[发明专利]基于虚拟机的安全监控系统和安全监控方法

说明书

技术领域

本发明涉及一种安全监控方法，特别是涉及一种基于虚拟机的安全监控系统和安全监控方法。

背景技术

随着信息技术的快速发展以及网络规模的不断扩大，针对计算机与网络的恶意攻击和破坏行为日益频繁，攻击强度不断增大。通过对计算资源状态和主机行为进行实时监控。及时发现恶意攻击对于保证计算机和网络的正常运行有着重要的意义。

目前，针对计算机的安全监控方法主要是在操作系统层和应用层实现，通过对系统日志、API接口、端口、系统配置文件等的监视，来发现计算机状态的变化以及异常行为。虽然在操作系统层面和应用层面增加的安全监控措施能够在一定程度上满足计算机的安全需求，但同时也暴露出一些问题和不足。一方面是实际监控能力有限：当前的安全监控方法的监控粒度比较粗，主要是被动分析系统日志和监视资源的状态变化，无法对异常行为进行主动的深层次分析，同时只能监控上层或者同层次的行为，无法发现监控系统下层可能存在的恶意行为；另一方面是自防护能力明显不足：当前的安全监控方法过多的依赖操作系统的完整性，并且与监控对象运行在同一空间，自身很容易遭受攻击而丧失安全监控能力，而目前所采取的禁止修改注册表或禁止恶意结束进程的防护措施很难应对针对监控系统自身的攻击。

发明内容

本发明目的在于提供一种基于虚拟机的安全监控系统和方法，解决安全监控系统监控能力有限，自身防护能力不足的问题。

本发明是采用以下技术手段实现的：

一种基于虚拟机的安全监控系统，包括可信密码模块、完整性度量组件、知识库、内部安全监控组件、外部安全监视组件、综合分析组件和安全控制组件；

可信密码模块作为物理信任根嵌入主板上，提供可信计算服务；

完整性度量组件位于所述虚拟机监视器中，对知识库、内部安全监控组件、外部安全监控组件、综合分析组件和安全控制组件进行完整性度量和保护；

知识库位于可信的管理虚拟机中，为内部安全监视组件和外部监视组件的监视行为提供状态特征库和行为模式库的支持；

内部安全监视组件位于被监控虚拟机的操作系统内核空间，在内部监视操作系统状态和行为；

外部安全监视组件位于虚拟机监视器中，通过监视事件通道、虚拟内存、虚拟网络、虚拟I/O、虚拟CPU的状态和改变，从外部对操作系统的状态和行为进行监视；

综合分析组件位于虚拟机监视器中，对内外部监视情况进行综合分析，判定是否异常；

安全控制组件位于虚拟机监视器中，根据制定的安全控制策略对当前的异常行为实施安全控制。

本发明还可以采用以下方式实现：

一种基于虚拟机的安全监控方法，包括以下步骤：

启动平台可信步骤；对应于虚拟机安全监控系统的可信密码模块，以可信密码模块为物理信任根，通过信任链传递机制实现平台的可信启动，以此保证平台计算环境的可信性；

加载监控组件安全步骤；对应于虚拟机安全监控系统的完整性度量组件，计算知识库、内部安全监视组件、外部安全监视组件、综合分析组件和安全控制组件的校验值，将校验值与存储在可信密码模块的基准值进行比对，如度量通过，则组件安全加载；否则，利用备份的标准镜像进行恢复并加载；

进行内部安全监视步骤；对应于虚拟机安全监控系统的内部安全监视组件和知识库，内部安全监视组件通过内部通信机制与知识库进行交互，根据知识库提供的状态特征库和行为模式库，对被监控虚拟机操作系统的状态和行为进行监视；

进行外部安全监视步骤；对应于虚拟机安全监控系统的外部安全监视组件和知识库，外部安全监视组件对被监控虚拟机对应的虚拟硬件资源状态和虚拟硬件资源访问行为进行监视；

对异常行为进行综合分析步骤；对应于虚拟机安全监控系统的综合分析组件，对内部监视的情况和外部监视情况进行综合分析，判定是否存在异常；如异常，则；

对异常行为进行安全控制步骤；对应于虚拟机安全监控系统的安全控制组件，根据综合分析的结果对异常行为实施安全控制，确保计算环境的安全。

前述的一种基于虚拟机的安全监控方法，其特征在于，进行外部安全监视步骤所述的虚拟硬件资源包括：事件通道、虚拟内存、虚拟网络、虚拟I/O、虚拟CPU。

本发明结合虚拟机技术的安全特性，主要具有以下优点：

1、更综合的安全监控能力：利用虚拟机监视器位于操作系统之下具有很高特权的特性，在外部实现更深层次、更细粒度的安全监控，通过内外部监控的有机结合具有更综合的安全监控能力；