[发明专利]一种虚拟化环境中的进程信息监控系统及其方法

说明书

技术领域

本发明涉及到虚拟化环境中的虚拟机的进程信息监控，特别是涉及到虚拟机的活跃进程列表信息的轻量级监控。

背景技术

虚拟化技术产生于上世纪六十年代，IBM提出了虚拟化的概念，并把此技术应用于IBM的System/370系统。到目前为止，虚拟化技术已经被应用于很多行业和领域，并且在未来将有更广泛的使用。通过虚拟化技术，可以提高服务器的利用率，提高服务的稳定性和健壮性以及软件的可移植性，此外，虚拟化技术也由于其出色的隔离性为解决系统的安全问题提供了一种思路。

Xen是一种广泛使用的虚拟化软件，其主要部件为虚拟机管理层（Virtual Machine Monitor，以下简称VMM）、包含管理工具的特权虚拟机Domain0（以下简称Dom0），以及客户虚拟机（以下简称DomU），其中，VMM层运行在客户虚拟机和硬件之间，Dom0与DomU都运行在VMM层之上，Dom0的特殊之处在于，其具有管理其他DomU的管理工具，以及与VMM通信的接口，从而达到对Xen虚拟环境进行控制的目的。Dom0端还包括接收DomU硬件访问信息的接口，称为后端驱动，后端驱动能够接收同一物理机上所有的DomU的硬件请求，并通过访问真实设备驱动来对这些请求进行统一处理。

Xen最初的设计仅支持半虚拟化架构的客户虚拟机，这要求客户虚拟机需要安装能够与Dom0的后端驱动通信的前端设备驱动，因此，这就需要对客户虚拟机进行修改，这就导致前期Xen只能支持安装有Linux操作系统的客户虚拟机，而随着Intel与AMD等CPU厂商提出了硬件的虚拟化技术，目前Xen已经能够支持无修改的Windows与Linux操作系统，利用硬件进行虚拟化的客户虚拟机成为硬件虚拟机（Hardware-based Virtual Machine，以下简称HVM）。

进程是操作系统的主要组成部分之一，是操作系统内部运行实例的主要表现形式。活跃进程列表信息是安全防护以及系统行为分析需要获取的重要信息，其重要意义在于，可以从该列表中查看是否有未知的程序正在运行，这也是实时杀毒软件查杀病毒的主要方式。然而，当前恶意软件的实现技术越来越偏向于系统底层，其可以通过载入特定的驱动模块来达到将其自身的进程以及程序文件进行隐藏的目的，从而达到蒙蔽杀毒软件的目的。

虚拟化技术能够用来解决该问题。由于VMM层运行在客户虚拟机的外部，因此可以获取到客户虚拟机内部运行中的进程的真实列表信息，名称为“In Proceedings of the23rd Annual Computer Security Applications Conference（第23届计算机安全应用会议）”中公开了一篇名称为“Secure and Flexible Monitoring of Virtual Machines（安全灵活的虚拟机监控技术）”的文献，作者为：Bryan D.Payne Martim D.P.de A.Carbone Wenke Lee,公开日为：2007年8月23日，其中提到一种利用Xen提供的接口在Dom0中建立一套监控DomU的内存及磁盘信息的方法，该部分在原文中的阐述为“虚拟内存监控需要接触到另一台VM的内存，Xen提供了XC Library库来完成该操作，为了调用该库，XenAccess需要进行一些内存地址的转换工作，将需要监控的内核符号或虚拟地址转换为伪物理地址。”通过利用该方法可以获取到被监控虚拟机的内存信息，由于进程信息是驻留在内存中的，因此，可以通过收集到的内存信息来重构出被监控虚拟机的进程信息，以及其进程列表信息，这也是当前通用的进程信息获取方案。然而，该方法的问题在于，进程信息的获取操作需要大量的地址映射操作，即进程的虚拟地址与内存物理地址之间需要进行地址映射，是一种开销很大的进程信息获取方式，很不适用于当前的监控环境的需求。然而，使用该方法仅能按照内存的粒度获取信息，要获取进程信息还需要通过客户机提供的系统信息进行解析操作。