本发明专利技术提供一种虚拟机器监控系统及方法,虚拟机器监控方法应用于虚拟机器监控系统中。虚拟机器监控方法包含下列步骤:于虚拟机器监控系统的虚拟层中撷取多个虚拟机器其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道。撷取虚拟层中的中央管控虚拟机器代码信息。依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型。当通道为不透过虚拟机器中的中央管控虚拟机器所建立的私有通道时,使安全监控模块监控私有通道。
【技术实现步骤摘要】
本专利技术是有关于一种信息监控技术,且特别是有关于一种虚拟机器监控方法及系统。
技术介绍
在现代计算机技术的进步下,软件常常无法对过多的硬件资源做有效的利用。通过在硬件上建立虚拟环境以执行数个虚拟机器,将可以使硬件资源获得最有效的利用。在虚拟环境的虚拟机器中,常会设置一个中央管控的虚拟机器,以将虚拟机器资源进行集中管理。虚拟机器间的沟通需要经过中央管控的虚拟机器进行。因此,在已知的技术中,要判断系统是否有异常的数据传输,只需要对中央管控的虚拟机器进行监控即可。 然而为了加速虚拟机器间的沟通,在新近的技术中也允许虚拟机器间在不透过中央管控的虚拟机器的情形下,直接建立私有的通道。因此,已知的监控技术,将难以对这样的私有通道进行监控,容易产生信息安全上的漏洞。因此,如何设计一个新的虚拟机器监控方法及系统,以克服上述的问题,乃为此一业界亟待解决的问题。
技术实现思路
本专利技术的目的在于提供一种。 因此,本专利技术的一方面是在提供一种虚拟机器监控系统,包含虚拟层 (hypervisor)、多个虚拟机器、安全监控模块以及超级呼叫(hypercall)拦截模块。虚拟机器通过虚拟层存取至少一实体运算装置的硬件资源,其中虚拟机器包含中央管控虚拟机器,以对虚拟机器进行管控。超级呼叫拦截模块位于虚拟层中,以撷取虚拟层中的中央管控虚拟机器代码信息以及撷取虚拟机器其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道,超级呼叫拦截模块进一步依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型,以于通道为不透过中央管控虚拟机器所建立的私有通道时,使安全监控模块监控私有通道。依据本专利技术一实施例,其中通道建立信息包含对应来源虚拟机器的来源虚拟机器代码以及对应目的虚拟机器的目的虚拟机器代码。中央管控虚拟机器代码信息包含中央管控虚拟机器的中央管控虚拟机器代码,超级呼叫拦截模块撷取中央管控虚拟机器代码信息,以判断来源虚拟机器代码以及目的虚拟机器代码是否包含中央管控虚拟机器代码,以判断通道的类型。当来源虚拟机器代码以及目的虚拟机器代码不包含中央管控虚拟机器代码,超级呼叫拦截模块判断通道的类型为私有通道。当来源虚拟机器代码以及目的虚拟机器代码其中之一为中央管控虚拟机器代码,超级呼叫拦截模块判断通道的类型为中央管控通道。依据本专利技术另一实施例,通道为虚拟层的共享内存(share memory) 依据本专利技术又一实施例,中央管控虚拟机器代码信息是通过核心地图(kernelmap)查询。依据本专利技术再一实施例,当通道的类型为私有通道时,超级呼叫拦截模块将超级呼叫发布至目的虚拟机器以及安全监控模块,俾使安全监控模块存取私有通道的信息。超级呼叫拦截模块更用以于接收到目的虚拟机器以及安全监控模块分别传送的清除信号后, 使来源虚拟机器关闭私有通道。本专利技术的一方面是在提供一种虚拟机器监控方法,应用于虚拟机器监控系统中。 虚拟机器监控方法包含下列步骤于虚拟机器监控系统的虚拟层中撷取多个虚拟机器其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道。撷取虚拟层中的中央管控虚拟机器代码信息。依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型。当通道为不透过虚拟机器中的中央管控虚拟机器所建立的私有通道时,使安全监控模块监控私有通道。依据本专利技术一实施例,其中通道建立信息包含对应来源虚拟机器的来源虚拟机器代码以及对应目的虚拟机器的目的虚拟机器代码。中央管控虚拟机器代码信息包含中央管控虚拟机器的中央管控虚拟机器代码,依据中央管控虚拟机器代码信息判断通道的类型的步骤还包含判断来源虚拟机器代码以及目的虚拟机器代码是否包含中央管控虚拟机器代码,以判断通道的类型。