1.一種基于Xen硬件虛擬化的磁盤文件操作監(jiān)控系統(tǒng)，其特征在于操作監(jiān)控系統(tǒng)基于Xen的硬件虛擬化平臺(tái)包括四個(gè)模塊：監(jiān)控模塊、信息發(fā)送模塊、監(jiān)聽(tīng)模塊和安全模塊，監(jiān)控模塊部署在domU，實(shí)時(shí)監(jiān)控domU中所有涉及改變磁盤文件內(nèi)容及屬性的操作并產(chǎn)生監(jiān)控信息，通過(guò)信息發(fā)送模塊發(fā)送給domO的監(jiān)聽(tīng)模塊，由監(jiān)聽(tīng)模塊記錄相關(guān)信息；安全模塊保證信息發(fā)送模塊和監(jiān)控模塊運(yùn)行時(shí)的安全；

所述監(jiān)控模塊不需要修改Xen?Hypervisor，domO和客戶操作系統(tǒng)，以可裝載模塊的形式實(shí)現(xiàn)，無(wú)需編譯內(nèi)核，能夠?qū)崟r(shí)監(jiān)控，只監(jiān)控涉及改變磁盤文件內(nèi)容及屬性的操作，獲取詳細(xì)的行為信息；

所述信息發(fā)送模塊部署在domU，監(jiān)聽(tīng)模塊部署在domO的用戶空間，信息發(fā)送模塊和監(jiān)聽(tīng)模塊采用XenSocket機(jī)制實(shí)現(xiàn)domU和domO之間通信；

所述安全模塊，不需要修改Xen?Hypervisor，能夠檢測(cè)到監(jiān)控模塊和信息發(fā)送模塊在運(yùn)行時(shí)受到的惡意代碼攻擊；安全模塊部署在的全級(jí)別較高的domO以避免自身受到攻擊的威脅。

2.根據(jù)權(quán)利要求1所述的基于Xen硬件虛擬化的磁盤文件操作監(jiān)控系統(tǒng)，其特征在于：通過(guò)在硬件虛擬化客戶操作系統(tǒng)中加裝半虛擬化I/O模型，具體安裝有PCI平臺(tái)，網(wǎng)絡(luò)前端驅(qū)動(dòng)，塊設(shè)備前端驅(qū)動(dòng)，氣球驅(qū)動(dòng)四個(gè)模塊，PCI平臺(tái)是硬件虛擬化中其余三個(gè)模塊的基礎(chǔ)，它向硬件虛擬機(jī)提供了超級(jí)調(diào)用接口和事件機(jī)制，氣球驅(qū)動(dòng)依賴于PCI平臺(tái)，它為domO和硬件虛擬化domU提供共享內(nèi)存機(jī)制，具有半虛擬化的基本機(jī)制后，虛擬網(wǎng)絡(luò)前端和虛擬塊設(shè)備前端就能正常工作，使得在硬件虛擬化操作系統(tǒng)中也可以使用半虛擬化的網(wǎng)絡(luò)通信模型，大幅度降低了性能的損耗。

3.一種應(yīng)用權(quán)利要求1所述系統(tǒng)實(shí)現(xiàn)基于Xen硬件虛擬化磁盤文件操作監(jiān)控方法，其特征在于如下過(guò)程：

(1)截獲并替換硬件虛擬化客戶操作系統(tǒng)中磁盤文件操作系統(tǒng)調(diào)用：

1a)獲取系統(tǒng)調(diào)用表地址；

1b)修改crO寄存器的系統(tǒng)調(diào)用表可寫權(quán)限位，使系統(tǒng)調(diào)用表可寫；

1c)確定替換系統(tǒng)調(diào)用的范圍；

1d)編寫新的系統(tǒng)調(diào)用替換原有系統(tǒng)調(diào)用，查詢對(duì)應(yīng)的系統(tǒng)調(diào)用號(hào)，修改相應(yīng)的函數(shù)指針為新的函數(shù)；

(2)確定被監(jiān)控文件的類型：

2a)通過(guò)當(dāng)前進(jìn)程結(jié)構(gòu)體struct?task和文件描述符獲取文件的struct?file結(jié)構(gòu)；

