[发明专利]一种支持多节点的KVM虚拟机隐藏进程检测系统

说明书

技术领域

本发明涉及虚拟化安全技术领域，特别是指一种支持多节点的KVM虚拟机隐藏进程检测系统。

背景技术

KVM/QEMU-KVM是目前虚拟化研究方向的核心支撑技术之一，被广泛应用于各个方向。但是引入QEMU-KVM技术后，由于其虚拟化出来的操作系统之间的安全性问题目前尚未获得较好的解决或证明方法，使攻击者有渠道完成虚拟机逃逸，甚至可以在宿主机平台上造成严重的破坏。目前绝大多数内核级rootkit，都具有隐藏进程的功能，一旦与恶意进程相配合，将会对系统安全造成巨大的威胁。因此，研究恶意隐藏进程的检测方法对保障系统的安全具有重要的意义。

VMwatcher在虚拟机外部构建进程控制块链表，并通过交叉视图的方式比较外部重构进程列表和内部汇报进程列表的差异，以此确定是否存在隐藏进程。然而直接操作内核对象(Direct Kernel Object Manipulation，DKOM)类攻击可以将待隐藏进程控制块从进程队列中摘链，因而该方法可能会出现漏检现象。

Lycosid利用假设检验方法判定被检测系统中是否存在隐藏进程，并通过最小二乘回归分析法计算进程的CPU占用率情况，以识别目标隐藏进程。该方法适合相对活跃系统(进程创建、销毁频繁的系统)，但是需要统计一定数量的数据，在此过程中恶意隐藏进程可能己对系统造成了破坏。由于它通过概率的方式识别隐藏进程，可能存在漏检或误警的现象。

虚拟机监视器(Virtual Machine Monitor，VMM)对上层虚拟机的完全控制权以及虚拟机间运行环境的强隔离性，为安全检测系统提供了良好的实施平台。借助虚拟机监控器提供的控制权与隔离性，电子科技大学的彭春洪与刘丹提出了一种基于KVM虚拟机的隐藏进程检测算法。算法依据客户机调度进程时会访问CR3寄存器而引起VCPU陷入到根模式执行的原理，在虚拟机的陷入异常处理函数中插入多视图进程检测算法，大大提升了隐藏进程的检测准确性，同时提出一种优化的hash算法来减小对虚拟机的性能损失。

目前的虚拟机隐藏进程检测技术通过不断深入了解虚拟机架构及机理，已经逐步提高了检测准确率以及对虚拟机的性能消耗。但现有的研究仍局限于方法验证的层次，仅针对单个虚拟机进行检测算法研究层次上的功能和性能优化。从应用角度来看，现有的技术无法实现对宿主机上部署的所有节点的同时检测，难以用于实际的工程应用。同时目前尚没有成熟、可靠、实用的工具软件可供使用，对虚拟机隐藏进程技术的实用化产生了不利影响。

发明内容

有鉴于此，本发明提供一种支持多节点的KVM虚拟机隐藏进程检测系统，其具有对部署宿主机上的所有虚拟机节点进行实时、准确、高效的隐藏进程检测的能力，用户不必在虚拟机内部进行多余操作，便可在宿主机中对虚拟机进行进程监控，有助于促进KVM虚拟机隐藏进程检测技术在实际工程方面的应用。

为了实现上述目的，本发明提供的技术方案是：

一种支持多节点的KVM虚拟机隐藏进程检测系统，其包括可信进程追踪模块、进程系统调用捕获模块、终止进程判定模块、非可信进程列表获取模块、隐藏进程对比检测模块及用于集成上述模块的系统框架程序；其中：

可信进程追踪模块：用于实现从虚拟机监控器层次上对多个虚拟机节点的进程追踪、语义重构以及进程列表存储；

进程系统调用捕获模块：用于实现对多个虚拟机节点的进程系统调用行为的捕获及识别功能；

终止进程判定模块：用于对可信进程模块追踪得到的各个虚拟机节点的进程进行终止判定；

非可信进程列表获取模块：用于实现从虚拟机操作系统层次获取目标虚拟机的内部进程列表的功能；

隐藏进程对比检测模块：用于将可信进程追踪模块获取的可信进程列表以及非可信进程列表获取模块输出的非可信进程列表进行对比，检测出当前虚拟机中的隐藏进程，并将检测结果输出至系统框架程序提供的用户界面；

系统框架程序：用于实现各子模块的集成和数据的传递与管理，并提供用户界面，将用户输入的虚拟机域名传递至非可信进程列表获取模块，将隐藏进程对比检测模块的检测结果输出至用户界面。

可选的，所述可信进程追踪模块实现如下过程：

(1)在虚拟机监控器中处理客户机进程切换的功能模块中，获取虚拟机CPU描述符kvm_vcpu结构体，借助内核接口vmcs_readl从中读取将被切换至非运行状态的进程页目录基地址寄存器以及内核栈顶指针寄存器的值；