[发明专利]IaaS云环境下轻量级虚拟机进程追踪系统和方法

说明书

技术领域

本发明涉及IaaS云计算领域，特别涉及一种IaaS云环境下轻量级虚拟机内部进程追踪系统和方法。

背景技术

IaaS云计算是一种将计算机基础设施资源通过互联网为用户提供服务的新型计算模式和商业模式。虚拟化作为支撑IaaS云模式的关键技术，通过对CPU、内存、硬盘存储器等硬件的聚合和再分配，构建一个物理上异地分布、逻辑上单一呈现、功能上弹性伸缩的云环境，以虚拟机的形式响应用户的业务需求。云计算降低了资源使用者和资源实体之间的耦合程度，便于维护和管理，可以降低基础设施的运营成本，受到学术界和产业界的广泛关注，并且在许多行业得到应用和推广。

IaaS云计算整合了大量计算机资源，为用户提供了资源无限利用的可能性。但是，资源规模的增大也产生了两个问题，即资源合理利用和资源安全利用的问题。

首先，大规模资源如果不能合理分配和管理必然导致云提供商经济效益降低。目前，大多数数据中心的资源分配都是静态的，在申请时预先配置一定数量的设备，容易造成过度配置资源和过低配置资源两种极端情况。要实现资源优化，必须能够监视和预测用户资源的实时动态变化，根据负载的轻重程度追加或释放相关资源以达到提高资源使用效率和提高服务质量并降低成本的目标。业界现已提供的监视工具都是虚拟机系统级别的，这些工具的检测、管理粒度太大，不能确切地反映虚拟机的行为，只有进行细粒度进程级别的监视，才能准确把握操作系统的具体行为，进而判断虚拟机正在执行和将要执行的作业，正在消费和将要消费的资源，为资源优化提供量化的判断依据。

其次，资源安全利用是云计算能否推广和普及的根本。那些规模庞大的基础设施除了被用于合法业务外，还同样可能为非法需求提供计算的可能性。例如，2011年4月侵入索尼PlayStation游戏网络的黑客使用了亚马逊弹性计算云来破解一些加密密钥，从而窃取了数万用户的信用卡信息。云计算系统使有关部门和企业难于追查数字犯罪，一个主要原因是由于使用虚拟化技术导致的。用户租用的虚拟机可能实际上分布在云提供商数据中心内十几个甚至更多实体内存和实体硬盘驱动器上。假如一台虚拟机被关闭，它占用的存储空间很快就会被回收，犯罪信息就被随后的合法用户数据抹去，对数字犯罪的追踪也无从进行。因此，迫切需要一套虚拟机实时安全监视的解决方案，为IaaS云环境下虚拟机安全问题提供理论与方法支持。

IaaS模式下关于虚拟机监视的技术和系统，主要集中在两个方面，即从虚拟机内部或外部进行检测。

内部检测工具运行在被监视系统的内部，能够直接获取内核结构、进程、系统调用等高级语义信息，拥有高可见性，便于分析资源使用情况或判断安全状况。缺点是不仅会加重虚拟机运行负荷，还会由于因系统被攻击导致内部监控工具会暴露在攻击者的控制之下，获取不到系统的任何信息，甚至根本无法启动任何监控程序,不能发挥正常的监视功能。

外部检测工具运行在特权虚拟机或虚拟化平台上。现有技术中，有针对虚拟机进程识别的方法。2007年，中国专利200710118186.0公开了一种虚拟机监视器识别客户操作系统中进程的方法和装置，它通过在进程切换时，由虚拟机监视器记录待运行进程页表信息和当前运行进程的标识信息来识别进程。该方法在实现过程中需要记录待运行进程和当前运行进程的上下文信息，如果面向云计算环境下数量庞大的用户和频繁的多任务作业时，这一方法会产生巨大的系统消耗，从而影响云平台的整体性能。2008年，中国专利200910237996.7提供了一种通过虚拟机运行中应用程序的同步感知对虚拟机进行分类的技术，其中同步感知的方法也可以用于进程识别。但是，该方法在虚拟机进程识别时，需要反复解析每台虚拟机内核中的task_struct结构来获取进程信息，实时操作性差；而且这一方法在多用户多任务IaaS客户机时，重复解析task_struct结构会加重云平台的整体负荷。

目前现有技术中，从虚拟机外部进行进程追踪的技术，功能上都可以识别运行中进程信息，但都需要实时解析不同操作系统内核数据结构，因此进程追踪不仅系统开销都很大，而且可移植性也不强。如果将这些技术用在IaaS云环境下的虚拟机监视，不仅要面对成千上万的虚拟客户机实例，还必须考虑不同类型不同版本的虚拟机操作系统内核结构，频繁进行在线实时内核解析将成为一项繁重而耗时的工作，必然会影响云平台的整体运行性能。因此这些技术都不易被接受和推广。

发明内容

本发明正是针对现有技术的不足，提供一种IaaS云环境下轻量级虚拟机内部进程追踪的系统和方法。