技術領域

本發明涉及的是一種在虛擬機環境下的監控系統及監控方法。

背景技術

在現有技術中，公知的技術是虛擬化環境下的安全問題是虛擬化技術和云計算技術發展的一個重要問題，隨著這兩個技術的快速發展，虛擬化安全受到了越來越多的重視。在虛擬化環境下，增加了虛擬機管理器這個技術層，客戶操作系統使用的是經過虛擬機管理器抽象的邏輯資源，同一物理機上能同時存在多個虛擬機，這些虛擬機共享底層的物理資源。虛擬化環境的特性帶來了傳統環境下不存在的安全問題，如虛擬化環境具有較強的動態性，安全邊界模糊，管理和維護更加復雜，某臺虛擬機出現安全漏洞，可能對同一物理機上的其他虛擬機造成威脅等。一些傳統環境下的安全威脅如病毒、木馬、惡意軟件等在虛擬環境下仍然存在，針對他們的傳統安全防護方法卻難以適應虛擬化環境。

在虛擬環境下采用傳統的防護方式在每臺虛擬機上安裝防病毒軟件，入侵檢測和入侵防護系統會消耗大量資源，大大降低系統性能，顯然不是最優的方法，且防護軟件安裝在虛擬機上容易受到攻擊和控制，需要有新的技術來解決此類安全問題。虛擬機管理器控制著整個虛擬化環境，能夠監控所有虛擬機并且與其上運行的應用進行通信。虛擬機管理器負責虛擬機的啟動、關閉、暫停和恢復運行，能夠管理和控制虛擬機使用的資源，甚至監控虛擬機內的進程，也能夠修改虛擬機的虛擬機磁盤上的內容，虛擬機管理器還能夠監控所有虛擬機的網絡流量，因此，借助虛擬機管理器來監控客戶虛擬機的運行狀態能夠有效保證虛擬化環境下客戶虛擬機的運行安全，另外虛擬機管理器對客戶虛擬機是透明的，更加便于部署和維護。

發明內容

本發明的目的就是針對現有技術所存在的不足，而提供一種擬機環境下的網絡監控系統即監控方法的技術方案，該方案用于對用戶的虛擬機運行環境進行安全保護，能夠管理和控制虛擬機使用的資源，甚至監控虛擬機內的進程，也能夠修改虛擬機的虛擬機磁盤上的內容，因此將監控功能模塊部署在虛擬機管理器里能夠保證監控的可靠性，同時結合虛擬機自省技術能夠對被監控虛擬機的內核空間實施有效的檢測，防止入侵發生。

本方案是通過如下技術措施來實現的：一種虛擬機環境下的監控系統，包括如下模塊：

監控模塊，用于對被監控虛擬機的內存和文件系統進行檢測；

域間通信模塊，用于信息的安全傳遞；

規則庫，是對內存段采取的監控規則以及攻擊特征的集合；

分析模塊，對監控模塊采集到的信息與規則庫里的集合進行匹配，發現異常情況是將告警信息發送到響應服務模塊；

響應服務模塊，對檢測到的入侵事件進行日志記錄，并通過域間通信模塊將告警信息發送到被監控虛擬機的響應接受模塊；

響應接受模塊，用于接收告警信息并發送給事件處理模塊；

事件處理模塊，根據告警信息采取安全防范措施。

所述監控模塊對被監控虛擬機的內存和文件系統進行檢測，包括監控對內核中的只讀內容的惡意修改，例如修改系統調用表、中斷描述符表或系統調用函數；通過監控任務列表、模塊列表來發現隱藏的惡意軟件；對系統文件進行完整性檢測或攻擊特征匹配；對虛擬機網卡處于混雜模式以及隱藏的網絡連接進行檢測。

所述的域間通信模塊是將兩個不同虛擬機的設備內存空間映射到同一塊機器地址空間，從而使得兩個設備的操作都在同一塊真實的機器地址空間中執行，通過共享內存和事件通道機制的方式來實現在不同虛擬機間的信息安全傳遞。

分析模塊將從監控模塊采集到的信息，按照用戶下發的配置策略對數據進行關聯分析提取特征信息，并將特征信息保存到規則庫中。

所述規則庫還與安全管理中心保持網絡連接，以獲取規則信息的在線更新服務。

所述安全防范措施包括斷開連接、收集證據以及數據恢復、或者利用防火墻對入侵事件進防御。

一種虛擬機環境下的監控方法，其特征是包括如下步驟：

1）監控模塊對被監控虛擬機的內存或文件執行監控掃描；

2）分析模塊把采集到的信息與規則庫的特征集合進行匹配來發現入侵行為；

3）分析模塊檢測到入侵行為就向響應服務模塊發送通告；

4）響應服務模塊將入侵事件保存到日志記錄，并通過域間通信模塊向被檢測虛擬機發送告警信息；

5）響應接收模塊從域間通信模塊接收告警信息并發送給事件處理模塊；

6）事件處理模塊根據告警信息采取相應的安全防范措施。