技術(shù)領(lǐng)域

本發(fā)明涉及計算機技術(shù)領(lǐng)域，尤其是涉及一種基于KVM虛擬化平臺的虛擬機在線殺毒系統(tǒng)。

背景技術(shù)

隨著因特網(wǎng)的發(fā)展，越來越多的大型企業(yè)或者實驗室趨向于使用虛擬化架構(gòu)來節(jié)約服務(wù)器成本或提高應(yīng)用靈活性。虛擬化的實質(zhì)就是利用眾多的虛擬機來代替原來的物理機進行各項工作。圖1表明了虛擬化的基本結(jié)構(gòu)，其中最下面一層x86?Architecture（x86結(jié)構(gòu)）?為物理機的硬件設(shè)備，包括重要處理器（CPU）、內(nèi)存（Memory）、網(wǎng)絡(luò)適配器（NIC）、硬盤（Disk）等設(shè)備，第二層為虛擬化層（Virtualization?Layer），負責(zé)對物理機上的物理設(shè)備進行虛擬化，以便各虛擬機進行使用，各虛擬機中包括操作系統(tǒng)（Operating?System）和應(yīng)用程序（App），同時專門有一臺虛擬機作為服務(wù)控制臺（Service?Console）。傳統(tǒng)計算機的使用，每個用戶都有自己的一套硬件設(shè)備，包括顯示器、內(nèi)存、硬盤、CPU、網(wǎng)卡等，而在虛擬化平臺下，每個用戶不再需要擁有整套設(shè)備，只需一個終端顯示設(shè)備即可。虛擬機運行在虛擬機服務(wù)器上，由服務(wù)器分發(fā)給要使用虛擬機的用戶。圖2表明用虛擬機（VM）代替物理機的工作方式，服務(wù)器上設(shè)置多個虛擬機，企業(yè)內(nèi)部的客戶端A、B、C可以直接連接服務(wù)器使用虛擬機，企業(yè)外部的客戶端D、E也可以通過防火墻后連接到服務(wù)器使用虛擬機。虛擬化在各種應(yīng)用中，包括有服務(wù)器虛擬化、桌面虛擬化，以及當(dāng)下最流行的云計算等各種應(yīng)用中擔(dān)當(dāng)著舉足輕重的地位。面對這些應(yīng)用，數(shù)據(jù)中心少則部署幾臺虛擬機，多則幾十上百臺。

虛擬機可以完成物理機能進行的各種工作，在虛擬機中可以進行各種網(wǎng)絡(luò)通信，所以虛擬機和物理主機一樣，面臨著各種各樣的安全威脅，對虛擬機進行安全維護特別是病毒查殺有著重要的意義。

傳統(tǒng)的虛擬機殺毒工作方式中，需要用戶在每個虛擬機里面都安裝殺毒軟件，在開機時單獨對各個虛擬機進行病毒查殺，如圖3所示，在圖3所示的虛擬化基本結(jié)構(gòu)下，需要在每個虛擬機（VM）安裝安全殺毒軟件（Antivirus），然后由虛擬機的操作系統(tǒng)（Operating?System）調(diào)用殺毒軟件。但是，這種反病毒框架不能有效利用虛擬化的優(yōu)勢，直接部署到虛擬化平臺下效率較低，不能實現(xiàn)對虛擬機的集中管理，會導(dǎo)致人力和計算資源的浪費，與此同時，傳統(tǒng)反病毒軟件自身的安全性已經(jīng)受到嚴(yán)重威脅。如在Windows系統(tǒng)中，使用Rootkit等先進技術(shù)的病毒能在內(nèi)核空間中，與反病毒軟件“平等”競爭系統(tǒng)控制權(quán)。傳統(tǒng)的方法只能控制病毒進入內(nèi)核的已知通道，難以可靠地防止病毒進入系統(tǒng)內(nèi)核破壞殺毒軟件。

隨著虛擬化和云計算技術(shù)的廣泛推進，國內(nèi)外對于虛擬化平臺上安全系統(tǒng)的研究也呈現(xiàn)多元化、專業(yè)化的趨勢。在虛擬機進程管理方面，中國科技大學(xué)的張紀(jì)勝等人實現(xiàn)了在VMM(Virtual?Machine?Monitor,?虛擬機監(jiān)視器）下客戶機（Guest）操作系統(tǒng)進程級的管理工具，大大提高了管理性能。在虛擬機安全檢測方面，Xuxian?Jiang等人實現(xiàn)了基于VMM的Rootkit檢測，復(fù)旦大學(xué)的杜海等人實現(xiàn)了基于完全虛擬化技術(shù)的可疑進程與可疑模塊的檢測。在商業(yè)應(yīng)用方面，趨勢科技新推出了Deep?Security?安全系統(tǒng)，實現(xiàn)了VMWare平臺上?“客戶機不安裝任何輔助軟件”的透視防護（仍然要安裝特殊驅(qū)動程序），一定程度上代表了服務(wù)器安全領(lǐng)域的發(fā)展方向。

發(fā)明內(nèi)容

針對傳統(tǒng)的虛擬機殺毒工作方式效率低下的問題以及現(xiàn)有反病毒軟件自身的安全性缺陷，提供一種基于KVM虛擬化平臺的虛擬機在線殺毒系統(tǒng)。

本發(fā)明的技術(shù)方案為一種基于KVM虛擬化平臺的虛擬機在線殺毒系統(tǒng)，所述KVM虛擬化平臺包括服務(wù)器上的KVM內(nèi)核模塊和多個虛擬機，設(shè)置安全內(nèi)核模塊、安全控制模塊和網(wǎng)絡(luò)模塊，

在KVM內(nèi)核模塊中添加讀取內(nèi)存的函數(shù)，并提供安全內(nèi)核模塊注冊鉤子的接口；

安全內(nèi)核模塊設(shè)置于服務(wù)器中，用于通過接口在KVM內(nèi)核模塊中注冊鉤子，向安全控制模塊發(fā)出掃描命令，接受安全控制模塊所得掃描查毒結(jié)果，暫停可疑進程，對可疑進程進行相應(yīng)處理；所述鉤子通過執(zhí)行鉤子回調(diào)函數(shù)實現(xiàn)操作，包括獲取當(dāng)前進程在虛擬機內(nèi)存中的地址，根據(jù)所獲地址通過KVM內(nèi)核模塊中讀取內(nèi)存的函數(shù)獲得虛擬機的進程信息，根據(jù)進程信息將虛擬機的進程的可執(zhí)行代碼由虛擬機內(nèi)存映射到安全控制模塊的內(nèi)存；

安全控制模塊設(shè)置于服務(wù)器中，用于接受安全內(nèi)核模塊發(fā)出的掃描命令，調(diào)用殺毒引擎對安全控制模塊的內(nèi)存中所有虛擬機的進程的可執(zhí)行代碼進行掃描查毒，并將結(jié)果報告給安全內(nèi)核模塊；