[发明专利]用于管理程序环境中的关键地址空间保护的系统和方法

说明书

一个实施例中的系统和方法包括用于检测对客户操作系统(OS)(其已经实现管理程序环境中的地址空间布局随机化)的关键地址空间(CAS)的访问尝试，识别尝试访问的进程，以及在不准许该进程访问CAS时采取动作的模块。动作能够从下列项选取：向管理程序的管理控制台报告该访问，向客户OS提供推荐，以及在客户OS内自动采取动作。其它实施例包括通过促使客户OS中的页错误，从与CAS对应的客户虚拟地址解析客户物理地址，并且将机器地址映射到客户物理地址，来识别与CAS对应的机器地址。

技术领域

一般来说，本公开涉及计算机网络领域，以及更具体来说，涉及用于管理程序环境中的关键地址空间保护的系统和方法。

背景技术

计算机网络安全性的领域在当今社会已经变得越来越重要和复杂。计算机网络环境配置用于几乎每一个企业或组织，其中通常具有多个互连的计算机(例如最终用户计算机、膝上型计算机、服务器、打印装置等)。此外，云服务提供商(以及运行多个应用和操作系统的其它组织)可使用管理程序技术在主机装置上并发地运行各种不同的客户操作系统。管理程序是计算机软件/硬件平台虚拟化软件，其允许多个操作系统并发地运行于主计算机上。安全性威胁能够源于管理程序环境的外部和内部。管理程序环境中的这些威胁能够给IT管理员带来进一步挑战。

附图说明

为了提供对本公开及其特征和优点的更完整理解，参照结合附图进行的以下描述，其中相似参考标号表示相似部件，其中：

图1是示出按照一个示例实施例、用于管理程序环境中的关键地址空间保护的系统的组件的简化框图；

图2是示出按照一个示例实施例的系统的附加细节的简化框图；以及

图3是示出可与本公开的实施例关联的示例操作步骤的简化流程图。

具体实施方式

概述

一个实施例中的系统和方法包括用于检测对客户操作系统(OS)(其实现管理程序环境中的地址空间布局随机化(ASLR))的关键地址空间(CAS)的访问尝试，识别尝试访问的进程，以及在不准许该动作时采取至少一个动作的模块。动作可以是下列一个或多个：向管理程序的管理控制台报告该访问，向客户OS提供推荐，并且在客户OS内自动采取动作。向管理程序的管理控制台报告访问包括将客户OS的状态标记为受感染。向客户OS提供推荐包括推荐将该进程列入黑名单、直到它由安全工具来扫描并且列入白名单，和/或对该进程运行防病毒。在客户OS内采取动作包括在客户OS中运行防病毒程序，和/或关闭客户OS或保存客户OS的状态以供离线扫描。

更具体实施例包括通过在管理程序的影子页表中为与CAS对应的页生成页表条目(PTE)并且将PTE标记成使得访问尝试引起页错误，来检测访问尝试。尝试访问的进程可通过读取该进程对应的CR3寄存器来识别。

其它实施例包括使用策略来验证访问尝试，策略包括：如果该进程从存储器元件的可写区域执行，则拒绝该访问，而如果该进程从存储器元件的只读区域执行，则准许该访问。其它示例实施例包括通过促使客户OS中的页错误，从与CAS对应的客户虚拟地址解析客户物理地址，并且将机器地址映射到客户物理地址和其它特征，来识别与CAS对应的机器地址。

示例实施例