相關(guān)申請

本申請的主題涉及與本申請相同發(fā)明人的、與本申請同日提交的、序列號和申請日待分配的、名為“Virtual?Machine?Snapshotting?andDamage?Containment”(代理卷號SUN09-0136)的共同未決非臨時申請中的主題。

技術(shù)領(lǐng)域

本發(fā)明的實施方式涉及用于對虛擬機的執(zhí)行進行管理的技術(shù)。更具體地，本發(fā)明的實施方式涉及用于促進虛擬機的自檢(introspection)的方法和系統(tǒng)。

背景技術(shù)

虛擬化可以用來在單個物理機器上運行多個操作系統(tǒng)實例。例如，虛擬化可以允許多種類型的操作系統(tǒng)在單個服務(wù)器上的虛擬機內(nèi)運行，并且共享服務(wù)器的物理資源。因此，計算系統(tǒng)中的虛擬化提供了多個優(yōu)點，諸如改善的資源利用、成本的降低、服務(wù)器整合和/或避繞互操作性約束。

然而，虛擬化環(huán)境可能受制于與本機環(huán)境相同的安全性和完整性風(fēng)險。具體地，物理機器內(nèi)的每個虛擬機可能易受來自各種源的入侵和攻擊。而且，在單個計算系統(tǒng)上執(zhí)行多種類型的操作系統(tǒng)可能由于需要安全性測量考慮該計算系統(tǒng)上的每類操作系統(tǒng)的安全隱患，而使計算系統(tǒng)的安全性測量的實現(xiàn)復(fù)雜化。因此，對單個物理機器中的虛擬機的攻擊可能難以檢測、分析和/或管理。

因此，需要一種促進對虛擬機上的攻擊和漏洞利用進行檢測、分析和管理的機制。

發(fā)明內(nèi)容

某些實施方式提供了一種管理虛擬化環(huán)境中的軟件組件的執(zhí)行的系統(tǒng)。在操作期間，該系統(tǒng)從虛擬化環(huán)境的外部位置監(jiān)測軟件組件的執(zhí)行。接下來，該系統(tǒng)通過將監(jiān)測到的執(zhí)行與軟件組件的預(yù)期操作進行比較，來評估軟件組件的完整性，其中預(yù)期操作基于軟件組件的源代碼而確定。最后，該系統(tǒng)使用所評估的軟件組件的完整性，來促進軟件組件的執(zhí)行。

在某些實施方式中，該系統(tǒng)還附加地從外部位置監(jiān)測與軟件組件的等同軟件組件的執(zhí)行，并且通過將軟件組件的監(jiān)測到的執(zhí)行與等同軟件組件的附加監(jiān)測到的執(zhí)行進行比較，來進一步評估軟件組件的完整性。

在某些實施方式中，促進軟件組件的執(zhí)行包括以下至少一個：驗證軟件組件的執(zhí)行，調(diào)試軟件組件，以及對軟件組件的漏洞利用做出響應(yīng)。

在某些實施方式中，評估軟件組件的完整性包括以下至少一個：檢測監(jiān)測到的執(zhí)行相對于軟件組件的預(yù)期操作的偏離，以及確定相對于預(yù)期操作的偏離的源。

在某些實施方式中，軟件組件是非開源的。

在某些實施方式中，軟件組件是操作系統(tǒng)和應(yīng)用的至少一個。

在某些實施方式中，通過在虛擬機中執(zhí)行操作系統(tǒng)的管理程序(hypervisor)來監(jiān)測操作系統(tǒng)的執(zhí)行。

在某些實施方式中，通過在虛擬化環(huán)境中執(zhí)行應(yīng)用的內(nèi)核來監(jiān)測應(yīng)用的執(zhí)行。

附圖說明

圖1A示出了按照一個實施方式的計算系統(tǒng)。

圖1B示出了按照一個實施方式的計算系統(tǒng)。

圖2示出了說明按照一個實施方式在虛擬化環(huán)境中管理軟件組件執(zhí)行的過程的流程圖。

具體實施方式

給出下文描述以使本領(lǐng)域的任何技術(shù)人員能夠?qū)崿F(xiàn)和使用實施方式，并且下文描述是在特定應(yīng)用及其需求的上下文中提供的。對所公開實施方式的各種修改對于本領(lǐng)域技術(shù)人員而言將是易見的，并且在此定義的一般性原理可以應(yīng)用于其他實施方式和應(yīng)用，而不脫離本公開的精神和范圍。由此，本發(fā)明不限于示出的實施方式，而是按照符合與在此公開的原理和特征的最寬泛范圍。

本詳細描述中所描述的數(shù)據(jù)結(jié)構(gòu)和代碼通常存儲在計算機可讀存儲介質(zhì)上，該介質(zhì)可以是能夠存儲供計算機系統(tǒng)使用的代碼和/或數(shù)據(jù)的任何設(shè)備或者介質(zhì)。計算機可讀存儲介質(zhì)包括但不限于：易失性存儲器；非易失性存儲器；磁性和光學(xué)存儲設(shè)備，諸如盤驅(qū)動、磁帶、CD(壓縮盤)、DVD(數(shù)字通用盤或者數(shù)字視頻盤)；或者能夠存儲計算機可讀介質(zhì)的現(xiàn)在已知或者今后開發(fā)的其他介質(zhì)。

在詳細描述部分中描述的方法和過程可以具體化為代碼和/或數(shù)據(jù)，其可以存儲在如上所述的計算機可讀存儲介質(zhì)中。當計算機系統(tǒng)讀取和執(zhí)行存儲在計算機可讀存儲介質(zhì)上的代碼和/或數(shù)據(jù)時，該計算機系統(tǒng)執(zhí)行具體化為數(shù)據(jù)和結(jié)構(gòu)、并且被存儲在計算機可讀存儲介質(zhì)中的方法和過程。

此外，下面描述的方法和過程可以包括在硬件模塊中。例如，硬件模塊可以包括但不限于：專用集成電路(ASIC)芯片、現(xiàn)場可編程門陣列(FPGA)以及現(xiàn)在已知或今后開發(fā)的其他可編程邏輯器件。當硬件模塊被激活時，硬件模塊執(zhí)行包括在該硬件模塊中的方法和過程。