技術領域

本發明涉及信息安全技術領域，尤其涉及云計算中的保護虛擬機安全的方案。?

背景技術

云計算是計算機和互聯網的又一次新的革命，它將計算和存儲轉移到了云端，用戶可以通過使用輕量級的便攜式終端來進行復雜的計算和大容量的存儲。從技術的角度來看，云計算不僅僅是一種新的概念，并行計算和虛擬化是實現云計算應用的主要技術手段。由于硬件技術的快速發展，使得一臺普通的物理服務器的所具有性能遠遠超過普通的單一用戶對硬件性能的需求。因此，通過虛擬化的手段，將一臺物理服務器虛擬為多臺虛擬機，提供虛擬化服務成為了構建公有云和企業私有云的技術基礎。?

虛擬化在帶來技術變革的同時，也提出了新的主機安全防護問題。如果按照傳統方式部署主機殺毒或主機入侵防護產品，需要在每臺虛擬機上安裝相應的安全防護軟件。每臺虛擬機上的安全防護軟件同時執行任務時，將會對內存和CPU的資源產生激烈的競爭。同時，在安全產品的規則庫、病毒庫的管理上也變得較為復雜。若不能保證所有虛擬機上安全防護產品的規則庫同步更新，則會產生安全防護間隙的問題。比如，新建的未安裝安全防護軟件的虛擬機或在虛擬機休眠后，對其它未休眠的虛擬機上安全產品的規則庫進行了更新，則重啟后的休眠中的虛擬機都成為了容易被入侵的目標。?

VMM(Kernel-based?Virtual?Machine，開源虛擬機)內省技術是一種由虛擬機監控器主動向外提供對其上運行的虛擬機進行掃描和監控的技術，包括如對虛擬機的內存掃描、IO截獲、進程信息獲取等。通過虛擬機監控器?內省技術提供的API接口，以一臺獨立的特權安全虛擬機的形態來實現對其上運行的虛擬機的安全防護，就不需要在業務虛擬機內安裝安全防護軟件，解決的資源競爭的問題，同時，由于只需要對這臺安全虛擬機進行規則庫和病毒庫的維護管理，也能夠很好的解決由于更新不同步所造成的安全防護間隙問題。?

KVM是一種基于Linux內核的虛擬化監控器，由于其隨著Linux內核的發布而進行更新，現已經成為很受第三方云計算解決方案提供商歡迎的虛擬化平臺。有大量的基于KVM進行修改的云計算平臺被部署到了互聯網數據中心(IDC)中，成為云計算應用的基礎設施。目前KVM還沒有像VMWare那樣提供官方的VMM內省API支持，雖然在Qemu-kvm和KVM模塊中都存在有IOCTL的調用接口，但是如果想使用這些接口必須對其模塊的源碼進行修改和重新編譯。這在商業應用中是很難達成的，因為通常云計算服務提供商和安全產品服務提供商不是同一家廠商，作為云計算服務提供商也不會允許安全產品服務提供商對其云計算平臺的核心代碼模塊進行任意的修改。因此，本方法和系統主要解決如何在一個已經部署并穩定運行的以KVM為核心的云計算商業平臺中，完全不修改虛擬化平臺核心模塊，并向外提供對虛擬機系統中運行的進程信息內省接口的技術問題。?

發明內容

本發明所要解決的技術問題是，提供一種KVM虛擬機進程信息的獲取方法及系統，以便在完全不修改虛擬化平臺核心模塊的基礎上，向外提供對虛擬機系統中運行的進程信息內省接口。?

為了解決上述技術問題，本發明公開了一種KVM虛擬機進程信息的獲取系統，至少包括系統調用截獲模塊和內省API驅動模塊，其中：?

所述系統調用截獲模塊，截獲Qemu-kvm發起的IOCTL系統調用，并將該IOCTL系統調用的參數發送給所述內省API驅動模塊；?

所述內省應用程序接口(API)驅動模塊，使用系統調用截獲模塊發送的參數替代Qemu-kvm向KVM發起IOCTL系統調用，記錄KVM響應?IOCTL系統調用的虛擬CPU的文件描述符并返回給Qemu-kvm，獲取正在運行中的虛擬機中的進程和寄存器的相關信息，并對所獲取的相關信息進行結構化處理后通過進程掃描接口暴露給外部程序，以及接收由外部程序發起的掃描命令，通過所述虛擬CPU的文件描述符向KVM發起該請求。?

較佳地，上述系統還包括：?

策略管控模塊，對所述內省API驅動模塊獲取的虛擬機內進程信息和寄存器信息進行掃描，并根據掃描結果進行分析，生成分析報告，并通過所述內省API驅動模塊提供的IOCTL接口向外部程序下發對虛擬機進程信息的掃描命令。?