[发明专利]一种基于CPU硬件特性的虚拟机自省触发方法及系统

说明书

本发明公开一种基于CPU硬件特性的虚拟机自省触发方法及系统，包括三个模块：分别是VMFUNC感知模块、参数传递模块、虚拟机自省启动模块。首先在对用户空间执行VMFUNC的情况进行监控，在虚拟机管理器中通过重载后的RDTSC模拟程序感知扩展页表指针值的变化；然后，将上一步获得的扩展页表指针值与用户Domain ID写入内存缓冲区中，触发一个虚拟中断，将控制权交与虚拟机自省启动模块；最后，Domain0解析内存中的信息，将参数传入虚拟机自省程序即可启动监控程序。本发明克服了以往虚拟机自省程序常驻带来的大量资源消耗，同时通过页表切换避免虚拟机自省程序执行中断虚拟机运行的现象，提高了VM执行的效率。

技术领域

本发明涉及云安全技术领域与VT-x技术领域，尤其是云安全中虚拟机自省技术的运用。

背景技术

在云计算已经得到普及和大规模应用的今天，其重要的技术基石虚拟化技术仍然是当前热门话题。虚拟机技术越来越多地部署在从高端服务器到台式PC的一系列平台上。在这些不同的计算环境中需要使用虚拟化的原因不断增加：服务器整合，支持多种操作系统(包括旧系统)，沙盒和其他安全功能，容错，专业架构优化等等。随着零开销虚拟化的软件和硬件支持的发展，虚拟化渐渐被被包括在主流商业操作系统中，虚拟化计算环境几乎已经变得无处不在。

作为一项可以将计算资源抽象、分割，使其得到统一表示的重要技术，虚拟化成为了云计算取用自由、按需付费这一构想的基础。在虚拟化技术架构中，主机资源的虚拟化抽象由虚拟机管理器(Hypervisor)提供，主机上包括Host OS在内的多台虚拟机之所以能够良好运行全都依赖着这一薄薄的软件基石提供的虚拟化环境。

作为虚拟资源的总调度站，虚拟机管理器是计算机硬件与操作系统之间进行沟通管理的新层次，它能够通过监控虚拟机的行为和软硬件资源使用情况(例如执行指令等)来感知虚拟机的内部状态，实现对于虚拟机透明的安全监控。此种技术即所谓虚拟机自省(Virtual Machine Introspection，VMI)，拥有特权的虚拟机(实质为已经虚拟化的主机操作系统)作为VMI主机，借助虚拟机管理器来获取其他普通虚拟机的状态、行为等信息，以待进一步的分析与检测。虚拟机隔离方面，VMM通过CPU提供的VM扩展功能来管理虚拟机上下文环境(Virtual Machine Context)，从而实现虚拟机间的数据隔离。该项技术自由Garinkel首次提出相关概念至今已经获得了一些研究与应用，其在恶意软件分析、内核完整性检测等方面发挥作用，为云计算安全的基本组成元素——虚拟机安全提供强有力的支撑。虚拟机自省技术的其中一个应用方向是安全监控，由于VMI能够于虚拟机外部透明地对其进行分析，使得不安全因素的现象与特征暴露无遗。

云计算中基于虚拟机自省技术的安全监控能否得以实用，有很大的一个方面取决于该技术对于计算资源的额外消耗，由于缺乏高效而又可靠的虚拟机内存存取机制，而这又是VMI技术得以实现的前提，因此VMI技术的实现一般开销过大。传统的虚拟机自省实现方法需要大量切换主机为虚拟机维护的页表，置换后的页表可以设置标志位，将某一关键页EPT设成不可访问，执行到这一标志位时，就会发生中断，产生VMEXIT事件使虚拟机陷入VMM，由主机接管关键页进行处理，从而实现VMI。研究指出VMI技术的额外开销一般在正常开销的9.3～500倍之间，甚至有应用需要6s才能遍历操作系统进程链。因此实现更高效的VMI实现是VMI技术得以应用在云安全中的前提。

而Intel于Haswell处理器所引进的VMFUNC指令能够直接切换EPT从而避免大量VMEXIT事件，大大减小开销，如果将VMFUNC与虚拟机自省技术结合起来，就能够利用双方的优势互补，使得能够在云计算环境中保证虚拟机安全的同时，也节约了计算资源，可谓一举两得。

发明内容