[发明专利]一种性能优化的虚拟化资源的监控方法和系统

说明书

技术领域

本发明涉及虚拟化技术和信息安全技术领域，特别是一种性能优化的虚拟化资源的监控方法和系统。

背景技术

虚拟化技术是一种在IT界广泛使用的技术，由于云计算技术的大规模使用，虚拟化技术，特别是服务器虚拟化技术正在快速发展并迅速改变着IT的面貌，并从根本上改变着人们的计算方式。通过将物理资源虚拟化，可以将服务器资源分配给多个虚拟机，虚拟化支持不同的应用，甚至不同的操作系统在同一台服务器上运行。通过和云计算技术结合，可以提供灵活的配置手段、快速的部署模式并能够节约计算资源。

然而，在带来巨大的优点的同时，虚拟化技术也带来了不同于传统安全模式的很大的安全风险。物理资源的虚拟化后，一台物理服务器上可能运行着多台虚拟机。实际的计算资源（CPU、内存、磁盘、网络等）通过虚拟化形成虚拟化资源而被不同的虚拟机所共用。因此实际使用过程中，不同的虚拟机实际上在共用同一个物理服务器资源，只是对它们而言，以为是在独享系统资源，整个资源共享使用过程由虚拟化模块（如Xen等虚拟机监视器）来调度。一旦攻击者利用其漏洞侵入系统，虚拟化模块就能影响其上运行的所有虚拟机，进而威胁运行在虚拟机上的所有应用和用户数据，因此针对虚拟机的安全防护至关重要。虚拟化技术带来了新的安全威胁主要有：虚拟化资源的隔离问题：在多租户环境下，同一云平台内可能运行着不同租户的不同业务系统，租户的资源面临着被其它租户非法访问的威胁，同时某一租户的恶意或误操作等安全事故有可能会扩大影响到同一云平台的其它租户业务系统，对其它租户造成安全威胁；虚拟机管理层（VMM）安全问题：由于虚拟机管理层运行于比虚拟机更高的级别，因此对虚拟机管理层的攻击，就威胁到了运行于同一物理服务器之上的所有虚拟机；虚拟机逃逸问题：如果在虚拟机里运行的恶意程序绕过虚拟机本身的安全机制，获得了虚拟机管理层或物理服务器的某些权限，就对同一物理服务器之上的所有虚拟机产生了威胁；虚拟网络安全风险：云计算环境下，由于虚拟网络资源的广泛应用，传统的网络边界变得模糊。传统的安全设备，如防火墙、IDS、IPS等，只能部署于物理边界，无法对同一物理计算机上虚拟机之间的通信进行细粒度访问控制，如果攻击行为发自云平台内某一虚拟机，就能绕过所有的网络边界防护措施，从内部对其它虚拟机进行攻击，严重时可能威胁到整个虚拟网络甚至云计算平台的安全运行。

已有的虚拟化技术自身的隔离机制只能解决基本的应用程序运行环境隔离，并不能防止程序访问越界或非法访问。而这种实际的物理资源的共享往往会造成数据更容易被非法访问，比如不同虚拟机的程序在公用同一块缓存时，一旦其中一个虚拟机的程序被恶意代码利用，就很容易造成另一个虚拟机的数据被非法访问或泄露。

目前现有的解决思路是通过在虚拟机监视器层部署安全应用来监控上层客户虚拟机的安全行为，对其系统调用进行拦截，同时在系统内部署安全虚拟机，将拦截的系统调用进行安全分析并根据安全策略进行实时响应，决定将此系统调用放行或拦截。这种解决方案可以解决大部分的虚拟机安全问题，但是其主要的缺点就是安全虚拟机和客户虚拟机会同时请求使用系统资源，二者对虚拟化资源的请求使用成正比关系。如果客户虚拟机业务繁忙，需要进行大量系统调用，安全虚拟机就要同时进行大量的实时安全处理任务，这样就造成了安全虚拟机和客户虚拟机争夺系统资源的状况，成倍的加剧整体资源紧张，造成物理服务器整体性能急剧下降，从而带来不好的客户体验。为了释放系统资源，只能强行减少或关闭安全虚拟机部分安全功能，故带来安全性的损失。

发明内容

本发明针对现有监控客户虚拟机安全的技术存在安全虚拟机和客户虚拟机争夺资源造成系统性能下降进而使得客户体验差以及产生安全性损失的问题，提供一种性能优化的虚拟化资源的监控方法，可以有效的监控系统整体运行及安全状态，并能够达到良好的用户体验。本发明还涉及一种性能优化的虚拟化资源的监控系统。

本发明的技术方案如下：

一种性能优化的虚拟化资源的监控方法，其特征在于，先在虚拟机监视器层对物理服务器和客户虚拟机的运行性能以及客户虚拟机的系统调用事件进行监控，并根据监控到的物理服务器和客户虚拟机的运行性能，在安全虚拟机按照优先级和安全策略对所述监控的系统调用事件进行数据处理，在数据处理后发出控制指令以控制系统调用事件针对调用虚拟化资源的操作。

在虚拟机监视器层对客户虚拟机的系统调用事件进行监控得到事件数据，对物理服务器和客户虚拟机的运行性能进行监控得到性能监控数据，所述性能监控数据提供对系统调用事件进行数据处理的一种安全策略。