技術領域

本發明屬于計算機安全領域，更具體地，涉及一種基于版本控制的在線快照管理方法和系統。

背景技術

隨著信息技術的飛速發展，網絡與信息技術的加速滲透和深度應用以及軟件漏洞不斷涌現,導致計算機相關的犯罪行為也日益增多，造成了嚴重的網絡安全威脅。美國戰略與國際問題研究中心(CSIS)發布的一份報告顯示，網絡犯罪每年給全球帶來大約4450億美元的經濟損失。計算機取證是打擊計算機與網絡犯罪的關鍵技術，其目的是將計算機中犯罪者遺留的攻擊痕跡提取出，作為有效的訴訟證據提供給法庭，以便將犯罪者繩之以法。計算機取證，經過近15年的發展，取得了巨大的成功。隨著虛擬機技術在云計算、系統安全等領域的廣泛應用，基于虛擬機的計算機取證得到了迅速的關注與研究。理論上來說，惡意程序最多對操作系統進行攻擊，而無法影響到處于更高級別的虛擬機管理器，因此基于虛擬機的取證相對傳統的取證方法要可靠些。現有的取證方法主要關注于方法的精準性、可靠性、可用性，關注于某一時間點的系統狀態。然而惡意軟件的攻擊，通常是一個持續的過程，需要通過虛擬機進行多次快照，對整個攻擊過程進行記錄。另外，云中存在非常多的虛擬機，如何進行快照，不對系統的運行造成影響。最后，如何對快照進行自動化管理，根據取證軟件需求提供相應的快照。這些都是非常具有挑戰的。因此，迫切的需要一套在線取證分析系統，為虛擬機提供快照管理，快照分析，提供統一的自動化管理。

發明內容

針對現有技術的以上缺陷或改進需求，本發明提供了一種基于版本控制的在線快照管理方法和系統，其目的在于；當被監控虛擬機發送特殊事件時，本發明獲取新增臟頁并生成增量快照，再合并一定增量快照生成全系統基快照，截取基快照中請求時間、請求地址和請求線程生成請求快照，對快照中的內容進行翻譯處理，由此解決對惡意攻擊過程全程和降低系統開銷記錄的技術問題。

為實現上述目的，按照本發明的一個方面，提供了一種基于版本控制的在線快照管理方法，該方法包括以下步驟；

(1)增量快照儲存管理：

(11)監控虛擬機的運行狀態，當被監控虛擬機發生系統調用或進程切換時，將進程名稱、事件原因和事件時間信息存放到固定物理內存區間中，再通過超級調用(hypercall)通知虛擬機管理器(hypervisor)進行增量快照處理；

(12)虛擬機管理器(hypervisor)將控制權移交給被監控虛擬機對應的存儲例程，存儲例程讀取虛擬機管理器保存的被監控虛擬機擴展頁表指針(EPTP)，遍歷其指向的頁表，找出新增臟頁，然后根據新增臟頁的物理頁幀生成對應的宿主機虛地址頁幀；

(13)從固定物理內存區間中讀取進程名稱、事件原因和事件時間作為當前提交增量快照的初始元數據，通過對應新增臟頁的宿主機虛地址頁幀，復制對應新增臟頁并存入數據庫中，生成增量快照，最后根據數據庫容量設置閾值，存儲的增量快照容量超出閾值后自動對最早期時間段內的增量快照進行合并操作，并將合并后增量快照作為對應被監控虛擬機的基快照；

(2)請求快照生成分析：

(21)根據請求應用的快照生成請求讀取物理內存，若發現內存中有對應快照則對快照信息進行機器語言到應用語言的翻譯，并將翻譯結果提交給請求應用，結束流程；否則為每個請求應用生成一個前端請求例程；

(22)前端請求例程將快照請求的時間信息和地址范圍信息放入一個環形消息隊列中，并設定一個時間閥值；當環形隊列滿或者超時時，通過超級調用(hypercall)通知虛擬機管理器(hypervisor)進行快照生成；

(23)虛擬機管理器(hypervisor)為環形隊列中的每個快照生成請求初始化一個后端請求例程，后端請求例程首先對相應的快照生成請求按照虛擬機編號A、時間B、地址范圍C到D和進程E進行格式化處理；

(24)獲取快照生成請求的格式化信息，當前被監控虛擬機A的基快照為F時刻的全系統快照，分析數據庫中F時刻到B時刻虛擬機A所有增量快照的元數據，提取出該時間段內新增臟頁的物理頁幀，找出最接近B時刻的新增臟頁對應的增量快照，對數據庫中基快照進行修改更新，生成虛擬機A在B時刻的全系統快照K，再截取地址范圍C到D的E線程快照內容生成快照存儲到物理內存中。

按照本發明的另一方面，提供了一種基于版本控制的在線快照管理系統，該系統包括以下模塊；