技術領域

本發明屬于計算機虛擬化技術領域，具體地說是一種在虛擬化環境下識別操作系統類別的方法。應用于虛擬化環境下操作系統類別的識別。

背景技術

隨著近年來,虛擬化技術成為計算機系統結構的發展趨勢,并為安全監控提供了一種解決思路。由于虛擬機管理器具有更高的權限和更小的可信計算基,利用虛擬機管理器在單獨的虛擬機中部署安全工具能夠對目標虛擬機進行檢測。這種方法能夠保證監控工具的有效性和防攻擊性。

虛擬機監控與傳統的監控有很大的差異。傳統的監控是在操作系統內部進行監控，是針對單一系統的監控，在操作系統內部實現監控不存在獲取系統事件以及理解其語意的障礙。而在虛擬機監控方面，外部監控是在管理域中監控客戶域中的操作系統，監控軟件是在客戶操作系統的外部。

傳統的監控軟件是針對特定系統開發的，當這部分軟件運用于虛擬機監控方面，如何獲取客戶操作系統中的事件并且轉換成其可以理解的語意信息，是一個關鍵問題。目前的研究成果大部分需要修改客戶域中的操作系統或者提前知道所要監控客戶系統的類別信息。

XenAccess實現了虛擬機監控內存自省功能，是應用十分廣泛的內存自省工具，但它需要手動識別操作系統類別。VMDriver實現了在管理域中恢復語義，但它需要手動識別操作系統類別。CoPilot、April、XENKimono、SecVisor等都是虛擬化監控領域重要的研究，但是它們都需要被監控操作系統的信息，需要手動識別操作系統。虛擬機監控器上可以同時運行多個虛擬機,各個虛擬機可以運行不同類型的操作系統，若每個系統都需要修改或手動來獲取系統的信息，不僅不便捷，而且在客戶域中安裝了文件或者人工識別操作系統，會造成了潛在的威脅，這就使得這些研究成果的實用性有所降低。

虛擬化環境架構和傳統架構的不同，給虛擬化監控領域帶來了機遇也帶來了挑戰。目前的虛擬化監控研究，傾向于虛擬機監控的通用性方面。而識別操作系統是虛擬化監控通用性的關鍵步驟。識別操作系統的類型，不僅是虛擬機監控通用性研究的關鍵步驟，而且本身也必須具有很好的通用性：首先，它不修改客戶域中的操作系統；其次，它提供一個通用的庫，方便監控軟件通過統一接口獲得系統識別的信息。

發明內容

本發明所要解決的技術問題是針對在現有的虛擬化環境下識別操作系統均需要手動修改或手動來獲取系統的信息，從而影響虛擬機監控的通用性的缺陷，而提出了一種基于Xen的操作系統識別方法，在不修改客戶操作系統的條件下，實現了從管理域識別客戶域操作系統。

本發明解決技術問題的主要方案概括為：采用細粒度的精確識別與粗粒度的彈性識別相結合的方法，全方位識別操作系統。細粒度的精確識別采用中斷描述符表和全局描述符表基址兩種識別方式進行識別，細粒度的精確識別能夠在客戶域中精確的識別客戶域中的操作系統的類別。當細粒度精確識別操作系統失效，利用TCP指紋粗粒度地識別客戶域操作系統類型。具體識別過程如下：

（1）在管理域中判別客戶域是半虛擬化還是硬件虛擬化環境。

（2）當客戶域是半虛擬化環境

2a）在管理域中，利用libxc的庫函數，直接獲取客戶域操作系統中斷描述符表的內容；

2b）對中斷描述符表進行哈希操作，獲取半虛擬化中斷描述符表的指紋；

2c）將中斷描述符表的指紋與半虛擬化中斷描述符表指紋庫進行對比，精確識別半虛擬化操作系統的類別；

2d）半虛擬化中斷描述符表精確識別失敗的時候，進行TCP指紋被動識別。抓取客戶域操作系統的網絡數據包，提取指紋關鍵字來粗粒度識別操作系統的類別。

（3）當客戶域是硬件虛擬化環境

3a）在管理域中利用libxc庫函數，獲取客戶域操作系統中斷描述符表的線性基址；將該地址進行地址轉換，使其從線性地址轉換為偽物理地址；

3b）把中斷描述符表的偽物理地址所在的內存頁面從客戶域映射到管理域，在管理域中讀取客戶域中操作系統的中斷描述符表；對該表進行哈希操作，獲取硬件虛擬化中斷描述符表的指紋，對比硬件虛擬化中斷描述符表的指紋庫，精確識別硬件虛擬化操作系統的類別。

3c）當中斷描述符表識別失敗的時候，通過全局描述符表基址來識別操作系統的類別。利用libxc庫函數獲取客戶域操作系統的全局描述符表的基址，將該基址與硬件虛擬化全局描述符表表基址的指紋庫對比，精確識別硬件虛擬化操作系統的類型。