本申請實施例公開了一種用于虛擬機安全防護的方法及裝置，用于防止系統調用表被篡改。本申請實施例方法包括：獲取系統調用表的內存地址；截獲虛擬機操作系統的CPU指令；判斷該CPU指令是否為內存寫入指令；若是，獲取該CPU指令的寫入地址；判斷該CPU指令的寫入地址是否位于該系統調用表的內存地址；若是，阻止該CPU指令的寫入操作。

技術領域

本申請涉及計算機硬件虛擬化領域和操作系統安全領域，尤其涉及一種用于虛擬機安全防護的方法及裝置。

背景技術

隨著云計算、大數據等技術的發展，對于服務器和個人電腦的安全性要求也越來越高。操作系統作為服務器和個人電腦的核心，其一旦被黑客或非法用戶控制及利用，后果將不堪設想。近年來由于Linux系統穩定高效的特點，其應用也越來越普遍。系統調用表sys_call_table是Linux操作系統的關鍵部件，是所有用戶態程序調用內核的入口，因此系統調用表的安全格外重要。

黑客常通過Rootkit程序篡改系統調用表中的某些系統調用函數地址，將一些系統調用函數重定向到包含惡意代碼的系統調用函數，當用戶再調用時便會觸發替換后的系統調用函數，以此來達到隱藏自身、破壞系統正常行為的目的。

在目前已知的Linux黑客攻擊統計中，通過篡改系統調用表實現攻擊的案例較多。因此如何有效保證系統調用表安全性和完整性成為目前急需解決的技術問題。

發明內容

本申請實施例提供了一種用于虛擬機安全防護的方法及裝置，用于防止系統調用表被篡改。

第一方面，本申請實施例提供了一種用于虛擬機安全防護的方法，該方法包括：

獲取虛擬機操作系統的系統調用表sys_call_table的內存地址范圍，該虛擬機為KVM虛擬機，該虛擬機基于硬件虛擬化技術搭建；

對虛擬機操作系統產生的CPU指令進行截獲；

判斷該CPU指令是否為內存寫入指令；

若該CPU指令為內存寫入指令，獲取該CPU指令的寫入地址范圍；

判斷該CPU指令的寫入地址范圍是否位于sys_call_table的內存地址范圍；

若該CPU指令的寫入地址范圍位于sys_call_table的內存地址范圍，則阻止該CPU指令對sys_call_table的寫入操作，具體可以為使得該CPU指令返回錯誤。

根據第一方面，本申請實施例第一方面的第一種實施方式中，在阻止該CPU指令對sys_call_table的寫入操作之后，該方法還包括：

將該CPU指令的相關信息作為已攔截日志消息緩存在系統日志鏈表中，該相關信息包括該CPU指令的內容和時間信息。

根據第一方面的第一種實施方式，本申請實施例第一方面的第二種實施方式中，在將該CPU指令的相關信息作為已攔截日志消息緩存在日志鏈表中之后，該方法還包括：

接收訪問已攔截日志消息的請求；

從該日志鏈表中提取已攔截日志消息，提取后的已攔截日志消息可通過用戶界面展示給用戶。

根據第一方面，本申請實施例第一方面的第三種實施方式中，在獲取系統調用表的內存地址之前，該方法還包括：

對虛擬機控制結構體VMCS進行設置，以控制對CPU指令的截獲行為。

第二方面，本申請實施例提供了一種用于虛擬機安全防護的裝置，該裝置包括：

第一獲取單元，用于獲取虛擬機操作系統的系統調用表sys_call_table的內存地址范圍，該虛擬機為KVM虛擬機，該虛擬機基于硬件虛擬化技術搭建；