技術領域

本發明涉及虛擬化技術和信息安全技術領域，特別是一種性能優化的虛擬化資源的監控方法和系統。

背景技術

虛擬化技術是一種在IT界廣泛使用的技術，由于云計算技術的大規模使用，虛擬化技術，特別是服務器虛擬化技術正在快速發展并迅速改變著IT的面貌，并從根本上改變著人們的計算方式。通過將物理資源虛擬化，可以將服務器資源分配給多個虛擬機，虛擬化支持不同的應用，甚至不同的操作系統在同一臺服務器上運行。通過和云計算技術結合，可以提供靈活的配置手段、快速的部署模式并能夠節約計算資源。

然而，在帶來巨大的優點的同時，虛擬化技術也帶來了不同于傳統安全模式的很大的安全風險。物理資源的虛擬化后，一臺物理服務器上可能運行著多臺虛擬機。實際的計算資源（CPU、內存、磁盤、網絡等）通過虛擬化形成虛擬化資源而被不同的虛擬機所共用。因此實際使用過程中，不同的虛擬機實際上在共用同一個物理服務器資源，只是對它們而言，以為是在獨享系統資源，整個資源共享使用過程由虛擬化模塊（如Xen等虛擬機監視器）來調度。一旦攻擊者利用其漏洞侵入系統，虛擬化模塊就能影響其上運行的所有虛擬機，進而威脅運行在虛擬機上的所有應用和用戶數據，因此針對虛擬機的安全防護至關重要。虛擬化技術帶來了新的安全威脅主要有：虛擬化資源的隔離問題：在多租戶環境下，同一云平臺內可能運行著不同租戶的不同業務系統，租戶的資源面臨著被其它租戶非法訪問的威脅，同時某一租戶的惡意或誤操作等安全事故有可能會擴大影響到同一云平臺的其它租戶業務系統，對其它租戶造成安全威脅；虛擬機管理層（VMM）安全問題：由于虛擬機管理層運行于比虛擬機更高的級別，因此對虛擬機管理層的攻擊，就威脅到了運行于同一物理服務器之上的所有虛擬機；虛擬機逃逸問題：如果在虛擬機里運行的惡意程序繞過虛擬機本身的安全機制，獲得了虛擬機管理層或物理服務器的某些權限，就對同一物理服務器之上的所有虛擬機產生了威脅；虛擬網絡安全風險：云計算環境下，由于虛擬網絡資源的廣泛應用，傳統的網絡邊界變得模糊。傳統的安全設備，如防火墻、IDS、IPS等，只能部署于物理邊界，無法對同一物理計算機上虛擬機之間的通信進行細粒度訪問控制，如果攻擊行為發自云平臺內某一虛擬機，就能繞過所有的網絡邊界防護措施，從內部對其它虛擬機進行攻擊，嚴重時可能威脅到整個虛擬網絡甚至云計算平臺的安全運行。

已有的虛擬化技術自身的隔離機制只能解決基本的應用程序運行環境隔離，并不能防止程序訪問越界或非法訪問。而這種實際的物理資源的共享往往會造成數據更容易被非法訪問，比如不同虛擬機的程序在公用同一塊緩存時，一旦其中一個虛擬機的程序被惡意代碼利用，就很容易造成另一個虛擬機的數據被非法訪問或泄露。

目前現有的解決思路是通過在虛擬機監視器層部署安全應用來監控上層客戶虛擬機的安全行為，對其系統調用進行攔截，同時在系統內部署安全虛擬機，將攔截的系統調用進行安全分析并根據安全策略進行實時響應，決定將此系統調用放行或攔截。這種解決方案可以解決大部分的虛擬機安全問題，但是其主要的缺點就是安全虛擬機和客戶虛擬機會同時請求使用系統資源，二者對虛擬化資源的請求使用成正比關系。如果客戶虛擬機業務繁忙，需要進行大量系統調用，安全虛擬機就要同時進行大量的實時安全處理任務，這樣就造成了安全虛擬機和客戶虛擬機爭奪系統資源的狀況，成倍的加劇整體資源緊張，造成物理服務器整體性能急劇下降，從而帶來不好的客戶體驗。為了釋放系統資源，只能強行減少或關閉安全虛擬機部分安全功能，故帶來安全性的損失。

發明內容

本發明針對現有監控客戶虛擬機安全的技術存在安全虛擬機和客戶虛擬機爭奪資源造成系統性能下降進而使得客戶體驗差以及產生安全性損失的問題，提供一種性能優化的虛擬化資源的監控方法，可以有效的監控系統整體運行及安全狀態，并能夠達到良好的用戶體驗。本發明還涉及一種性能優化的虛擬化資源的監控系統。

本發明的技術方案如下：

一種性能優化的虛擬化資源的監控方法，其特征在于，先在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控，并根據監控到的物理服務器和客戶虛擬機的運行性能，在安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理，在數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。

在虛擬機監視器層對客戶虛擬機的系統調用事件進行監控得到事件數據，對物理服務器和客戶虛擬機的運行性能進行監控得到性能監控數據，所述性能監控數據提供對系統調用事件進行數據處理的一種安全策略。