[发明专利]基于Xen虚拟化的内核完整性检测方法

说明书

技术领域

本发明涉及计算机虚拟化技术领域，进一步涉及计算机虚拟化以及安全领域。是一种基于Xen虚拟化的内核完整性检测检测方法,用于客户操作系统为Linux或者类Unix操作系统的Xen虚拟化平台上，实现在管理域Dom0中对虚拟化平台上的客户域DomU内的操作系统的内核的关键数据结构与代码进行完整性检测，为运行在虚拟化平台上的操作系统提供安全保障。

背景技术

操作系统安全性是计算机安全不可或缺的一部分。内核，是一个操作系统的核心，是基于硬件的第一层软件扩充，提供操作系统的最基本的功能，是操作系统工作的基础。

近几年来，随着黑客技术特别是Rootkit技术的发展，攻击者已经把触角伸入到了操作系统的内核。操作系统的内核代码面临着严重的威胁。因为内核具有最高特权，Rootkit运行在内核态，可以篡改内核数据结构、更改内核控制流，破坏内核的完整性，对系统安全构成了巨大的威胁。检测内核完整性是否受到破坏、保护内核完整性是检测一个系统是否安全、构建安全系统的基础。

针对操作系统内核的攻击通常的方法是篡改关键数据和改变控制流。现有的内核完整性检测、保护的技术大致可以分为两类：A、保障、检测数据完整性，确保影响系统功能的关键数据对象只能由指定代码在特定情况下修改；B、保障、检测控制流完整性，保护和监控影响代码执行序列的所有因素。利用上述技术实现的完整性保护、检测工具，典型的有checkidt、kem-check等，它们均存在一个不足：内核完整性检测、保护的安全软件与被检测系统在同一地址空间，目前流行的Rootkit等恶意软件运行在系统内核态，与安全软件处于同一特权级别，与恶意软件相比安全软件没有任何的特权优势。Rootkit等恶意软件可以绕过安全软件的检测机制、甚至破坏安全软件。

近年来，虚拟化技术成为计算机系统结构的发展趋势，虚拟机管理器具有更高的权限、更小的可信计算基、更好的隔离性。由于虚拟化架构具有上述优势，基于虚拟化架构构建的安全工具能够有效地监控虚拟机内部状态，同时抵御被监控系统中可能发生的攻击，基于虚拟化架构增强安全工具的安全性成为安全研究的趋势。

发明内容

本发明在分析总结现有的内核完整性检测技术的不足的基础上，结合虚拟化技术、提供了一种新的基于Xen虚拟化的内核完整性检测方法。本发明利用虚拟化架构的特性，将内核完整性检测系统部署在被监控虚拟机外，使内核完整性检测系统不受被监控系统中恶意软件的攻击；利用虚拟机管理器处于虚拟化架构最底层负责管理整个硬件平台的优势,可以有效监控虚拟机的内部状态，使完整性检测机制不被恶意软件绕过。

本发明的检测方法，利用内核完整性检测系统对运行在Xen虚拟化平台上的虚拟机中的Linux或者类Unix操作系统进行内核完整性检测，其特征在于：所述内核完整性检测系统包括内存映射部分、信息获取部分和安全检测部分，这三个部分均部署在管理域Dom0，从管理域Dom0对客户域DomU的操作系统内核完整性进行检测，并有效利用了Xen提供的隔离性，避免内核完整性检测系统受到客户域DomU中的恶意软件的攻击；

所述内存映射部分提供获取客户域DomU中硬件层面的机器字节数据的接口，获取客户域DomU中寄存器二进制数据、物理地址空间对应的随机存储器中的二进制数据和内核态的逻辑地址空间对应的随机存储器的二进制数据，在管理域Dom0模拟客户域DomU操作系统的分页模型，利用libxc,libxs库函数从管理域Dom0中获取客户域DomU内核态的逻辑地址空间对应的随机存储器二进制数据；

所述信息获取部分利用内存映射部分提供的接口，获取客户域DomU中与系统内核状态相关的关键数据即中断描述符表、系统调用表和系统调用函数指令数据；

所述安全检测部分以轮询方式调用信息获取部分获得客户域DomU的中断向量表、系统调用表、系统函数指令数据并求哈希值，与管理域Dom0安全策略文件的中断向量表、系统调用表和系统调用函数的SHA-1哈希值进行对比，检测客户域DomU中内核的完整性。

本发明的检测方法从管理域Dom0对客户域DomU中的操作系统内核进行完整性检测，具体由安全检测部分检测客户域DomU的内核完整性，检测过程如下：

(1)从部署在管理域Dom0中的安全策略文件读取出以下信息：

1.1)中断向量表中每一个的中断处理函数的逻辑地址；

1.2)系统调用表中每个系统调用函数的逻辑地址；

1.3)系统调用号以及其对应的系统调用函数的指令数据的SHA-1哈希值;