[发明专利]用于虚拟机操作系统的异常事件监控方法及系统

说明书

本发明公开了一种用于虚拟机操作系统的异常事件监控方法及系统。其中，该方法包括：通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块提供的异常处理函数的函数地址；针对函数地址插入预设插桩代码；其中，预设插桩代码用于在异常处理函数执行时进行监控；当检测到由异常处理函数的执行过程而触发的第二虚拟机退出事件时，根据第二虚拟机退出事件切换为根模式；在根模式下获取与异常处理函数相关的异常事件的事件信息。能够针对异常处理函数进行插桩，从而利用由异常处理函数触发的虚拟机退出事件进入根模式获取异常事件的事件信息，从而便于即时发现并处理异常事件，提升了虚拟机操作系统的安全性。

技术领域

本发明涉及计算机技术领域，具体涉及一种用于虚拟机操作系统的异常事件监控方法及系统。

背景技术

虚拟机(Virtual Machine，简称VM)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在现有技术中，能够利用虚拟机实现恶意行为的检测，从而检测出威胁源。例如，可以通过虚拟机技术构建沙箱环境，以便在沙箱环境中进行安全检测。另外，在进行安全检测的过程中，通常需要针对特定的指令进行插桩操作，以监控该指令的执行过程。

但是，发明人在实现本发明的过程中发现，现有技术中的上述方式至少存在下述缺陷：在基于虚拟机实现的操作系统中，一旦出现异常事件则可能导致虚拟机环境异常，从而导致虚拟机环境中运行的各个应用程序出现故障。在现有技术中，尚没有一种能够有效监控虚拟机操作系统中的异常事件的方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用于虚拟机操作系统的异常事件监控方法及系统。

根据本发明的一个方面，提供了一种用于虚拟机操作系统的异常事件监控方法，该方法由宿主机检测模块执行，包括：

通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块提供的异常处理函数的函数地址；

针对所述函数地址插入预设插桩代码；其中，所述预设插桩代码用于在所述异常处理函数执行时进行监控；

当检测到由所述异常处理函数的执行过程而触发的第二虚拟机退出事件时，根据所述第二虚拟机退出事件切换为根模式；

在所述根模式下获取与所述异常处理函数相关的异常事件的事件信息。

根据本发明的另一个方面，提供了一种用于虚拟机操作系统的异常事件监控系统，包括：

宿主机检测模块以及虚拟机检测模块；其中，所述宿主机检测模块进一步包括：

获取单元，适于通过由虚拟机调用指令触发的第一虚拟机退出事件，获取由虚拟机检测模块提供的异常处理函数的函数地址；

插桩单元，适于针对所述函数地址插入预设插桩代码；其中，所述预设插桩代码用于在所述异常处理函数执行时进行监控；

切换单元，适于当检测到由所述异常处理函数的执行过程而触发的第二虚拟机退出事件时，根据所述第二虚拟机退出事件切换为根模式；

异常处理单元，适于在所述根模式下获取与所述异常处理函数相关的异常事件的事件信息。

根据本发明的又一方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，处理器、存储器和通信接口通过通信总线完成相互间的通信；

存储器用于存放至少一可执行指令，可执行指令使处理器执行上述用于虚拟机操作系统的异常事件监控方法对应的操作。

根据本发明的再一方面，提供了一种计算机存储介质，存储介质中存储有至少一可执行指令，可执行指令使处理器执行如上述用于虚拟机操作系统的异常事件监控方法对应的操作。