当来源虚拟机器代码以及目的虚拟机器代码不包含中央管控虚拟机器代码,通道的类型为私有通道。当来源虚拟机器代码以及目的虚拟机器代码其中之一为中央管控虚拟机器代码,通道的类型为中央管控通道。依据本专利技术另一实施例,通道为虚拟层的共享内存。依据本专利技术又一实施例,中央管控虚拟机器代码信息是通过核心地图查询。依据本专利技术再一实施例,当通道的类型为私有通道时,使安全监控模块监控私有通道的步骤还包含将超级呼叫发布至目的虚拟机器以及安全监控模块以及使安全监控模块存取私有通道的信息。 依据本专利技术更具有的一实施例,虚拟机器监控方法还包含判断目的虚拟机器以及安全监控模块是否分别传送清除信号以及当目的虚拟机器以及安全监控模块分别传送清除信号,使来源虚拟机器关闭私有通道。应用本专利技术的优点在于通过撷取用以建立来源虚拟机器以及目的虚拟机器间的通道的超级呼叫,并于判断为此通道为一私有通道时进行监控,可以侦测虚拟机器间未经过中央控管虚拟机器的沟通行为,避免资安漏洞,而轻易地达到上述的目的。附图说明为让本专利技术的上述和其它目的、特征、优点与实施例能更明显易懂,所附附图的说明如下图1为本专利技术一实施例中,虚拟机器监控系统的方块图;以及图2为本专利技术一实施例中,一种虚拟机器监控方法的流程图。主要组件符号说明1:虚拟机器监控系统10 :虚拟层100:共享内存120、122、124 :虚拟机器14 :安全监控模块16 :超级呼叫拦截模块18 :实体运算装置200 :虚拟机器监控方法201-207 :步骤具体实施方式请参照图1。图1为本专利技术一实施例中,虚拟机器监控系统I的方块图。虚拟机器监控系统I包含虚拟层(hypervisor) 10、多个虚拟机器120、122及124、安全监控模块14 以及超级呼叫(hypercall)拦截模块16。虚拟机器监控系统I是建立于实体运算装置18上的虚拟环境,以通过虚拟环境技术在虚拟层10上虚拟出数个虚拟机器,可以达到同时对实体运算装置18的硬件资源进行存取的功效。举例来说,虚拟机器监控系统I可建立于一个个人计算机中,并通过虚拟环境技术在虚拟层10上虚拟出各执行不同的操作系统的数个虚拟机器。因此,在现代计算机硬件技术愈来愈进步的情形下,虚拟机器将可使硬件资源获得最大的使用率。于不同实施例中,虚拟机器的数目可依需求调整,不为图1中绘示所限。虚拟机器各包含一个虚拟机器代码。于一实施例中,虚拟机器代码是以网域 (domain)编码表示。举例来说,虚拟机器122的虚拟机器代码可为网域I (domain I),而虚拟机器124的虚拟机器代码可为网域2(domain 2)。于本实施例中,虚拟机器120为一个中央管控虚拟机器。中央管控虚拟机器在不同的实施例中,可以是虚拟机器代码为网域 O (domain O)的管控虚拟机器,或是具有其它虚拟机器代码的一驱动网域(driver domain) 虚拟机器,以对其他虚拟机器122、124间的沟通进行管控。虚拟机器122、124间常见的沟通方式,是透过中央管控虚拟机器120所进行。亦即,虚拟机器122、124间进行沟通时,是在虚拟层10中建立一个共享内存,并经由中央管控虚拟机器120来对共享内存进行数据的传输。因此,通过这样的中央管控通道,其传输的数据 均会经由中央管控虚拟机器120的转发。在这样的情形下,安全监控模块14可直接在中央管控虚拟机器120进行数据的拦截,以监控是否有危及信息安全的事情发生。需注意的是,上述的安全监本文档来自技高网...
【技术保护点】
一种虚拟机器监控系统,其特征在于,包含:一虚拟层;多个虚拟机器,通过该虚拟层存取至少一实体运算装置的一硬件资源,其中所述多个虚拟机器包含一中央管控虚拟机器,以对所述多个虚拟机器进行管控;一安全监控模块;以及一超级呼叫拦截模块,位于该虚拟层中,以撷取该虚拟层中的一中央管控虚拟机器代码信息以及撷取所述多个虚拟机器其中之一所传送的一超级呼叫,其中该超级呼叫用以建立一来源虚拟机器以及一目的虚拟机器间的一通道,该超级呼叫拦截模块进一步依据该中央管控虚拟机器代码信息及对应该超级呼叫的一通道建立信息判断该通道的类型,以于该通道为不透过该中央管控虚拟机器所建立的一私有通道时,使该安全监控模块监控该私有通道。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:陈智伟,田家玮,田谨维,林志鸿,
申请(专利权)人:财团法人资讯工业策进会,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。