[发明专利]一种KVM虚拟机进程信息的获取方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及云计算中的保护虚拟机安全的方案。 

背景技术

云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。 

虚拟化在带来技术变革的同时，也提出了新的主机安全防护问题。如果按照传统方式部署主机杀毒或主机入侵防护产品，需要在每台虚拟机上安装相应的安全防护软件。每台虚拟机上的安全防护软件同时执行任务时，将会对内存和CPU的资源产生激烈的竞争。同时，在安全产品的规则库、病毒库的管理上也变得较为复杂。若不能保证所有虚拟机上安全防护产品的规则库同步更新，则会产生安全防护间隙的问题。比如，新建的未安装安全防护软件的虚拟机或在虚拟机休眠后，对其它未休眠的虚拟机上安全产品的规则库进行了更新，则重启后的休眠中的虚拟机都成为了容易被入侵的目标。 

VMM(Kernel-based Virtual Machine，开源虚拟机)内省技术是一种由虚拟机监控器主动向外提供对其上运行的虚拟机进行扫描和监控的技术，包括如对虚拟机的内存扫描、IO截获、进程信息获取等。通过虚拟机监控器 内省技术提供的API接口，以一台独立的特权安全虚拟机的形态来实现对其上运行的虚拟机的安全防护，就不需要在业务虚拟机内安装安全防护软件，解决的资源竞争的问题，同时，由于只需要对这台安全虚拟机进行规则库和病毒库的维护管理，也能够很好的解决由于更新不同步所造成的安全防护间隙问题。 

KVM是一种基于Linux内核的虚拟化监控器，由于其随着Linux内核的发布而进行更新，现已经成为很受第三方云计算解决方案提供商欢迎的虚拟化平台。有大量的基于KVM进行修改的云计算平台被部署到了互联网数据中心(IDC)中，成为云计算应用的基础设施。目前KVM还没有像VMWare那样提供官方的VMM内省API支持，虽然在Qemu-kvm和KVM模块中都存在有IOCTL的调用接口，但是如果想使用这些接口必须对其模块的源码进行修改和重新编译。这在商业应用中是很难达成的，因为通常云计算服务提供商和安全产品服务提供商不是同一家厂商，作为云计算服务提供商也不会允许安全产品服务提供商对其云计算平台的核心代码模块进行任意的修改。因此，本方法和系统主要解决如何在一个已经部署并稳定运行的以KVM为核心的云计算商业平台中，完全不修改虚拟化平台核心模块，并向外提供对虚拟机系统中运行的进程信息内省接口的技术问题。 

发明内容

本发明所要解决的技术问题是，提供一种KVM虚拟机进程信息的获取方法及系统，以便在完全不修改虚拟化平台核心模块的基础上，向外提供对虚拟机系统中运行的进程信息内省接口。 

为了解决上述技术问题，本发明公开了一种KVM虚拟机进程信息的获取系统，至少包括系统调用截获模块和内省API驱动模块，其中： 

所述系统调用截获模块，截获Qemu-kvm发起的IOCTL系统调用，并将该IOCTL系统调用的参数发送给所述内省API驱动模块； 

所述内省应用程序接口(API)驱动模块，使用系统调用截获模块发送的参数替代Qemu-kvm向KVM发起IOCTL系统调用，记录KVM响应 IOCTL系统调用的虚拟CPU的文件描述符并返回给Qemu-kvm，获取正在运行中的虚拟机中的进程和寄存器的相关信息，并对所获取的相关信息进行结构化处理后通过进程扫描接口暴露给外部程序，以及接收由外部程序发起的扫描命令，通过所述虚拟CPU的文件描述符向KVM发起该请求。 

较佳地，上述系统还包括： 

策略管控模块，对所述内省API驱动模块获取的虚拟机内进程信息和寄存器信息进行扫描，并根据扫描结果进行分析，生成分析报告，并通过所述内省API驱动模块提供的IOCTL接口向外部程序下发对虚拟机进程信息的扫描命令。