[发明专利]一种无代理的虚拟机监控系统和监控方法

说明书

本发明公开了一种无代理的虚拟机监控系统和监控方法，包括以下步骤：用户通过监控策略设置模块设置监控策略，虚拟机启动时，代码注入模块根据需被监控的虚拟机标识执行监控代码动态注入；虚拟化层根据监控代码和监控策略动态修改系统调用函数指针，使系统调用函数指针指向监控代码的函数地址；监控代码拦截到虚拟机内部系统调用后，从虚拟化层获取监控策略，根据监控策略完成虚拟机系统调用拦截的具体响应。本发明通过在虚拟化层中检测到虚拟机启动后动态注入监控代码到虚拟机内核实现监控，具有高度的监控灵活性，实时响应快。同时借助于虚拟化层对监控涉及的关键数据及代码的只读保护，保证监控系统始终有效。

技术领域

本发明属于虚拟机监控技术领域，具体涉及一种无代理的虚拟机监控系统和监控方法。

背景技术

随着云计算的深入发展及应用，虚拟机的安全监控一直是云计算中的技术难点和热点。虚拟机安全监控的技术实现方法可以分为两大类：传统主机监控方法和基于虚拟化的监控方法。传统主机监控方法将传统物理主机的监控方法，如病毒检测及防御系统，恶意代码拦截及隔离系统等直接集成到虚拟机操作系统内部实现监控；基于虚拟化的监控方法则借助虚拟化平台的更高特权级实现对虚拟机的安全监控。

基于传统主机的监控方法，实时响应快，但在虚拟化场景下，会失去利用虚拟化平台的高特权级透明监控优势，在虚拟机内部存在的恶意代码，能够干预和对抗安全监控系统；而完全在虚拟化平台层进行虚拟机监控，虽然安全监控对虚拟机透明，使得虚拟机内部的恶意代码无法破坏位于虚拟化层的监控代码，但由于虚拟化层缺乏虚拟机操作系统语义，通常实现复杂，而且频繁地由虚拟机陷入到虚拟机监视器层来实施额外的检查及监控分析，会大大增强性能损耗。

现有技术中一般通过如下方法实现虚拟机监控：

如图1所示，该方法借助于位于虚拟机内部的系统调用拦截模块，拦截操作系统内部的所有进程发起的系统调用请求，同时记录发起调用的进程信息。依据监控配置，如果发起系统调用的进程是需要监控的进程，就把系统调用的开始以及结束时间等信息记录下来，从而实现对虚拟机内部特定进程信息的详细监控。该方案严重依赖于虚拟机内部的系统调用拦截模块，在虚拟机内部存在恶意代码的情况下，无法保证对虚拟机内部特定进程监控的可靠性和安全性。

如图2所示，在虚拟化层，对需要虚拟化层执行的特殊指令，插入监控断点，从而实现对虚拟机执行流程的拦截，获取虚拟机当前执行信息。该方案架构在指令的翻译阶段，强行插入特殊的监控指令，实现控制流的跳转，增加了虚拟机运行的开销，而且，在基于硬件虚拟化的平台上，特权指令由处理器提供支持，不需要翻译过程。

发明内容

本发明的目的在于：解决上述现有技术中的不足，提供一种无代理的虚拟机监控系统和监控方法，将虚拟化层监控的高安全性与传统监控的实时性结合起来，一方面无需在虚拟机中部署任何代理组件，另一方面可以防止虚拟机内部恶意代码破坏监控系统。

为了实现上述目的，本发明采用的技术方案为：

一种无代理的虚拟机监控系统，包括：

监控策略设置模块，用于管理用户虚拟机监控策略；

监控注入模块，所述监控注入模块部署于虚拟化层，用于判断当前启动的虚拟机是否满足监控代码注入条件并执行监控代码注入；

监控功能防护模块，所述监控功能防护模块部署于虚拟化层，用于对虚拟机系统调用表、监控代码和系统调用入口函数执行流程进行只读保护。

一种无代理的虚拟机监控方法，应用上述的一种无代理的虚拟机监控系统，包括以下步骤：

步骤一：用户通过监控策略设置模块设置监控策略，所述监控策略包括需被监控的虚拟机标识、监控的相关系统调用和虚拟机系统调用监控的响应动作；

步骤二：虚拟机启动时，代码注入模块根据需被监控的虚拟机标识执行监控代码动态注入；