[发明专利]一种虚拟机内核监测方法、装置、设备及存储介质

说明书

本说明书提供一种虚拟机内核监测方法、装置、设备及存储介质，所述方法包括：VMM获取eBPF程序，将eBPF程序解析为至少一条系统调用指令并封装成对应的系统调用消息后从目标虚拟机的外部发送给目标虚拟机的内核；目标虚拟机的内核接收到系统消息，将各所述系统调用指令挂载至目标函数，以在所述目标函数被调用时执行所述系统调用指令，并将执行结果返回给所述VMM。

技术领域

本说明书实施例涉及计算机技术领域，尤其涉及一种虚拟机内核监测方法、装置、设备及存储介质。

背景技术

虚拟化技术被广泛运用的当下，为用户提供实际服务的一般为云厂商在物理宿主机上运行的虚拟机。由于虚拟化技术的隔离性，宿主机与虚拟机之间的信息不透明。在这种情况下，有必要对虚拟机内部进行安全监测，以确保公司和用户的数据安全。安全监测可以通过在虚拟机内部增加内核监测模块，运行该监测模块中配置的监测程序的方式实现，但监测的灵活性和通用性低；也可以利用eBPF程序实现，但需要为eBPF程序的安装预留接口并增设相应的用户态客户端。

发明内容

为克服相关技术中存在的问题，本说明书提供了一种虚拟机内核监测方法、装置、设备及存储介质。

根据本说明书实施例的第一方面，提供一种虚拟机内核监测方法，所述方法包括：

VMM获取eBPF程序，将所述eBPF程序解析为至少一条系统调用指令，并封装成对应的系统调用消息后从目标虚拟机的外部发送给所述目标虚拟机的内核；

所述目标虚拟机的内核接收所述系统调用消息，将各所述系统调用指令挂载至目标函数，以在所述目标函数被调用时执行所述系统调用指令，并将执行结果返回给所述VMM。

根据本说明书实施例的第二方面，提供一种虚拟机内核监测方法，应用于VMM，所述方法包括：

获取eBPF程序；

将所述eBPF程序解析为至少一条系统调用指令；

将各所述系统调用指令封装成对应的系统调用消息后从目标虚拟机的外部发送给所述目标虚拟机的内核；

接收所述目标虚拟机的内核返回的所述系统调用指令对应的执行结果。

根据本说明书实施例的第三方面，提供一种虚拟机内核监测方法，应用于虚拟机内核，所述方法包括：

接收VMM发送的系统调用消息，所述系统调用消息中封装有eBPF程序中至少一条系统调用指令；

将各所述系统调用指令挂载至目标函数，以在所述目标函数被调用时执行所述系统调用指令，并将执行结果返回给所述VMM。

根据本说明书实施例的第四方面，提供一种虚拟机内核监测装置，应用于VMM，包括：

获取模块，用于获取eBPF程序；

解析模块，用于将所述eBPF程序解析为至少一条系统调用指令；

第一发送模块，用于将各所述系统调用指令封装成对应的系统调用消息后从目标虚拟机的外部发送给所述目标虚拟机的内核；

第一接收模块，用于接收所述目标虚拟机的内核返回的所述系统调用指令对应的执行结果。

根据本说明书实施例的第五方面，提供一种虚拟机内核监测装置，应用于虚拟机内核，包括：

第二接收模块，用于接收VMM发送的系统调用消息，所述系统调用消息中封装有eBPF程序中至少一条系统调用指令；

挂载模块，用于将各所述系统调用指令挂载至目标函数；

执行模块，用于在所述目标函数被调用时执行所述系统调用指令；