本發(fā)明公開了一種基于Xen平臺(tái)的虛擬機(jī)檢測(cè)方法，涉及計(jì)算機(jī)領(lǐng)域。本發(fā)明包括：構(gòu)建C語言庫(kù)LibVMI；編寫工具Volatility；在特權(quán)域Dom0中部署C語言庫(kù)Libvmi與工具Volatility；搭建在線檢測(cè)平臺(tái)；通過Xen向Guest OS提供了一系列的超級(jí)調(diào)用；通過工具Volatility獲取虛擬機(jī)數(shù)據(jù)，對(duì)虛擬機(jī)數(shù)據(jù)進(jìn)行簡(jiǎn)要整理分析后，形成主動(dòng)監(jiān)控語義信息；通過工具Volatility和C語言庫(kù)Libvmi對(duì)待測(cè)軟件采用連續(xù)累加測(cè)試模式進(jìn)行測(cè)試。本發(fā)明通過Xen和LIBVMI的結(jié)合，實(shí)現(xiàn)對(duì)虛擬機(jī)的實(shí)時(shí)監(jiān)測(cè)，同時(shí)運(yùn)用Volatility對(duì)虛擬機(jī)內(nèi)存文件進(jìn)行準(zhǔn)確的分析取證。

技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，特別是涉及一種基于Xen平臺(tái)的虛擬機(jī)檢測(cè)方法。

背景技術(shù)

VMI(虛擬機(jī)自省)技術(shù)是從虛擬機(jī)外部獲取客戶虛擬機(jī)操作系統(tǒng)內(nèi)部狀態(tài)信息的技術(shù),該技術(shù)提供了一種強(qiáng)大的隔離層,從而為保障虛擬化環(huán)境的安全性、可靠性和提高對(duì)虛擬機(jī)的管理能力提供了新的機(jī)遇。

現(xiàn)有技術(shù)中，基于軟件結(jié)構(gòu)知識(shí)的獨(dú)立性自省方法的體系，如說明書附圖1所示，VM外部提取底層狀態(tài)數(shù)據(jù),借助軟件結(jié)構(gòu)知識(shí)重構(gòu)出高層語義信息，攻擊者通過改變軟件結(jié)構(gòu)的方式,可以使得自省程序失效,即該方法易受攻擊、預(yù)防性不高；同時(shí)該方法一般基于特定的軟件結(jié)構(gòu)知識(shí)設(shè)計(jì)自省程序,因此,軟件架構(gòu)知識(shí)的變化會(huì)導(dǎo)致自省程序失效,故該方法的客戶操作可移植性也較差。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于Xen平臺(tái)的虛擬機(jī)檢測(cè)方法，通過建立異常行為在線檢測(cè)平臺(tái),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上突出的異常行為進(jìn)行連續(xù)測(cè)試與監(jiān)測(cè)，解決了背景技術(shù)中提出的相關(guān)問題。

為解決上述技術(shù)問題，本發(fā)明是通過以下技術(shù)方案實(shí)現(xiàn)的：

本發(fā)明為一種基于Xen平臺(tái)的虛擬機(jī)檢測(cè)方法，包括：

S01、構(gòu)建支持Python語言綁定的C語言庫(kù)LibVMI；通過Python編寫的跨平臺(tái)的、用于內(nèi)存分析的工具Volatility；

S02、在特權(quán)域Dom0中部署C語言庫(kù)Libvmi與工具Volatility；搭建在線檢測(cè)平臺(tái)；

S03、通過Xen向Guest OS提供了一系列的超級(jí)調(diào)用；

S04、通過工具Volatility獲取虛擬機(jī)數(shù)據(jù)，對(duì)虛擬機(jī)數(shù)據(jù)進(jìn)行簡(jiǎn)要整理分析后，形成主動(dòng)監(jiān)控語義信息；

S05、通過工具Volatility和C語言庫(kù)Libvmi對(duì)待測(cè)軟件采用連續(xù)累加測(cè)試模式進(jìn)行測(cè)試。

進(jìn)一步地，所述虛擬機(jī)數(shù)據(jù)包括虛擬機(jī)內(nèi)存、獲取VCPU寄存器的數(shù)據(jù)以及自陷硬件事件。

進(jìn)一步地，所述在線檢測(cè)平臺(tái)包括惡意軟件防治產(chǎn)品測(cè)試與網(wǎng)絡(luò)應(yīng)用的安全性監(jiān)測(cè)。

LibVMI是衍生于XenAccess的開源虛擬機(jī)自省工具,相對(duì)于XenAccess只適用于Xen,LibVMI適用于Xen或者KVM虛擬化環(huán)境,能作用于32位和64位的虛擬機(jī)；使用LibVMI可以在宿主機(jī)上透明讀寫虛擬機(jī)的內(nèi)存。

工具Volatility目的是為了在數(shù)據(jù)犯罪中提取易失性數(shù)據(jù),支持Linux和Windows系統(tǒng)的內(nèi)存取證分析,提供了大量功能插件,能夠從靜態(tài)內(nèi)存文件中獲取進(jìn)程信息、內(nèi)核對(duì)象信息、網(wǎng)絡(luò)信息以及操作系統(tǒng)信息,能夠檢測(cè)和協(xié)助清除Rootkit；通過pyvmi工具與LibVMI連接后,能夠?qū)φ谶\(yùn)行的虛擬機(jī)進(jìn)行內(nèi)存分析,將其強(qiáng)大的功能用于虛擬機(jī)自省。