技術領域

本發明涉及虛擬化安全技術領域，特別是指一種支持多節點的KVM虛擬機隱藏進程檢測系統。

背景技術

KVM/QEMU-KVM是目前虛擬化研究方向的核心支撐技術之一，被廣泛應用于各個方向。但是引入QEMU-KVM技術后，由于其虛擬化出來的操作系統之間的安全性問題目前尚未獲得較好的解決或證明方法，使攻擊者有渠道完成虛擬機逃逸，甚至可以在宿主機平臺上造成嚴重的破壞。目前絕大多數內核級rootkit，都具有隱藏進程的功能，一旦與惡意進程相配合，將會對系統安全造成巨大的威脅。因此，研究惡意隱藏進程的檢測方法對保障系統的安全具有重要的意義。

VMwatcher在虛擬機外部構建進程控制塊鏈表，并通過交叉視圖的方式比較外部重構進程列表和內部匯報進程列表的差異，以此確定是否存在隱藏進程。然而直接操作內核對象(Direct Kernel Object Manipulation，DKOM)類攻擊可以將待隱藏進程控制塊從進程隊列中摘鏈，因而該方法可能會出現漏檢現象。

Lycosid利用假設檢驗方法判定被檢測系統中是否存在隱藏進程，并通過最小二乘回歸分析法計算進程的CPU占用率情況，以識別目標隱藏進程。該方法適合相對活躍系統(進程創建、銷毀頻繁的系統)，但是需要統計一定數量的數據，在此過程中惡意隱藏進程可能己對系統造成了破壞。由于它通過概率的方式識別隱藏進程，可能存在漏檢或誤警的現象。

虛擬機監視器(Virtual Machine Monitor，VMM)對上層虛擬機的完全控制權以及虛擬機間運行環境的強隔離性，為安全檢測系統提供了良好的實施平臺。借助虛擬機監控器提供的控制權與隔離性，電子科技大學的彭春洪與劉丹提出了一種基于KVM虛擬機的隱藏進程檢測算法。算法依據客戶機調度進程時會訪問CR3寄存器而引起VCPU陷入到根模式執行的原理，在虛擬機的陷入異常處理函數中插入多視圖進程檢測算法，大大提升了隱藏進程的檢測準確性，同時提出一種優化的hash算法來減小對虛擬機的性能損失。

目前的虛擬機隱藏進程檢測技術通過不斷深入了解虛擬機架構及機理，已經逐步提高了檢測準確率以及對虛擬機的性能消耗。但現有的研究仍局限于方法驗證的層次，僅針對單個虛擬機進行檢測算法研究層次上的功能和性能優化。從應用角度來看，現有的技術無法實現對宿主機上部署的所有節點的同時檢測，難以用于實際的工程應用。同時目前尚沒有成熟、可靠、實用的工具軟件可供使用，對虛擬機隱藏進程技術的實用化產生了不利影響。

發明內容

有鑒于此，本發明提供一種支持多節點的KVM虛擬機隱藏進程檢測系統，其具有對部署宿主機上的所有虛擬機節點進行實時、準確、高效的隱藏進程檢測的能力，用戶不必在虛擬機內部進行多余操作，便可在宿主機中對虛擬機進行進程監控，有助于促進KVM虛擬機隱藏進程檢測技術在實際工程方面的應用。

為了實現上述目的，本發明提供的技術方案是：

一種支持多節點的KVM虛擬機隱藏進程檢測系統，其包括可信進程追蹤模塊、進程系統調用捕獲模塊、終止進程判定模塊、非可信進程列表獲取模塊、隱藏進程對比檢測模塊及用于集成上述模塊的系統框架程序；其中：

可信進程追蹤模塊：用于實現從虛擬機監控器層次上對多個虛擬機節點的進程追蹤、語義重構以及進程列表存儲；

進程系統調用捕獲模塊：用于實現對多個虛擬機節點的進程系統調用行為的捕獲及識別功能；

終止進程判定模塊：用于對可信進程模塊追蹤得到的各個虛擬機節點的進程進行終止判定；

非可信進程列表獲取模塊：用于實現從虛擬機操作系統層次獲取目標虛擬機的內部進程列表的功能；

隱藏進程對比檢測模塊：用于將可信進程追蹤模塊獲取的可信進程列表以及非可信進程列表獲取模塊輸出的非可信進程列表進行對比，檢測出當前虛擬機中的隱藏進程，并將檢測結果輸出至系統框架程序提供的用戶界面；

系統框架程序：用于實現各子模塊的集成和數據的傳遞與管理，并提供用戶界面，將用戶輸入的虛擬機域名傳遞至非可信進程列表獲取模塊，將隱藏進程對比檢測模塊的檢測結果輸出至用戶界面。

可選的，所述可信進程追蹤模塊實現如下過程：

(1)在虛擬機監控器中處理客戶機進程切換的功能模塊中，獲取虛擬機CPU描述符kvm_vcpu結構體，借助內核接口vmcs_readl從中讀取將被切換至非運行狀態的進程頁目錄基地址寄存器以及內核棧頂指針寄存器的值；