本发明专利技术涉及虚拟机快照和损坏抑制。某些实施例提供一种管理虚拟机的执行的系统。在操作期间,该系统获取虚拟机的执行期间的一系列虚拟机快照。如果检测到虚拟机的异常操作,则系统从所述一系列快照中的一个快照中产生一组快照实例,其中每个快照实例在一组限制条件的一个限制条件下执行。接下来,该系统使用来自那些没有表现出异常操作的快照实例中的快照实例来确定异常操作的源。最后,该系统使用所述快照实例更新虚拟机的状态。
【技术实现步骤摘要】
本专利技术的实施例涉及用于管理虚拟机的执行的技术。更具体地,本专利技术的实施例 涉及用于使用快照和损坏抑制技术来管理虚拟机的执行的方法和系统。
技术介绍
虚拟化可以用于在单个物理机器上运行多个操作系统实例。例如,虚拟化可以允 许多种类型的操作系统在单个服务器上的虚拟机内运行并且共享该服务器的物理资源。因 此,计算系统中的虚拟化提供了众多优点,诸如提高了资源利用率、减少了成本、实现服务 器统一、以及/或者回避了互操作性限制。然而,虚拟化的环境可能存在着与本地环境一样的安全性和完整性风险。具 体地,物理机器内的每个虚拟机可能容易受到来自各种各样的源的入侵和攻击。而且, 在单个计算系统上执行多种类型的操作系统可能会使得用于计算系统的安全测量的实 现变得复杂,因为需要该安全测量解决计算系统上的每种类型的操作系统的安全漏洞 (vulnerability)。因此,对单个物理机器内的虚拟机的攻击可能很难被检测、分析和/或 管理。因此,需要有助于检测、分析和管理虚拟机上的攻击和漏洞(exploit)的机制。
技术实现思路
某些实施例提供一种管理虚拟机的执行的系统。在操作期间,该系统获取虚拟机 的执行期间的一系列虚拟机快照。如果检测到虚拟机的异常操作,则系统从所述一系列快 照中的一个快照中产生一组快照实例,其中每个快照实例在一组限制条件中的一个限制条 件下执行。接下来,该系统使用那些快照实例中的没有表现出异常操作的快照实例来确定 异常操作的源。最后,该系统使用所述快照实例更新虚拟机的状态。在某些实施例中,使用快照实例更新虚拟机的状态包括加速快照实例的执行以达 到虚拟机的当前状态以及用快照实例替换虚拟机。在某些实施例中,加快快照实例的执行包括缓存与虚拟机关联的输入事件以及使 用缓存的输入事件按加快的速率执行快照实例。在某些实施例中,该系统还从一系列快照中选择一个快照以作为一组快照实例来 执行。如果不能从该快照确定异常操作的源,则系统从该系列快照中选择更早的快照以作 为一组快照实例来执行。在某些实施例中,这些快照取自虚拟机的执行期间的周期性的间隔处。在某些实施例中,所述限制条件中的每个限制条件被用来阻断异常操作的一个潜 在源。在某些实施例中,异常操作的潜在源对应于端口和地址中的至少之一。 附图说明图1示出根据一个实施例的计算系统。图2示出根据一个实施例的虚拟机的受管理的执行。图3示出说明根据一个实施例的管理虚拟机的执行的处理的流程图。在这些图中,相同的参考标号指示相同的附图单元。具体实施例方式给出以下描述以使本领域的任何普通技术人员能够实现并使用这些实施例,并且 其是在具体应用及其需求的背景下被提供的。对所公开的实施例的各种修改对于本领域的 普通技术人员而言是显而易见的,并且这里所定义的一般原则在不偏离本公开的精神和范 围的条件下可以应用到其它实施例和应用。因此,本专利技术不局限于所示实施例,而是符合这 里所公开的原则和特征相一致的最广范围。在该具体实施方式中描述的数据结构和代码通常被存储在计算机可读存储介质 上,该计算机可读存储介质可以是能够存储供计算机系统使用的代码和/或数据的任何设 备或介质。计算机可读存储介质包括,但不限于,易失性存储器、非易失性存储器,诸如盘驱 动器、磁带、CD (致密盘)、DVD(数字多功能盘或数字视频盘)之类的磁的或者光的存储设 备,或者现在已知或以后开发出的能够存储计算机可读介质的其它介质。在该具体实施方式章节中描述的这些方法和处理可以被具体实现成代码和/或 数据,其可以被存储在如上所述的计算机可读存储介质中。当计算机系统读取和执行存储 在计算机可读存储介质上的代码和/或数据时,计算机系统执行被具体实现成数据结构和 代码并被存储在计算机可读存储介质内的这些方法和处理。 