【技术实现步骤摘要】
一种基于VMI的内核数据监控方法及监控系统
本专利技术属于计算机的
,具体涉及一种基于VMI的内核数据监控方法及监控系统。
技术介绍
随着云计算的发展,越来越多的服务迁移至云端,安全问题成为制约云计算发展的重要因素。虚拟化技术是云计算的关键技术,在虚拟化环境下,安全边界变得模糊,传统的安全防护手段已经不足以抵抗云环境下新型的安全威胁。虚拟机自省(VirtualMachineIntrospection,VMI)技术作为云环境下有效提供安全性保障的重要技术之一,受到了研究人员的高度重视。近几年,VMI技术在入侵检测、恶意软件分析、虚拟机管理和内存取证等领域得到了广泛的研究和应用。在云计算中,虚拟机的内核数据监控往往被用以保护虚拟机安全,例如对dentry、inode等文件系统相关的数据结构体监控,就能有效捕获、拦截虚拟机中各类文件操作,但是,受限于因特尔的EPT硬件辅助虚拟化技术,不论现在主流的KVM,还是XEN等虚拟化平台,都只能提供内存页级别的监控,也就是说,如果监控某一内核数据结构,就不得不将整个内存...
【技术保护点】
1.一种基于VMI的内核数据监控方法,其特征在于,包括如下步骤:/n步骤S0、从虚拟机外部获取和分配虚拟机内存的指定大小和连续空间;/n步骤S1、搜索整个所述虚拟机内存空间,获取所有目标内核结构的内存地址;/n步骤S2、将所有目标内核数据拷贝至分配的内存空间,并完成相应的指针修改和原内核数据结构体的释放;/n步骤S3、对分配内存区域实施内存页级别的内存监控。/n
【技术特征摘要】
1.一种基于VMI的内核数据监控方法,其特征在于,包括如下步骤:
步骤S0、从虚拟机外部获取和分配虚拟机内存的指定大小和连续空间;
步骤S1、搜索整个所述虚拟机内存空间,获取所有目标内核结构的内存地址;
步骤S2、将所有目标内核数据拷贝至分配的内存空间,并完成相应的指针修改和原内核数据结构体的释放;
步骤S3、对分配内存区域实施内存页级别的内存监控。
2.如权利要求1所述的一种基于VMI的内核数据监控方法,其特征在于,所述步骤S3还包括:
采用轮巡式机制,周期性扫描所述虚拟机的内存空间,判断是否存在虚拟机操作系统新生成的目标内核数据结构,然后重复所述步骤S2和所述步骤S3,将其迁移至目标内存空间中,纳入监控范围。
3.如权利要求1所述的一种基于VMI的内核数据监控方法,其特征在于,所述步骤S0还包括:
获取目标虚拟机内存空间,采用目标系统调用替换掉原来系统调用,待目标系统调用执行完毕后,获取已分配内存空间首地址和内存大小信息,恢复原系统调用执行。
4.如权利要求3所述的一种基于VMI的内核数据监控方法,其特征在于,所述步骤S3中,包括:
利用Libvmi工具,根据已获取内存空间首地址和内存大小信息,对所述内存区域实施内存页级别的监控和捕获、拦截所有文件操作,包括文件读、写、打开操作,虚拟机外部的安全工具根据安全策略对拦截操作做出响应。
5.如权利要求4所述的一种基于VMI的内核数据监控方法,其特征在于,搜索整个所述虚拟机内存空间,包括:
使用Libvmi虚拟机自省工具,判断所述内核数据结构;
若为dent...
【专利技术属性】
技术研发人员:詹东阳,叶麟,余翔湛,张宇,刘立坤,于海宁,方滨兴,卢子勇,刘健威,
申请(专利权)人:电子科技大学广东电子信息工程研究院,哈尔滨工业大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。