机为用户使用，同时通过在特权虚拟机中设置后端驱动，在用户虚拟机中设置前端驱动，通过前后端驱动的通讯来获取用户虚拟机中信息，并对用户虚拟机中的行为进行控制，同时在虚拟机监视器层实现对用户虚拟机中前端驱动的字节级内存写保护，前后端驱动通讯使用准虚拟化通讯方式；前端驱动运行在用户虚拟机中，实现为一个虚拟外设部件互连PCI设备驱动，随系统启动自动初始化，前端驱动包括两个功能：首先是截获系统调用，使用钩挂SSDT表并设置跳转代码的方式来实现；截获的信息将被发送到后端驱动，由决策模块进行判断；后端驱动被实现为一个内核模块，有两个功能：与前端驱动通信获取截获的系统信息和相关数据，然后将这些数据传递给用户态的决策模块，决策模块做出判断后，将结果发送给前端驱动；另外在还需要在前端驱动初始化钩子及跳转代码后，通知虚拟机监视器中的内存保护模块保护相应的内存地址范围；前端驱动与后端驱动通信时，采用了准虚拟化的通信方式；要求用户虚拟机内部组件明确知道内部组件处于虚拟机中，并移植分离式驱动模型用到的Xen机制的代码，包括超级调用Hypercall、事件通道、Xenstore、授权表Grant table；其中Xenstore是Xen提供的用于初始化设备的共享存储区域，用于在用户虚拟机启动时读取特权虚拟机提供的设备初始化信息，前端驱动初始化时也使用Xenstore与后端驱动建立连接，之后通过事件通道和I/O环与后端驱动进行通信；前端驱动截获系统信息后，使用超级调用向虚拟机监视器请求放弃调度，等待决策模块进行决策；I/O环是在Xen共享内存机制上实现的为分离式驱动交换数据的结构，分为两种：固定槽大小的I/O环，由网络、存储设备所使用；可变槽大小的I/O环，由Xenstore所使用；需要传输的数据有两种：文件信息及其HASH值；和需要被扫描的文件，对这些信息采用统一固定大小槽的I/O环，并用一个标志位来区分数据类型；当后端驱动初始化时，它分配一个未绑定的事件通道，并初始化I/O环，将事件通道端口号和环地址写入Xenstore；前端驱动通过Xenstore读取这些信息，绑定该事件通道，并映射环地址，并使用超级调用通知虚拟机监视器通知该虚拟域时应该使用的中断号，同时分配为此中断注册一个处理函数；在虚拟机监视器层实现字节级内存写保护模块，对前端驱动进行字节级写保护；首先记录下需要保护的内存地址范围，中文影子页表SPT初始时是空表，随着系统运行逐渐建立，在为一个页面生成SPT的过程中，检测用户虚拟机页表GPT中的这页是否包含需要保护的内存地址，如果是，则将该页在SPT中标记为只读，这样就实现了页级写保护，但是一个页面中并不是所有字节都是需要保护的，这时如果发生一个写异常，就需要在处理函数中进一步检查引起该异常的语句中写入的地址是否是要保护的地址，将CPU的CR2寄存器中储存的引起异常的地址与被保护地址进行比较，如果是则向用户虚拟机返回一个页异常，否则需要模拟该写操作。