[发明专利]基于驱动的虚拟机通用监控系统

说明书

技术领域

本发明属于虚拟化技术和计算机系统安全领域，具体涉及一种基于基于驱动的虚拟机通用监控系统。

背景技术

随着信息技术的飞速发展，计算机的性能正在按照摩尔定律快速增长。然而，大部分服务器的利用在25％到30％之间，而多核技术的出现则导致服务器的利用率进一步降低。人们在不断地提高计算机性能的同时，越来越关注于服务器的利用率和能耗问题。另一方面，部署在同一台机器上的服务可能发生相互干扰，例如部署在某台机器上的服务出现故障导致系统崩溃，从而影响其他服务的正常运行。因此，为了保证服务之间的隔离性，单台机器上只能部署一种服务。这种方法虽然有效地保证了服务之间的隔离性，但是降低了服务器的利用率，造成了资源的巨大浪费。虚拟化技术(Virtualization Technology)作为一种新型的计算模式，它在保证服务之间隔离性的同时，能够充分地利用底层的硬件资源。

在2008和2009连续两年公布的Gartner技术发展趋势报告中，虚拟化技术都成为十大IT关键技术之一。顾名思义，虚拟化技术就是将同一台物理机器虚拟为多台虚拟机(Virtual Machine，简称VM)。每台虚拟机之间相互独立，由虚拟机管理器(Virtual Machine Monitor，简称VMM)来保证虚拟机之间的隔离性。虚拟化技术支持单一硬件平台上同时运行多个隔离的虚拟环境，从而实现将多种服务聚合到单一物理节点。虚拟化技术成为计算机体系结构和系统软件的发展趋势，并逐渐成为近年来研究的热点。根据虚拟化的层次不同，虚拟化技术可以分为以下5种：指令级虚拟化、硬件级虚拟化、操作系统级虚拟化、编程语言级虚拟化和运行库级虚拟化。在硬件级虚拟化中，虚拟机管理器位于传统操作系统(Operating System)和真实物理硬件之间，它是为上层多个虚拟机提供底层硬件抽象的软件层。本发明之后提到虚拟化技术都是指硬件级虚拟化。

虚拟化技术改变了传统计算机系统的使用方式，计算资源的使用方式更加灵活。系统管理员可以方便地创建、暂停、重启和迁移虚拟机，从而对底层硬件资源进行动态划分和灵活管理。在本发明中，负责对其他虚拟机进行管理操作(创建、删除、迁移等)的特权虚拟机被称为管理域(Management Domain)。

从2005年起，虚拟化技术自出现后就得到了广泛地应用，大规模虚拟计算环境(例如数据中心，云计算平台)如图1所示。大规模虚拟计算环境包含多个物理节点，每个物理节点都安装了虚拟机管理器。同时，虚拟化技术也为安全监控带来了一定的挑战，例如攻击者在控制某个虚拟机之后，可能会影响同一物理节点上其他虚拟机的正常运行。因此，虚拟计算平台的安全监控一直是研究的热点。然而，同一物理节点上运行的多个虚拟机中操作系统的类型和版本可以是多种多样的，例如Linux，Windows，Solaris等。但是现有的安全监控系统都是在虚拟机管理器中针对某种类型虚拟机实现某种特定的安全功能(例如入侵检测，蜜罐(Honeypot)，恶意代码检测和行为分析等)，而完全没有考虑监控功能的通用性问题。例如当同一物理节点上运行的虚拟机包含不同类型和版本的操作系统时，如何保证在虚拟机管理器中实现监控的通用性；同时当某个虚拟机从其他节点迁移到本地物理节点时，如何保证监控的有效性。在大规模虚拟计算环境中，虚拟机中操作系统的种类是多种多样的，而虚拟机可以在各个物理节点之间自由地迁移。这使得虚拟机监控系统的通用性问题更加突出，而且这个问题在虚拟化技术的应用过程中无法避免。

发明内容

本发明的目的在于克服上述不足之处，提供一种基于驱动的虚拟机通用监控系统，该系统解决了虚拟计算环境中监控系统的通用性问题，使得监控系统对虚拟机中的操作系统都有效，同时提供了一套标准的、统一的调用接口，方便其他开发人员使用。

本发明提出的一种基于驱动的虚拟机通用监控系统，该系统包括事件截获模块、语义解析组件和调度管理模块；事件截获模块位于虚拟机管理器中，语义解析组件和调度管理模块位于管理域的内核态，语义解析组件包括与虚拟机中操作系统的类型相对应的多个语义解析模块；在初始化时以内核模块的方式将与虚拟机中操作系统类型对应的语义解析模块加载到管理域中；

事件截获模块由调度管理模块负责开启，用于对系统调用进行截获，从而使执行流程从虚拟机进入虚拟机管理器中，并向语义解析模块发送通知，告知系统调用事件已发生；事件截获模块根据语义解析模块的内存访问请求，从虚拟机中拷贝一段所需要的内存空间发送给语义解析模块；