本发明专利技术涉及一种基于虚拟化技术的云平台客户机系统可用性提升方法。该方法包括:1)在虚拟化监控层对客户机的可疑进程的行为进行捕获;2)根据可疑进程与其它进程的行为交互形成进程间的依赖关系;3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报则杀死可疑进程及与其存在依赖关系的进程;若为虚报则释放受控制的可疑进程及与其存在依赖关系的进程,使其继续正常运行。本发明专利技术能够在安全防护工具发生误报时确保客户机持续不断地运行,不用进行回滚、暂停、重启等操作,并维护客户机系统应有的状态。
【技术实现步骤摘要】
一种基于虚拟化技术的云平台客户机系统可用性提升方法
本专利技术属于虚拟化及系统安全
,涉及基于虚拟化技术的云平台客户机系统可用性提升方法,尤其涉及一种针对安全工具误报带来的系统可用性影响问题的提升云平台客户机系统可用性的方法。
技术介绍
随着虚拟化技术的不断发展,云计算应用越来越广泛。解决面向云平台的安全问题、保障使用云服务的客户机系统安全成为云服务的重要需求之一。国内外已有一些基于虚拟化技术或操作系统的安全防护技术方案,主要包括实现恶意代码的检测和分析、完整性监控、入侵检测、安全监控等方面。在恶意代码检测与分析方面,Jiang等人(JIANGX,WANGX,XUD.Stealthymalwaredetectionthroughvmm-basedout-of-the-boxsemanticviewreconstruction[C]//Proceedingsofthe14thACMconferenceonComputerandcommunicationssecurity.ACM,2007:128-138.)提出了VMwatcher(VirtualMachineWatcher)机制,它在客户机系统之外部署恶意行为检测系统,并在监控层进行语义恢复,能够检测出系统存在的恶意程序。Dinaburg等人(DINABURGA,ROYALP,SHARIFM,etal.Ether:malwareanalysisviahardwarevirtualizationextensions[C]//Proceedingsofthe15thACMconferenceonComputerandcommunicationssecurity.ACM,2008:51-62.)提出基于Xen的Ether方法,整个系统分为两个部分,一部分工作在监控层下,一部分工作在Xen的特权管理域(dom0)中,利用IntelVT(IntelVirtualizationTechnology)技术对被监控系统中的可疑程序进行跟踪。Lanzi等人(LANZIA,SHARIFMI,LEEW.K-Tracer:ASystemforExtractingKernelMalwareBehavior[C]//NDSS2009:TheNetworkandDistributedSystemSymposium,SanDiego,California,2009:255-264.)基于QEMU(QuickEmulator)提出并开发了K-Tracer恶意代码行为分析工具,它能够动态收集Windows内核的执行路径信息,并采用后向和前向切片技术来提取恶意代码行为。XUAN等人(XUANC,COPELANDJ,BEYAHR.Towardrevealingkernelmalwarebehaviorinvirtualexecutionenvironments[C]//RecentAdvancesinIntrusionDetection.SpringerBerlinHeidelberg,2009:304-325.)提出的Rkprofiler是一个基于沙盒的恶意代码分析系统,它能够监控并报告客户机操作系统中运行的恶意代码的行为。在完整性保护方面,SESHADRI等人(SESHADRIA,LUKM,QUN,etal.SecVisor:AtinyhypervisortoprovidelifetimekernelcodeintegrityforcommodityOSes[C].ACMSIGOPSOperatingSystemsReview,ACM,2007,41(6):335-350.)提出的SecVisor通过创建一种轻量级虚拟机对操作系统进行内存保护,它基于页表对内核模式和用户模式下的内存进行内存保护。在安全监控方面,Payne等人(PAYNEBD,CARBONEM,SHARIFM,etal.Lares:Anarchitectureforsecureactivemonitoringusingvirtualization[C]//2008IEEESymposiumonSecurityandPrivacy(sp2008).IEEE,2008:233-247.)