本發(fā)明涉及一種針對虛擬化超級(jí)調(diào)用函數(shù)的漏洞熱修復(fù)方法。該方法包括：1)根據(jù)Xen系統(tǒng)的e820表計(jì)算Xen物理內(nèi)存起始地址；2)根據(jù)計(jì)算出的Xen物理內(nèi)存起始地址及Xen內(nèi)存分布，計(jì)算超級(jí)調(diào)用表的虛擬地址所映射到的物理地址；3)通過特權(quán)域Domain0獲取補(bǔ)丁機(jī)器碼，并將補(bǔ)丁寫入內(nèi)存，記錄補(bǔ)丁函數(shù)的物理地址；4)根據(jù)待修復(fù)的超級(jí)調(diào)用處理函數(shù)對應(yīng)的超級(jí)調(diào)用號(hào)，計(jì)算待修復(fù)的超級(jí)調(diào)用處理函數(shù)在超級(jí)調(diào)用表中對應(yīng)的物理地址；5)通過特權(quán)域Domain0更新超級(jí)調(diào)用表，從而實(shí)現(xiàn)對超級(jí)調(diào)用處理函數(shù)的漏洞熱修復(fù)。本發(fā)明能夠準(zhǔn)確地修復(fù)虛擬化平臺(tái)漏洞，無需重啟機(jī)器，保證了虛擬化平臺(tái)上虛擬機(jī)的正常運(yùn)行。

技術(shù)領(lǐng)域

本發(fā)明屬于云計(jì)算安全技術(shù)領(lǐng)域，涉及一種虛擬化平臺(tái)漏洞修復(fù)的方法，特別涉及虛擬化平臺(tái)下超級(jí)調(diào)用的漏洞熱修復(fù)方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，云計(jì)算作為一種低成本的計(jì)算與通信模式迅速崛起。中國信息通信研究院2016年9月在可信云大會(huì)上最新發(fā)布的《云計(jì)算白皮書(2016年)》顯示，2010年至今全球云計(jì)算市場規(guī)模持續(xù)平穩(wěn)擴(kuò)增。云計(jì)算是指應(yīng)用以服務(wù)形式通過互聯(lián)網(wǎng)交付使用，并且數(shù)據(jù)中心的硬件和軟件能夠提供這些服務(wù)。近年來，微軟、亞馬遜、谷歌、IBM等大型互聯(lián)網(wǎng)公司都相繼發(fā)展了自己的云計(jì)算業(yè)務(wù)。國內(nèi)的阿里云、百度云、騰訊云和移動(dòng)云等多種形式的云計(jì)算服務(wù)正不斷涌現(xiàn)。虛擬化技術(shù)作為云計(jì)算的基本組件，是支撐云計(jì)算最重要的技術(shù)基石。

虛擬化帶來了一定程度的可自定義性和可控性，實(shí)質(zhì)上是一種創(chuàng)建不同計(jì)算環(huán)境的技術(shù)。三種最為常用的虛擬化技術(shù)是基于軟件的完全虛擬化、硬件輔助虛擬化及類虛擬化技術(shù)。虛擬化技術(shù)經(jīng)過多年的發(fā)展，出現(xiàn)了很多成熟的產(chǎn)品，應(yīng)用也從最初的服務(wù)器到了桌面等更寬的領(lǐng)域。虛擬化軟件的主流廠商包括VMware、Xen、KVM及Microsoft。

云計(jì)算和虛擬化技術(shù)飛速發(fā)展的同時(shí)，也不可避免的帶來了很多安全問題，利用虛擬化平臺(tái)漏洞進(jìn)行攻擊的惡意行為層出不窮，嚴(yán)重?fù)p害了云服務(wù)廠商和云服務(wù)使用者的利益。漏洞一旦曝光，為了不影響業(yè)務(wù)安全，需要云計(jì)算公司對漏洞進(jìn)行快速修復(fù)。目前存在冷補(bǔ)丁和熱修復(fù)兩種漏洞修復(fù)方式。所謂冷補(bǔ)丁修復(fù)，指修改系統(tǒng)源碼后重新編譯源碼并重新啟動(dòng)服務(wù)器的方式。重啟過程中，上層全部客戶虛擬機(jī)需要宕機(jī)，用戶業(yè)務(wù)被中斷10至30分鐘?？梢?，重啟服務(wù)器勢必會(huì)影響到客戶的正常業(yè)務(wù)，有些甚至是致命的影響。而不影響虛擬機(jī)業(yè)務(wù)運(yùn)行的漏洞熱修復(fù)技術(shù)需考慮復(fù)雜組件的結(jié)合，難度極大。現(xiàn)有的少數(shù)熱修復(fù)技術(shù)不能保證百分百不重啟服務(wù)器，同樣需要暫停所有虛擬機(jī)的運(yùn)行，修復(fù)效果不理想。

Xen安全社區(qū)(Xen Security Advisories)最新公布的漏洞報(bào)告顯示，Xen虛擬化平臺(tái)漏洞2012年至2016年持續(xù)增加。截止2017年2月，Xen安全社區(qū)已公布了210個(gè)Xen內(nèi)核漏洞，其中CVE(Common Vulnerabilities and Exposures)漏洞庫披露的Xen高危漏洞196個(gè)，而由于超級(jí)調(diào)用函數(shù)問題導(dǎo)致的漏洞高達(dá)半數(shù)以上。超級(jí)調(diào)用是Xen虛擬化平臺(tái)下重要的通信機(jī)制，其漏洞嚴(yán)重影響了虛擬化平臺(tái)的可用性。因此有必要提出一種虛擬化平臺(tái)超級(jí)調(diào)用函數(shù)漏洞熱修復(fù)的方法，高效的修復(fù)虛擬化平臺(tái)超級(jí)調(diào)用函數(shù)漏洞，避免惡意攻擊的發(fā)生。

發(fā)明內(nèi)容

針對虛擬化平臺(tái)漏洞修復(fù)問題，本發(fā)明提出了一種虛擬化超級(jí)調(diào)用函數(shù)的漏洞熱修復(fù)方法。在對Xen虛擬化平臺(tái)進(jìn)行環(huán)境搭建、使用及源碼分析后，可以發(fā)現(xiàn)Xen虛擬化平臺(tái)下存在特權(quán)域Domain0，Domain0的DMA操作可以訪問Xen內(nèi)存，同時(shí)Xen下超級(jí)調(diào)用函數(shù)存放在超級(jí)調(diào)用表內(nèi)，本發(fā)明主要利用特權(quán)域Domain0更新Xen下超級(jí)調(diào)用表對超級(jí)調(diào)用函數(shù)漏洞進(jìn)行內(nèi)存修復(fù)。

本發(fā)明采用的技術(shù)方案如下：

一種針對虛擬化超級(jí)調(diào)用函數(shù)的漏洞熱修復(fù)方法，其步驟包括：

1)根據(jù)Xen系統(tǒng)的e820表計(jì)算Xen物理內(nèi)存起始地址，其中Xen系統(tǒng)的e820表為系統(tǒng)物理內(nèi)存分布表，在Xen啟動(dòng)過程中生成并輸出到系統(tǒng)日志中；