[发明专利]一种内核模块的交互行为监控方案

说明书

本发明涉及一种内核模块的交互行为监控方案，利用硬件虚拟化技术的VM Func机制，可以在不陷入虚拟机监控器VMM的情况下完成VMM层EPT页表的切换，减少了陷入到VMM之中的次数；将监控程序放在Guest OS内的地址空间内，使得监控时不必再陷入到VMM之中；去除VMM不必要的虚拟化功能，让Guest OS直接与硬件交互，从而减少不必要的性能开销。本方法减少了系统运行时陷入到VMM中的次数，提升了内核模块的隔离性能，可提高内核的安全性。

技术领域

本发明涉及对操作系统不可信内核拓展模块的隔离监控，特别针对一种内核模块的交互行为监控方案。

背景技术

研究表明，内核模块是内核漏洞的主要来源。在Windows XP操作系统中，85％的内核漏洞来自于内核模块；在Linux操作系统中，内核模块的错误率是主内核的7倍多。根据CVE的报告，有三分之二的内核漏洞都源自内核模块或者驱动程序。而不可信内核拓展模块与主内核具有同样的特权级，可调用任意的内核函数，可以修改任意的内核数据，使内核安全性面临威胁。因此，对内核拓展模块进行隔离与行为监控，有助于提高内核乃至操作系统的安全性。当前，对内核模块的隔离方案大致有二类：基于虚拟化技术和非虚拟化技术。基于虚拟化技术可以提供良好的兼容性和安全性，而基于非虚拟化技术的隔离方案，容易被恶意软件绕过，因而基于虚拟化技术的隔离方案较为主流。然而，现有基于虚拟化技术的隔离方案存在着一些问题，如由于特权级之间的切换频繁，造成性能开销较大。

发明内容

本发明提供了一种基于虚拟化技术的内核交互行为监控方案，使得在系统运行时对不可信内核拓展模块的隔离、监控更加高效和安全。

为了达到上述目的，本发明采用如下技术方案：一种内核模块交互行为的监控系统，组件包括内核模块隔离器，内核交互监控模块，内核模块接口。本方案的关键操作如下：

(1)内核模块隔离器的初始化：在操作系统启动时，进行虚拟化环境的配置工作。动作包括：启用Intel处理器提供的扩展页表EPT机制和VM Func机制，建立用于支持内核空间隔离的两套EPT页表。初始化完毕后等待内核模块的加载。

(2)内核函数的提取与改写：对于拟监控的内核模块，提取内核模块用到的内核函数，并进行改写，以便内核交互监控模块对其交互行为(即内核函数的调用)进行监控。

(3)监控模块的设置：监控模块用于对整个系统实施监控，首先分配监控模块运行时所需的数据空间，然后根据提取到调用的内核函数，按照页对齐的方式生成监控模块的两个逻辑部分，即检测程序和内核模块接口。内核模块接口完成内核拓展模块和主内核之间的控制流切换。

(4)内核和监控模块保护的设置：内核模块加载时，会触发加载过程中设置的内核钩子。内核钩子首先会获取内核空间的地址布局，然后会调用内核模块隔离器提供的内核接口完成两套EPT页表的设置，对监控模块和内核进行保护，实现隔离。

(5)内核模块交互行为的监控：由于经过了改写，内核拓展模块与内核进行交互时，内核交互监控模块将进行监控。内核拓展模块调用内核函数时，首先会调用中间模块的函数接口，然后再进行检测，最后在调用真正的内核函数。

本发明相比于现有技术具有以下有益效果：

本方法提出一种内核模块的交互行为监控方案，利用硬件虚拟化技术的VM Func机制，可以在不陷入虚拟机监控器VMM的情况下完成VMM层EPT页表的切换，减少了陷入到VMM之中的次数；将监控程序放在Guest OS内的地址空间内，使得监控时不必再陷入到VMM之中；去除VMM不必要的虚拟化功能，让Guest OS直接与硬件交互，从而减少不必要的性能开销。