[发明专利]触发虚拟机自省的方法、装置及系统

说明书

本发明公开了一种触发虚拟机自省的方法、装置及系统，以提供一种及时有效的安全检查触发机制。本发明中确定需要保护的数据；对所述需要保护的数据进行监测；当监测到所述需要保护的数据被修改时，触发虚拟机自省。通过本发明避免了定时启动虚拟机自省系统进行安全检查带来的性能损失与安全问题，适用性更强。

技术领域

本发明涉及虚拟机技术领域，尤其涉及一种触发虚拟机自省的方法、装置及系统。

背景技术

近年来，随着个人电脑、移动计算设备，以及云计算的普及，计算机安全越来越成为人们关注的热点。人们在各种设备中保存了大量关键数据，包括电子邮件、私人照片、银行账号与密码、社交网络账号等等，这使得设备本身成为了黑客的攻击目标。如何提高计算机的安全成为了亟待解决的关键问题。

VMI（Virtual Machine Introspection，虚拟机自省）是一种应用于虚拟化环境，利用VMM（Virtual Machine Monitor，虚拟机监控器），从虚拟机外部增强虚拟机安全的一种方法。该技术通过直接扫描虚拟机运行时的内存、磁盘、监控网络行为等操作，可进行杀毒、网络防火墙等安全操作。

由于虚拟化平台对VMM与虚拟机的执行隔离能力，使得应用虚拟机自省技术时，VMM运行在虚拟机外部，相比传统运行在虚拟机内部的安全软件，其安全性不依赖于虚拟机本身，因此恶意软件即使感染了虚拟机，也无法干扰VMM的执行。然而VMM与虚拟机的执行隔离能力也带来了语义鸿沟（Semantic Gap）问题，即VMM无法获知虚拟机的内部语义，这为应用虚拟机自省技术增强虚拟机安全的应用带来了很大的挑战。

VMI系统尝试用不同的方法，尽可能缩小语义鸿沟，在众多语义鸿沟问题中，比较重要的就是如何选择触发虚拟机自省的时机。一般的，VMI系统中触发虚拟机自省主要采用如下方式：

通过设置一个固定的间隔时间，定时触发VMI系统进行安全检查。该方法的优点在于实现简单，无需根据具体的语义信息来触发。但是定时检查方案必须在性能与安全性之间进行权衡。若检查的时间间隔设置过长，则可能导致漏掉一些本可以成功检测攻击，或在攻击成功之后才检测出，从而可能导致无法挽回的损失，如机密数据的泄露等；若检查的时间间隔设置过短，则可能大大增加系统的额外负载，从而影响正常的执行，导致系统的可用性下降。

因此，在VMI系统中提供一种及时并且有效的安全检查触发机制，势在必行。

发明内容

本发明实施例提供一种触发虚拟机自省的方法、装置及系统，以提供一种及时有效的安全检查触发机制。

第一方面，本发明实施例提供一种触发虚拟机自省的方法，包括：

确定需要保护的数据；

对所述需要保护的数据进行监测；

当监测到所述需要保护的数据被修改时，触发虚拟机自省。

结合第一方面，在第一种实现方式中，对所述需要保护的数据进行监测前包括：

将确定的所述需要保护的数据对应的内存地址存储在硬件事务内存的读取集合中；

对所述需要保护的数据进行监测包括：

对存储在所述读取集合的内存地址所对应的需要保护的数据进行监测。

结合第一方面或第一方面的第一种实现方式，在第一方面的第二种实现方式中，所述对所述需要保护的数据进行监测之前，还包括：

保存所述需要保护的数据的副本；

所述触发虚拟机自省包括：

定位被修改数据的内存地址；

所述触发虚拟机自省后还包括：