[发明专利]一种基于完整性验证的净室实时监控方法

摘要

本发明公开了一种基于完整性验证的净室实时监控方法，通过对用户虚拟机的完整性检测和对用户程序的完整性验证，来保证虚拟机的安全。对用虚拟机的监控主要是监控虚拟机的进程、内核模块以及动态库的完整性，通过实时监测虚拟机的运行状态来保证虚拟机不被篡改，彻底的阻止了用户未经授权的行为,保证云计算环境下的用户虚拟机的安全运行，并且保护虚拟机中应用程序的安全。

主权项

1.一种基于完整性验证的净室实时监控方法，其特征在于，包括以下几个步骤：步骤1：在服务器上安装可信虚拟监视器，利用所述可信虚拟监视器提取服务器初始数据，并计算服务器初始数据的哈希值，将服务器初始数据的哈希值备份到服务器中的可信列表中；所述服务器初始数据包括服务器的系统文件和进程数据；所述系统文件包括文件类型、文件名和文件大小；进程数据包括该进程的进程名、线程数量和线程峰值数量；所述可信列表用于保存可信任的系统数据、可信任的虚拟机信息以及可信任的用户程序信息；步骤2：在可信虚拟监视器中安装虚拟机陷入程序，利用虚拟机陷入程序的sh_page_fault函数获得陷入可信虚拟监视器的虚拟机的进程、内核模块及动态库；所述虚拟机陷入程序的安装是通过将Vmx.c文件中的vmx_vmexit_handler函数的返回地址修改为非法地址完成；步骤3：在可信虚拟机中运行完整性测量代理，对步骤2获取的虚拟机完整性进行测量，如果虚拟机完整，则进入步骤4，否则，返回步骤2，等待虚拟机陷入程序获取陷入可信虚拟监视器的虚拟机；步骤4：计算步骤2所获取的虚拟机的进程、内核模块和动态库的哈希值，并与步骤1所述可信列表中的哈希值数据进行比对；若该虚拟机对应的哈希值存在于可信列表中，则continue函数修改guest_rip为原来的地址使虚拟机正常运行，进入步骤5，否则，调用kill函数终止虚拟机的运行，返回步骤2，等待虚拟机陷入程序获取陷入可信虚拟监视器的虚拟机；步骤5：在终端安装应用程序监视器，截获用户程序产生的系统调用，得到传递给系统调用的全部参数；步骤6：在终端运行完整性测量代理，对步骤5所获取程序的事件类型、事件参数、运行程序的指令计算哈希值；步骤7：使用netlink创建套接字将步骤6得到的哈希值数据发送到服务器，与服务器的可信列表中的哈希值进行比对；若步骤5截获的程序对应的哈希值存在于服务器的可信列表中，则调用continue函数继续用户进程执行，并允许用户进程进入步骤2所述虚拟机中运行，否则调用TerminateProcess函数终止程序的运行。