基于虚拟化的主机行为主被动结合检测系统和方法

基于虚拟化的主机行为主被动结合检测系统和方法
【技术领域】
[0001]本发明涉及虚拟化安全监控领域，具体涉及基于虚拟化的主机行为主被动结合检测系统和方法。
【背景技术】
[0002]随着科技技术及工艺技术的不断发展，计算机处理能力快速增长，特别是多核处理器的出现，这导致服务器的利用率下降。虚拟化技术的出现，在一定程度上提高了服务器的利用率。虚拟化技术将服务器硬件资源充分整合利用，在硬件资源之上由运行单一操作系统环境变为能够同时运行多个操作系统环境，且不同操作系统环境之间相对封闭、互不影响。在虚拟化技术中，虚拟机管理器(Virtual Machine Monitor，简称VMM)起着至关重要的作用，它管理服务器硬件资源，并对硬件资源进行抽象、分割，供硬件环境之上的虚拟操作系统环境(Virtual Machine，简称VM)使用。与传统架构相比，虚拟化技术所产生的虚拟化架构为安全监控提出了新的思路与挑战。在虚拟化架构中，操作系统不再直接运行于硬件环境之上，不再管理控制硬件环境，而是由虚拟机管理器取而代之，同时虚拟机管理器处于操作系统和真实硬件环境之间，比操作系统的权限更高。这些特性使得借助虚拟机管理器来保证系统平台的安全性已渐成一种研究趋势。目前利用虚拟化进行安全监控主要集中在虚拟化网络行为及虚拟化主机行为等方面，本发明重要关注虚拟化主机行为的截获与分析。
[0003]目前，从监控触发方式角度来看，利用虚拟化技术进行主机行为安全监控可以分为两大类:主动监控及被动监控。主动监控是指利用扫描或者轮询的方式，周期性触发行为监控。主动监控的典型代表是LareS、Libvmi等。这种监控方式完全可控，在任何时刻均可实施主机行为监控，适用于对主机行为的完全获取，更注重于获取主机内部的完整行为动作，而不是特定事件的截获，同时可能招致监控效率低下及对VM的性能损耗。被动监控是指设置事件触发器，仅当相应事件发生时触发事件触发器，才对主机行为数据进行监控。被动监控的典型代表是Ether、Nitro等。这种监控方式通过特定事件触发，能够在第一时间内监控到特定动作的发生，适用于对特定主机行为动作的监控，更注重于获取某些特定的行为事件，然而由于监控动作不可控，可能导致监控误报或漏报的情况发生。
[0004]现阶段主机行为监控的常见方法是:I)采用主动监控方式，周期性触发监控动作；
2)采用被动监控方式，以事件驱动方式触发监控动作。两种监控方式兼有优缺点，单纯采用单一的监控方式很难获取完整的语义分析视图，难以兼顾实时性、灵活性及准确性等特点。主动监控方式缺乏实时性，语义分析视图何时生成主要取决于轮询策略或者计时触发器触发，这种方式无法实时感知虚拟机中系统状态的变化，如进程的创建和切换，文件的打开和关闭等。更准确的说，主动监控方式适用于获取虚拟机中静态的行为数据。被动监控方式仅能获取当前时刻特定事件的语义分析视图，如进程切换、系统调用及中断等，缺乏灵活性，很难灵活获取某一时刻包含虚拟机内部所有行为的语义视图。若如果想使用被动监控方式获取虚拟机内部全部行为的语义视图，则需要拦截虚拟机内部的所有事件，这种状况会严重影响虚拟机的性能。

