本發(fā)明公開(kāi)一種基于CPU硬件特性的虛擬機(jī)自省觸發(fā)方法及系統(tǒng)，包括三個(gè)模塊：分別是VMFUNC感知模塊、參數(shù)傳遞模塊、虛擬機(jī)自省啟動(dòng)模塊。首先在對(duì)用戶空間執(zhí)行VMFUNC的情況進(jìn)行監(jiān)控，在虛擬機(jī)管理器中通過(guò)重載后的RDTSC模擬程序感知擴(kuò)展頁(yè)表指針值的變化；然后，將上一步獲得的擴(kuò)展頁(yè)表指針值與用戶Domain ID寫(xiě)入內(nèi)存緩沖區(qū)中，觸發(fā)一個(gè)虛擬中斷，將控制權(quán)交與虛擬機(jī)自省啟動(dòng)模塊；最后，Domain0解析內(nèi)存中的信息，將參數(shù)傳入虛擬機(jī)自省程序即可啟動(dòng)監(jiān)控程序。本發(fā)明克服了以往虛擬機(jī)自省程序常駐帶來(lái)的大量資源消耗，同時(shí)通過(guò)頁(yè)表切換避免虛擬機(jī)自省程序執(zhí)行中斷虛擬機(jī)運(yùn)行的現(xiàn)象，提高了VM執(zhí)行的效率。

技術(shù)領(lǐng)域

本發(fā)明涉及云安全技術(shù)領(lǐng)域與VT-x技術(shù)領(lǐng)域，尤其是云安全中虛擬機(jī)自省技術(shù)的運(yùn)用。

背景技術(shù)

在云計(jì)算已經(jīng)得到普及和大規(guī)模應(yīng)用的今天，其重要的技術(shù)基石虛擬化技術(shù)仍然是當(dāng)前熱門(mén)話題。虛擬機(jī)技術(shù)越來(lái)越多地部署在從高端服務(wù)器到臺(tái)式PC的一系列平臺(tái)上。在這些不同的計(jì)算環(huán)境中需要使用虛擬化的原因不斷增加：服務(wù)器整合，支持多種操作系統(tǒng)(包括舊系統(tǒng))，沙盒和其他安全功能，容錯(cuò)，專業(yè)架構(gòu)優(yōu)化等等。隨著零開(kāi)銷(xiāo)虛擬化的軟件和硬件支持的發(fā)展，虛擬化漸漸被被包括在主流商業(yè)操作系統(tǒng)中，虛擬化計(jì)算環(huán)境幾乎已經(jīng)變得無(wú)處不在。

作為一項(xiàng)可以將計(jì)算資源抽象、分割，使其得到統(tǒng)一表示的重要技術(shù)，虛擬化成為了云計(jì)算取用自由、按需付費(fèi)這一構(gòu)想的基礎(chǔ)。在虛擬化技術(shù)架構(gòu)中，主機(jī)資源的虛擬化抽象由虛擬機(jī)管理器(Hypervisor)提供，主機(jī)上包括Host OS在內(nèi)的多臺(tái)虛擬機(jī)之所以能夠良好運(yùn)行全都依賴著這一薄薄的軟件基石提供的虛擬化環(huán)境。

作為虛擬資源的總調(diào)度站，虛擬機(jī)管理器是計(jì)算機(jī)硬件與操作系統(tǒng)之間進(jìn)行溝通管理的新層次，它能夠通過(guò)監(jiān)控虛擬機(jī)的行為和軟硬件資源使用情況(例如執(zhí)行指令等)來(lái)感知虛擬機(jī)的內(nèi)部狀態(tài)，實(shí)現(xiàn)對(duì)于虛擬機(jī)透明的安全監(jiān)控。此種技術(shù)即所謂虛擬機(jī)自省(Virtual Machine Introspection，VMI)，擁有特權(quán)的虛擬機(jī)(實(shí)質(zhì)為已經(jīng)虛擬化的主機(jī)操作系統(tǒng))作為VMI主機(jī)，借助虛擬機(jī)管理器來(lái)獲取其他普通虛擬機(jī)的狀態(tài)、行為等信息，以待進(jìn)一步的分析與檢測(cè)。虛擬機(jī)隔離方面，VMM通過(guò)CPU提供的VM擴(kuò)展功能來(lái)管理虛擬機(jī)上下文環(huán)境(Virtual Machine Context)，從而實(shí)現(xiàn)虛擬機(jī)間的數(shù)據(jù)隔離。該項(xiàng)技術(shù)自由Garinkel首次提出相關(guān)概念至今已經(jīng)獲得了一些研究與應(yīng)用，其在惡意軟件分析、內(nèi)核完整性檢測(cè)等方面發(fā)揮作用，為云計(jì)算安全的基本組成元素——虛擬機(jī)安全提供強(qiáng)有力的支撐。虛擬機(jī)自省技術(shù)的其中一個(gè)應(yīng)用方向是安全監(jiān)控，由于VMI能夠于虛擬機(jī)外部透明地對(duì)其進(jìn)行分析，使得不安全因素的現(xiàn)象與特征暴露無(wú)遺。

云計(jì)算中基于虛擬機(jī)自省技術(shù)的安全監(jiān)控能否得以實(shí)用，有很大的一個(gè)方面取決于該技術(shù)對(duì)于計(jì)算資源的額外消耗，由于缺乏高效而又可靠的虛擬機(jī)內(nèi)存存取機(jī)制，而這又是VMI技術(shù)得以實(shí)現(xiàn)的前提，因此VMI技術(shù)的實(shí)現(xiàn)一般開(kāi)銷(xiāo)過(guò)大。傳統(tǒng)的虛擬機(jī)自省實(shí)現(xiàn)方法需要大量切換主機(jī)為虛擬機(jī)維護(hù)的頁(yè)表，置換后的頁(yè)表可以設(shè)置標(biāo)志位，將某一關(guān)鍵頁(yè)EPT設(shè)成不可訪問(wèn)，執(zhí)行到這一標(biāo)志位時(shí)，就會(huì)發(fā)生中斷，產(chǎn)生VMEXIT事件使虛擬機(jī)陷入VMM，由主機(jī)接管關(guān)鍵頁(yè)進(jìn)行處理，從而實(shí)現(xiàn)VMI。研究指出VMI技術(shù)的額外開(kāi)銷(xiāo)一般在正常開(kāi)銷(xiāo)的9.3～500倍之間，甚至有應(yīng)用需要6s才能遍歷操作系統(tǒng)進(jìn)程鏈。因此實(shí)現(xiàn)更高效的VMI實(shí)現(xiàn)是VMI技術(shù)得以應(yīng)用在云安全中的前提。

而Intel于Haswell處理器所引進(jìn)的VMFUNC指令能夠直接切換EPT從而避免大量VMEXIT事件，大大減小開(kāi)銷(xiāo)，如果將VMFUNC與虛擬機(jī)自省技術(shù)結(jié)合起來(lái)，就能夠利用雙方的優(yōu)勢(shì)互補(bǔ)，使得能夠在云計(jì)算環(huán)境中保證虛擬機(jī)安全的同時(shí)，也節(jié)約了計(jì)算資源，可謂一舉兩得。

發(fā)明內(nèi)容