触发虚拟机自省的方法、装置及系统的制作方法
【技术领域】
[0001] 本发明涉及虚拟机技术领域,尤其涉及一种触发虚拟机自省的方法、装置及系统。
【背景技术】
[0002] 近年来,随着个人电脑、移动计算设备,以及云计算的普及,计算机安全越来越成 为人们关注的热点。人们在各种设备中保存了大量关键数据,包括电子邮件、私人照片、银 行账号与密码、社交网络账号等等,这使得设备本身成为了黑客的攻击目标。如何提高计算 机的安全成为了亟待解决的关键问题。
[0003] VMI (Virtual Machine Introspection,虚拟机自省)是一种应用于虚拟化环境, 利用VMM (Virtual Machine Monitor,虚拟机监控器),从虚拟机外部增强虚拟机安全的一 种方法。该技术通过直接扫描虚拟机运行时的内存、磁盘、监控网络行为等操作,可进行杀 毒、网络防火墙等安全操作。
[0004] 由于虚拟化平台对VMM与虚拟机的执行隔离能力,使得应用虚拟机自省技术时, VMM运行在虚拟机外部,相比传统运行在虚拟机内部的安全软件,其安全性不依赖于虚拟机 本身,因此恶意软件即使感染了虚拟机,也无法干扰VMM的执行。然而VMM与虚拟机的执行 隔离能力也带来了语义鸿沟(Semantic Gap)问题,即VMM无法获知虚拟机的内部语义,这 为应用虚拟机自省技术增强虚拟机安全的应用带来了很大的挑战。
[0005] VMI系统尝试用不同的方法,尽可能缩小语义鸿沟,在众多语义鸿沟问题中,比较 重要的就是如何选择触发虚拟机自省的时机。一般的,VMI系统中触发虚拟机自省主要采 用如下方式:
[0006] 通过设置一个固定的间隔时间,定时触发VMI系统进行安全检查。该方法的优点 在于实现简单,无需根据具体的语义信息来触发。但是定时检查方案必须在性能与安全性 之间进行权衡。若检查的时间间隔设置过长,则可能导致漏掉一些本可以成功检测攻击,或 在攻击成功之后才检测出,从而可能导致无法挽回的损失,如机密数据的泄露等;若检查的 时间间隔设置过短,则可能大大增加系统的额外负载,从而影响正常的执行,导致系统的可 用性下降。
[0007] 因此,在VMI系统中提供一种及时并且有效的安全检查触发机制,势在必行。
【发明内容】
[0008] 本发明实施例提供一种触发虚拟机自省的方法、装置及系统,以提供一种及时有 效的安全检查触发机制。
[0009] 第一方面,本发明实施例提供一种触发虚拟机自省的方法,包括:
[0010] 确定需要保护的数据;
[0011] 对所述需要保护的数据进行监测;
[0012] 当监测到所述需要保护的数据被修改时,触发虚拟机自省。
[0013] 结合第一方面,在第一种实现方式中,对所述需要保护的数据进行监测前包括 :
[0014] 将确定的所述需要保护的数据对应的内存地址存储在硬件事务内存的读取集合 中;
[0015] 对所述需要保护的数据进行监测包括:
[0016] 对存储在所述读取集合的内存地址所对应的需要保护的数据进行监测。
[0017] 结合第一方面或第一方面的第一种实现方式,在第一方面的第二种实现方式中, 所述对所述需要保护的数据进行监测之前,还包括:
[0018] 保存所述需要保护的数据的副本;
[0019] 所述触发虚拟机自省包括:
[0020] 定位被修改数据的内存地址;
[0021] 所述触发虚拟机自省后还包括:
[0022] 根据所述副本和所述定位的被修改数据的内存地址,对被修改的数据进行修复。
[0023] 结合第一方面、第一方面的第一种实现方式或第一方面的第二种实现方式,在第 一方面的第三种实现方式中,所述触发虚拟机自省后还包括:
[0024] 取消监测所述需要保护的数据。
[0025] 结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式或第一 方面的第三种实现方式,在第一方面的第四种实现方式中,所述触发虚拟机自省后还包 括:
[0026] 向虚拟机用户发出告警提示,以便用户进行安全检查。
[0027] 第二方面,本发明实施例提供一种触发虚拟机自省的装置,包括:确定单元、监测 单元与触发单元,其中,
[0028] 所述确定单元,用于确定需要保护的数据;
[0029] 所述监测单元,用于对所述确定单元确定的需要保护的数据进行监测;
[0030] 所述触发单元,用于当所述监测单元监测到所述需要保护的数据被修改时,触发 虚拟机自省。
[0031] 结合第二方面,在第二方面的第一种实现方式中,该装置还包括存储单元:
[0032] 所述存储单元,用于将所述确定单元确定的所述需要保护的数据对应的内存地址 存储在硬件事务内存的读取集合中;
[0033] 所述监测单元具体用于:
[0034] 对所述存储单元存储在所述读取集合的内存地址所对应的需要保护的数据进行 监测。
[0035] 结合第二方面或第二方面的第一种实现方式,在第二方面的第二种实现方式中, 该装置还包括:保存单元和修复单元,其中,
[0036] 所述保存单元,用于保存所述确定单元确定的需要保护的数据的副本;
[0037] 所述触发单元具体用于:
[0038] 定位被修改数据的内存地址;
[0039] 所述修复单元,用于根据所述保存单元保存的副本和所述触发单元定位的被修改 数据的内存地址,对被修改的数据进行修复。
[0040] 结合第二方面、第二方面的第一种实现方式或第二方面的第二种可能实现方式, 在第二方面的第三种实现方式中,所述装置还包括取消单元,
[0041] 所述取消单元,用于在所述触发单元触发虚拟机自省时,取消监测所述需要保护 的数据。
[0042] 结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式或第二 方面的第三种实现方式,在第二方面的第四种实现方式中,所述装置还包括告警单元,