提出的Lares系统是内部监控的典型代表,它将安全系统部署在客户机系统外的一个安全域中,同时在客户机系统的内核中插入钩子函数,钩子函数用来拦截某些事件。由于钩子函数存在于客户机系统的内核中,能够被客户机系统感知,存在被恶意程序篡改的可能性,因此需要在虚拟机管理层对钩子函数所在内存区域进行保护。在入侵检测方面,Laureano等人(LAUREANOM,MAZIEROC,JAMHOURE.Protectinghost-basedintrusiondetectorsthroughvirtualmachines[J].ComputerNetworks,2007,51(5):1275-1283.)提出了基于主机的入侵检测系统的保护方法,它通过分析在外部监控虚拟机所获取的系统调用序列来判断进程行为是否存在异常,并采用相应的措施。ZHANG等人(ZHANGX,LIQ,QINGS,etal.VNIDA:BuildinganIDSarchitectureusingVMM-basednon-intrusiveapproach[C]//WKDD2008,ProceedingsoftheInternationalWorkshoponKnowledgeDiscoveryandDataMining,IEEE,2008:594-600.)提出的VNIDA是通过建立一个单独的入侵检测域为其他虚拟机提供入侵检测服务。然而,这些方案均没有考虑到云服务客户机的可用性问题。不论是基于操作系统或是基于虚拟化技术的安全工具,在对系统进行检测、防御、恢复的过程中,均会对系统带来可用性的影响,而在云平台之上的客户机对于自身可用性具有更高的要求,因此应该尽量减少安全防护措施对客户机正常运行的干扰。在实际应用场景中,安全防护工具不可避免会发生误报行为,而安全攸关的客户机在安全工具发生警报时,往往会进行暂停、检测、恢复等操作,而安全工具误报(虚报、漏报)的发生和发现存在延迟,因此误报会降低客户机系统的可用性。
技术实现思路
针对上述问题,本专利技术提供一种降低由安全防护工具的误报引发的对云平台客户机系统可用性影响的方法。当安全防护工具发生误报时,该方法能够确保客户机持续不断地运行,而不用进行回滚、暂停、重启等操作,并维护客户机系统应有的状态。本专利技术采用的技术方案如下:一种基于虚拟化技术的云平台客户机系统可用性提升方法,其步骤包括:1)在虚拟化监控层(VirtualMachineMonitor,VMM)对上层客户机的可疑进程的行为进行捕获;所述可疑进程即为安全防护工具报警时提供的产生威胁的进程;2)根据客户机的可疑进程与其它进程的行为交互,形成进程间的依赖关系;3)在VMM层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报,则杀死可疑进程及与其存在依赖关系的进程即可;若为虚报,则释放受控本文档来自技高网...
【技术保护点】
一种基于虚拟化技术的云平台客户机系统可用性提升方法,包括以下步骤:1)在虚拟化监控层对客户机的可疑进程的行为进行捕获;2)根据客户机的可疑进程与其它进程的行为交互,形成进程间的依赖关系;3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报,则杀死可疑进程及与其存在依赖关系的进程;若为虚报,则释放受控制的可疑进程及与其存在依赖关系的进程,使其继续正常运行。
【技术特征摘要】
1.一种基于虚拟化技术的云平台客户机系统可用性提升方法,包括以下步骤:1)在虚拟化监控层对客户机的可疑进程的行为进行捕获;2)根据客户机的可疑进程与其它进程的行为交互,形成进程间的依赖关系;3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报,则杀死可疑进程及与其存在依赖关系的进程;若为虚报,则释放受控制的可疑进程及与其存在依赖关系的进程,使其继续正常运行。2.如权利要求1所述的方法,其特征在于:步骤1)捕获的可疑进程的行为包括文件操作和进程操作,捕获到的行为信息包括系统调用号、进程ID以及与具体行为有关的信息。3.如权利要求1所述的方法,其特征在于:步骤2)中进程间交互的行为包括直接交互和间接交互。4.如权利要求1所述的方法,其特征在于:当某一进程开始处于控制之下,或某一进程与受控进程产生依赖关系时,对所述某一进程的运行状态进行备份,以使得在步骤4)释放受控制的进程时,使其快速恢复运行状态;步骤4)中若为漏报时还杀死相应的备份进程。5.如权利要求4所述的方法,其特征在于:作为备份的进程处于暂停状态,不被调度运行,当其被释放时才解除暂停状态。6.如权利要求4所述的方法,其特征在于,对某一进程进行备份的方法是:在该进程处于用户态时主动陷入到VMM中,此时对该进...
【专利技术属性】
技术研发人员:贾晓启,李津津,杜海超,武希耀,唐静,白璐,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。