[发明专利]一种基于虚拟化技术的云平台客户机系统可用性提升方法

说明书

本发明涉及一种基于虚拟化技术的云平台客户机系统可用性提升方法。该方法包括：1)在虚拟化监控层对客户机的可疑进程的行为进行捕获；2)根据可疑进程与其它进程的行为交互形成进程间的依赖关系；3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为，同时保证这些进程在客户机中继续运行，并且可疑进程的行为对客户机不产生影响；4)当误报被发现时，若为漏报则杀死可疑进程及与其存在依赖关系的进程；若为虚报则释放受控制的可疑进程及与其存在依赖关系的进程，使其继续正常运行。本发明能够在安全防护工具发生误报时确保客户机持续不断地运行，不用进行回滚、暂停、重启等操作，并维护客户机系统应有的状态。

技术领域

本发明属于虚拟化及系统安全技术领域，涉及基于虚拟化技术的云平台客户机系统可用性提升方法，尤其涉及一种针对安全工具误报带来的系统可用性影响问题的提升云平台客户机系统可用性的方法。

背景技术

随着虚拟化技术的不断发展，云计算应用越来越广泛。解决面向云平台的安全问题、保障使用云服务的客户机系统安全成为云服务的重要需求之一。国内外已有一些基于虚拟化技术或操作系统的安全防护技术方案，主要包括实现恶意代码的检测和分析、完整性监控、入侵检测、安全监控等方面。

在恶意代码检测与分析方面，Jiang等人(JIANG X,WANG X,XU D.Stealthymalware detection through vmm-based out-of-the-box semantic viewreconstruction[C]//Proceedings of the14th ACM conference on Computer andcommunications security.ACM,2007:128-138.)提出了VMwatcher(Virtual MachineWatcher)机制，它在客户机系统之外部署恶意行为检测系统，并在监控层进行语义恢复，能够检测出系统存在的恶意程序。Dinaburg等人(DINABURG A,ROYAL P,SHARIF M,etal.Ether:malware analysis via hardware virtualization extensions[C]//Proceedings of the 15th ACM conference on Computer and communicationssecurity.ACM,2008:51-62.)提出基于Xen的Ether方法，整个系统分为两个部分，一部分工作在监控层下，一部分工作在Xen的特权管理域(dom0)中，利用Intel VT(IntelVirtualization Technology)技术对被监控系统中的可疑程序进行跟踪。Lanzi等人(LANZI A,SHARIF M I,LEE W.K-Tracer:A System for Extracting Kernel MalwareBehavior[C]//NDSS 2009:The Network and Distributed System Symposium,SanDiego,California,2009:255-264.)基于QEMU(Quick Emulator)提出并开发了K-Tracer恶意代码行为分析工具，它能够动态收集Windows内核的执行路径信息，并采用后向和前向切片技术来提取恶意代码行为。XUAN等人(XUAN C,COPELAND J,BEYAH R.Toward revealingkernel malware behavior in virtual execution environments[C]//Recent Advancesin Intrusion Detection.Springer Berlin Heidelberg,2009:304-325.)提出的Rkprofiler是一个基于沙盒的恶意代码分析系统，它能够监控并报告客户机操作系统中运行的恶意代码的行为。