此外,下面所描述的这些方法和处理可以被包括在硬件模块中。例如,硬件模块可 包括,但不限于,专用集成电路(ASIC)芯片、现场可编程门阵列(FPGA)、以及现在所公知的 或以后开发的其它可编程逻辑器件。当硬件模块被激活时,这些硬件模块执行包括在硬件 模块内的这些方法和处理。这些实施例提供了一种用于执行虚拟机的方法和系统。该虚拟机可与许多其它虚 拟机一起运行在一个物理计算系统上。另外,该虚拟机可执行一种操作系统或应用,所述操 作系统或应用通过该计算系统上的管理程序来获得对该计算系统上的物理资源的使用。更为特别地,这些实施例提供一种用于管理该虚拟机的执行的方法和系统。为了 便于管理虚拟机的执行,可以在该虚拟机的执行期间获取该虚拟机的一系列快照。另外,可 以监视虚拟机的执行中的异常操作。如果检测到异常操作,则可以从这些快照之一产生一 组快照实例。每个快照实例可以在一组限制条件下执行,该组限制条件允许异常操作的源 被识别。具体地,每个限制条件可以阻断异常操作的一个潜在源。因此,没有展现出异常行 为的快照实例可能包括阻断异常行为的源的限制条件。此外,该快照实例可用于管理异常 操作和/或可通过替换虚拟机来对异常操作做出响应。图1示出根据一个实施例的计算系统102。计算系统102包括硬件104、管理程序 106、控制域108、一组服务域110-112、以及一组访客域114-116。下面将更为详细地描述这 些部件中的每个部件。计算系统102可对应于给用户提供一种或多种服务或功能的电子计算设备。例 如,计算系统102可操作作为个人计算机、膝上型计算机、服务器和/或工作站。此外,计算 系统102的功能可以通过在计算系统102中的诸如处理器、存储器、输入/输出(I/O)设备、 和/或网络接口卡之类的硬件104部件上执行软件来提供。例如,计算系统102可包括协 调对计算系统102上的硬件104和软件资源的使用的一个操作系统,以及一个或多个执行 针对用户的特殊任务的应用。更为具体地,诸如计算系统102上的操作系统和应用之类的软件可在一个或多个 虚拟机内执行。每个虚拟机可对应于针对在硬件104上执行的物理机器(例如计算系统 102)的基于软件的虚拟环境。每个虚拟机还可被配置成独立于计算系统102上的其它虚拟 机来执行各种应用、进程和/或操作系统。换言之,多个虚拟机在单组硬件104资源上的独 立执行可以提供计算系统102的多功能性、资源利用率和/或安全性。在一个或多个实施例中,计算系统102用作服务器,诸如应用服务器、web服 务器和/或电子邮件服务器。因此,计算系统102可被配置成处理来自多个用户的输 入事件和/或向用户提供各种各样的服务。为了增加基于服务器的功能性和性能,计 算系统102可在虚拟机内执行各种操作系统实例。例如,计算系统102可包括分别运 行 Linux、Solaris (Solaris 是 Sun Microsystem 公司的注册商标)以及 Microsoft Windows (Microsoft Windows 是Microsoft公司的注册商标)的三个虚拟机。特定于一 个操作系统的应用和/或进程因此可以运行在计算机系统102上包含该操作系统的虚拟机 内。此外,一个操作系统的安全漏洞可以被限制在包含该操作系统的虚拟机内,并且可以不 影响计算系统102中的其它虚拟机上的其它操作系统的执行。在一个或多个实施例中,计算系统102上的虚拟本文档来自技高网...
【技术保护点】
一种计算机实现的用于管理虚拟机的执行的方法,包括:在所述虚拟机的执行期间获取所述虚拟机的一系列快照;如果检测到所述虚拟机的异常操作,则:从所述一系列的快照中的一个快照中产生一组快照实例,其中所述快照实例中的每个使用一组限制条件中的一个限制条件来执行;通过使用所述快照实例中的没有表现出所述异常操作的快照实例,确定所述异常操作的源;以及通过使用所述快照实例来更新所述虚拟机的状态。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:CL舒巴,TP玛斯兰德,
申请(专利权)人:甲骨文美国公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。