2b)根據(jù)文件的內(nèi)核結(jié)構(gòu)struct?file找到對(duì)用的inode節(jié)點(diǎn)；

2c)根據(jù)inode中的i_mode字段確定監(jiān)控文件的類型；

(3)確定操作進(jìn)程是否有必要被監(jiān)控：

3a)獲取inti_task地址，遍歷系統(tǒng)進(jìn)程列表，創(chuàng)建bash環(huán)境下用戶進(jìn)程哈希表；

3b)根據(jù)父子進(jìn)程間的關(guān)系辨別是否是bash進(jìn)程或者是bash子進(jìn)程，將其存入哈希表；

3c)遍歷哈希表，判斷進(jìn)程是否監(jiān)控所有的bash下的進(jìn)程活動(dòng)，包括守護(hù)進(jìn)程；

(4)根據(jù)操作類型、文件種類及進(jìn)程信息綜合確定該行為是否需要監(jiān)控：

4a)創(chuàng)建監(jiān)控邏輯表，包括四項(xiàng)：操作類型、文件種類、進(jìn)程與是否需要監(jiān)控；

4b)根據(jù)監(jiān)控邏輯表，設(shè)計(jì)系統(tǒng)調(diào)用函數(shù)；

(5)獲取行為信息：

5a)創(chuàng)建行為信息結(jié)構(gòu)體，存儲(chǔ)行為信息，具體包括進(jìn)程ID、用戶ID、操作進(jìn)程、操作進(jìn)程的運(yùn)行位置以及目標(biāo)文件絕對(duì)路徑；

5b)通過(guò)進(jìn)程結(jié)構(gòu)體struct?task獲取進(jìn)程ID、用戶ID、操作進(jìn)程；

5c)獲取進(jìn)程運(yùn)行位置，過(guò)程如下：獲取當(dāng)前目錄dentry結(jié)構(gòu)，獲取vfsmount結(jié)構(gòu)的pwdmnt結(jié)構(gòu)，判斷是否為裝載點(diǎn)，如果是則查找該dentry在父文件系統(tǒng)中的dentry，如果不是則繼續(xù)向上查找上級(jí)目錄的dentry并記錄目錄名直到根目錄；

(6)獲取操作目標(biāo)絕對(duì)路徑：

判斷參數(shù)類型，目標(biāo)文件的表示分為字符串和文件描述符兩種，根據(jù)查找路徑算法獲得絕對(duì)路徑；

(7)發(fā)送信息：

在系統(tǒng)調(diào)用函數(shù)中，將獲取的行為信息利用XenSocket經(jīng)前后端網(wǎng)絡(luò)模型發(fā)送至domO；

(8)信息監(jiān)聽(tīng)：

在domO創(chuàng)建監(jiān)聽(tīng)用戶態(tài)守護(hù)進(jìn)程，將接收到信息追加到日志文件；

(9)檢測(cè)運(yùn)行在domU的監(jiān)控模塊和信息發(fā)送模塊代碼在運(yùn)行時(shí)是否受到攻擊：

9a)在domO創(chuàng)建用戶態(tài)守護(hù)進(jìn)程，調(diào)用XenAccess庫(kù)的接口監(jiān)視domU模塊運(yùn)行代碼的內(nèi)存區(qū)，獲取原始數(shù)據(jù)；

9b)以輪詢的方式監(jiān)控domU模塊的代碼運(yùn)行區(qū)，和原始數(shù)據(jù)進(jìn)行哈希對(duì)比確定代碼是否受到惡意攻擊。

4.根據(jù)權(quán)利要求3所述的基于Xen硬件虛擬化磁盤文件操作監(jiān)控方法，其特征在于如下過(guò)程：所述創(chuàng)建bash環(huán)境下用戶進(jìn)程哈希表是根據(jù)進(jìn)程間的父子關(guān)系及會(huì)話關(guān)系信息建立的；所述的創(chuàng)建監(jiān)控邏輯表能夠有效避免無(wú)意義的監(jiān)控；所述的獲取操作目標(biāo)絕對(duì)路徑，采用與linux內(nèi)核函數(shù)相反的方法，逆向解析了絕對(duì)路徑；所述的發(fā)送信息，實(shí)現(xiàn)了在硬件虛擬化環(huán)境下運(yùn)用半虛擬化I/O；所述的檢測(cè)運(yùn)行在domU的監(jiān)控模塊和信息發(fā)送模塊代碼在運(yùn)行時(shí)是否受到攻擊，監(jiān)視可加載模塊的運(yùn)行代碼，用以檢測(cè)其在運(yùn)行時(shí)是否受到攻擊。