【发明内容】

[0005]针对上述已有方法存在的问题，本发明公开了一种基于虚拟化的主机行为主被动结合检测系统和方法。考虑到虚拟机监控器完全控制着运行于其上的所有虚拟机对硬件资源的访问，本发明实现了一种具有透明性、实时性、灵活性等特点的集中式虚拟机监控机制;面对目前公开的研究背景中的局限性，本发明采用主动监控与被动监控相结合的方式，将主动监控与被动监控配合使用，两种监控方式相互协作，共同完成对虚拟机的主机行为分析，兼顾主机行为分析的实时性、灵活性与准确性；同时采用集中式分析架构，将虚拟机的分析动作转移至集中分析集群进行，降低行为分析对硬件资源的损耗，降低行为分析对虚拟机性能的影响。
[0006]本发明公开的基于虚拟化的主机行为主被动结合检测系统如图1A所示，主要由主动监控获取数据模块、被动监控获取数据模块、数据转发模块、行为分析模块组成。其中主动监控获取数据模块采用主动监控方式主动获取虚拟机内部当前时刻的静态数据;被动监控获取数据模块采用异步侦听方式异步侦听截获虚拟机内部的系统调用、系统指令数据；数据转发模块负责将本地获取的数据远程转发至行为分析服务器进行，转发的数据包括主动方式获取的行为数据及异步侦听方式获取的行为数据;行为分析模块接收数据转发模块发送的行为数据，并根据数据来源，动态控制分析线程对行为数据进行分析。
[0007]本发明公开的基于虚拟化的主机行为主被动结合检测方法，采用上述系统，其运行流程如图1B所示，具体步骤如下:
[0008](I)将EFER寄存器的SCE字段置为O。
[0009](2)主动监控获取数据模块(Active View Generating Funct1n module,简称AVGF)通过虚拟机信息获取工具(如Libvmi等)获取虚拟机中的系统状态，并根据当前系统状态构造出所需要的语义信息，然后经数据转发模块(Transfer)转发至远程的行为分析服务器上，即发往行为分析模块。
[00?0] (3)随后，被动监控获取数据模块通过事件接收器(Event Sensor)不断拦截虚拟机中发生的事件:当虚拟机执行内部行为时，最终均会通过相应的系统调用得以实施;虚拟机执行系统调用时，由于系统运行时已将EFER寄存器的SCE字段置为O，因此会陷入至VMM中，事件接收器拦截到异常信息时，判断是否由syscall或sysret引起的，若是由这两条指令引起的，则收集系统调用号、系统调用参数、系统调用进程号、发生系统调用的地址、虚拟机的基本信息等。
[0011](4)Event Sensor将收集到的数据放入由共享内存(Shared mem)实现的环形缓冲区内。
[0012](5)系统调用信息收集结束之后，Event Sensor通过事件通道机制通知数据转发模块取走数据，同时模拟syscal I或sysret指令的运行，恢复虚拟机的操作。
[0013](6)数据转发模块将Event Sensor收集到的数据取走，并发往远程行为分析服务器，即发往行为分析模块。
[0014](7)行为分析模块接收远程数据转发模块发来的行为数据，并根据数据来源分发给不同的行为分析线程。
[0015](8)行为分析线程根据数据量大小，动态控制线程创建与消亡，对行为数据进行分析，对不同视图进行操作，如初始化、增加、删除、查找、更改等。
[0016]与现有技术相比，本发明具有如下优点:
[0017](I)集中式虚拟机监控机制。本发明统筹安排虚拟机行为分析，将对虚拟机的行为分析由特权域转移至行为分析服务器，对虚拟机行为动作进行集中分析，有利于对虚拟机的集中控制。
[0018](2)兼顾行为分析灵活性及实时性。本发明采用主动监控与被动监控相结合的方式对虚拟主机行为进行监控，能够兼顾主动监控方式与被动监控方式的优点，弥补单一监控方式的缺陷。
[0019](3)具备高安全可靠性。本发明将虚拟主机行为分析放置于分析服务器进行，能够避免虚拟机、特权域甚至虚拟机监控器遭受攻击而崩溃导致的行为分析失效，并能够尽快探知这一崩溃动作，而采取相应的补救措施。
[0020](4)数据分析协同处理。本发明建立多视图对比分析