[发明专利]客户虚拟机内存动态隔离和监控方法及系统

说明书

本发明提供了一种客户虚拟机内存动态隔离和监控方法及系统，在客户虚拟机中分别部署用户请求处理模块、扩展页表异常截获与处理模块、虚拟机监控器交互模块、扩展页表通信模块，在虚拟机监控器中分别部署扩展页表管理模块、应用行为学习模块。利用虚拟机内核地址空间隔离技术，有效防御针对内核关键数据的窃取、针对内存的随意覆写攻击。即使掌握了内核中某一模块的漏洞，也无法随意篡改受保护的关键数据。为不同模块提供不同的隔离执行环境，保护内核不受未授权的数据窃取、内存覆写攻击。使用硬件提供的虚拟化机制,加速扩展页表的切换功能，减少性能开销。

技术领域

本发明涉及计算机技术领域，具体地，涉及一种客户虚拟机内存动态隔离和监 控方法及系统。

背景技术

操作系统的内核安全一直是学术界和工业界研究的热点。因为内核拥有比用户态程序更高的权限，所以一旦内核被攻击者所攻破，整个系统便会失去保护。随着 云平台的盛行,许多厂商将自己的服务放置到云平台上，而内核安全问题依然重要。 大部分的虚拟机都运行了例如linux,windows这样的大型操作系统，在这些操作 系统之上又运行了大量用户程序。不管是操作系统还是用户程序都是复杂的软件， 这样的复杂度使得整个系统中隐藏的很多错误或者漏洞难以被发现，而这些错误和 漏洞有可能会被攻击者所掌握并利用，以及来破坏整个系统的完整性。

攻击者会找寻下层操作系统内核中的错误和漏洞，而一旦攻击者找到一个漏洞后，会针对该漏洞构造特定的恶意请求，并通过syscall指令去请求内核的处理。 操作系统内核收到来自用户态的请求之后，会解析该请求的参数并交由特定的处理 逻辑进行处理。由于这个请求的参数是恶意构造的，内核会在执行过程中触发该漏 洞，攻击者通过此漏洞可以劫持控制流或者破坏内核完整性，进而控制整个内核。 操作系统可以访问并修改所有内存，一旦攻击者能够控制整个内核，便能访问甚至 修改其他所有用户态应用的内存，严重危害其他程序的安全。正因为其重要性，目 前已经有不少研究者进行了相关的研究，试图缓解内核的安全问题。

在2016年纽约大学的Yiwen等研究者提出了一种方案叫Lock-in-Pop，该方案假设内核中经常被执行的代码路径比不经常执行的代码路径包含更少的错误或漏洞。在该方案中用户态程序运行在一个library OS环境中，用户程序与内核的交互都需要经过NaCl和Repy进行转换，而这两个部件会将所有的不常见的系统调用都替换为常见的系统调 用，以此确保只有内核中经常被执行的代码路径会得到实际运行，而不经常执行的代码 路径则不会实际被执行。上述方法在一定程度上避免了内核中有错误或漏洞的代码被执 行，但在经常执行的代码路径中仍然可能存在错误或漏洞。例如在内核的常见代码路径 中包含CVE-2014-4171漏洞，该方案并不能防范未知的漏洞。性能方面，由于将用户程 序运行在library OS中，极大的降低了应用程序的性能，最高的性能损耗达到了6.5 倍。

2015莱斯大学的Nathan等人提出，利用现有硬件机制，在原本的内核中建立一个小型的、隔离的部件，叫做Nested Kernel；而原本的内核部分，叫做Outer Kernel。 该方案通过修改页表中相应入口的权限位保证了Outer Kernel无法访问Nested Kernel 的地址空间，同时将修改CR0，CR3，CR4等关键寄存器的指令设置为对于Outer Kernel 不可见来确保其无法随意修改关键寄存器或内存。上述方案可以在同一特权级中实现对 于关键数据的只读保护，然而安全性方面，攻击者对于关键数据仍然具体读取权限，仍 然存在敏感数据的泄露可能。性能方面，由于每次修改关键数据或关键寄存器的时候都 需要进入到Nested Kernel去模拟执行，因此在一些micro benchmark中对于性能的影 响较大。