本申請實施例公開一種處理系統調用的方法和裝置，能夠提高操作系統的安全性。該方法包括：主機內核對應用程序需要執行的系統調用進行攔截，并將攔截的系統調用轉由目標虛擬機執行，其中，目標虛擬機與主機共享主機內核；主機內核根據目標虛擬機執行系統調用的執行結果和預設的第一策略，判斷系統調用的合法性。

技術領域

本申請實施例涉及軟件技術領域，并且更具體地，涉及一種處理系統調用的方法和裝置。

背景技術

操作系統對計算機的系統安全有非常關鍵的作用。一方面，操作系統提供的安全特性可以用于加強應用的安全，隔離惡意應用，檢測應用有意或無意的非法訪問。另一方面，操作系統的代碼行數通常在千萬行的數量級之上，因此，操作系統通常不可避免地包含一些漏洞，使得操作系統成為了一個可能被攻擊的對象。一種常見的攻擊方法是用戶態的應用通過系統調用對操作系統的漏洞進行利用，獲取更高的權限，進而控制整個操作系統。因此，提高操作系統的安全性對于計算機系統而言，是至關重要的。

發明內容

本申請提供一種處理系統調用的方法和裝置，能夠提高操作系統的安全性。

第一方面，本申請提供一種處理系統調用的方法，該方法包括：主機內核對應用程序需要執行的系統調用進行攔截，并將攔截的所述系統調用轉由目標虛擬機執行，其中，目標虛擬機與主機共享主機內核；主機內核根據目標虛擬機執行系統調用的執行結果和預設的第一策略，判定系統調用的合法性。

在本申請實施例中，第一策略用于判定一個系統調用的合法性。其中，第一策略可以根據依據系統調用規范和運行在主機上的操作系統的已知漏洞進行設定。詳細說明可參見說明書。

主機內核通過創建與主機內核具備完全相同的運行環境的目標虛擬機，并將可能存在潛在風險的系統調用轉由目標虛擬機執行。從而，主機內核根據目標虛擬機執行該系統調用的執行結果和預設的第一策略，可以判定該系統調用的操作是否合法，以避免存在潛在風險的系統調用直接運行在主機內核，增強了系統調用的隔離性，從而能夠提高操作系統的安全性。

在一種可能的實現方式中，主機內核對應用程序需要執行的系統調用進行攔截，包括：主機內核根據預設的第二策略，判定對所述系統調用進行攔截。

在本申請實施例中，第二策略為預先設定的用于判定是否對一個系統調用進行攔截的安全策略。第二策略可以根據系統調用號和系統調用的參數進行設定。例如，第二策略可以為一個需要進行攔截的系統調用的名單。

在一種可能的實現方式中，主機內核將系統調用轉由目標虛擬機執行之前，該方法還包括：主機內核向虛擬機監控器發送創建請求，創建請求用于請求虛擬機監控器創建與主機共享主機內核的目標虛擬機。

在一種可能的實現方式中，主機上運行有虛擬機監控器和至少一個虛擬機，該目標虛擬機為虛擬機監控器修改第一虛擬機的控制寄存器CR3和第一虛擬機的擴展頁表得到的，其中，修改后的第一虛擬機與主機共享該主機內核，第一虛擬機為該至少一個虛擬機中的任意一個。

需要說明的是，擴展頁表(Extended Page Tables，EPT)，是中央處理單元(Central Processing Unit，CPU)提供的一種加速虛擬機地址轉換的硬件機制。在英特爾Intel的CPU上，這種機制被稱為EPT。而在超微半導體(Advanced Micro Devices，AMD)的CPU上，這種機制被稱為嵌套頁表(Nested Page Tables，NPT)。本申請實施例中，以EPT作為示例對擴展頁表進行說明。

在一種可能的實現方式中，該方法還包括：主機內核獲取目標虛擬機執行系統調用時對主機內核的內存數據的讀寫行為；以及，主機內核根據目標虛擬機執行系統調用的執行結果和預設的第一策略，判定系統調用的合法性，包括：主機內核根據目標虛擬機執行系統調用時對主機內核的內存數據的讀寫行為和第一策略，判定系統調用的合法性。