本說明書實(shí)施例提供一種增強(qiáng)型包過濾器的內(nèi)核態(tài)程序的超級(jí)調(diào)用方法及裝置。應(yīng)用于虛擬機(jī)監(jiān)控器，包括：響應(yīng)于內(nèi)核態(tài)程序觸發(fā)的虛擬化缺頁，獲取觸發(fā)虛擬化缺頁的內(nèi)存地址；判斷虛擬化缺頁的內(nèi)存地址是否和映射表中的缺頁鍵對應(yīng)的內(nèi)存地址一致；其中，映射表記錄了鍵值對之間的映射關(guān)系，缺頁鍵為內(nèi)核態(tài)程序和虛擬機(jī)監(jiān)控器共同在映射表中確定的鍵，映射表中的每個(gè)鍵唯一對應(yīng)一個(gè)內(nèi)存地址；如果虛擬化缺頁的內(nèi)存地址和缺頁鍵對應(yīng)的內(nèi)存地址一致，從映射表中讀取缺頁鍵映射的缺頁值；其中，缺頁值包括內(nèi)核態(tài)程序在觸發(fā)虛擬化缺頁之前寫入的超級(jí)調(diào)用的功能類型；基于缺頁值指示的功能類型執(zhí)行該功能類型的超級(jí)調(diào)用。

技術(shù)領(lǐng)域

本說明書實(shí)施例涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種增強(qiáng)型包過濾器的內(nèi)核態(tài)程序的超級(jí)調(diào)用方法及裝置。

背景技術(shù)

增強(qiáng)型包過濾器(extended Berkeley Packet Filter，eBPF)是一種通用執(zhí)行引擎。由于增強(qiáng)型包過濾器可以在操作系統(tǒng)內(nèi)核(如Linux內(nèi)核)中運(yùn)行特殊程序(如沙盒程序)而無需更改內(nèi)核源代碼或加載內(nèi)核模塊，因而受到開發(fā)人員的普遍使用。

增強(qiáng)型包過濾器的架構(gòu)至少可以包括用戶態(tài)程序(或稱用戶空間程序)和內(nèi)核態(tài)程序(或稱內(nèi)核程序)兩部分。其中，用戶態(tài)程序用于加載指令碼(如BPF字節(jié)碼)至內(nèi)核，也可以讀取內(nèi)核回傳的信息或事件；而內(nèi)核態(tài)程序用于將指令碼轉(zhuǎn)化為內(nèi)核可執(zhí)行指令，進(jìn)而由內(nèi)核中的指令程序執(zhí)行。

在虛擬化的環(huán)境中(如虛擬機(jī))提供有超級(jí)調(diào)用(Hypercall)機(jī)制，通過調(diào)用Hypercall可以實(shí)現(xiàn)從用戶態(tài)到內(nèi)核態(tài)的狀態(tài)切換，從而獲取內(nèi)核態(tài)下更高的操作權(quán)限。

但是在虛擬化的環(huán)境中運(yùn)行的增強(qiáng)型包過濾器，如果向要獲取更高的操作權(quán)限，則需要從內(nèi)核態(tài)程序切換到虛擬機(jī)中底層的虛擬機(jī)監(jiān)控器(Hypervisor，或virtualmachine monitor，VMM)；而現(xiàn)有增強(qiáng)型包過濾器的內(nèi)核態(tài)程序無法調(diào)用Hypercall，也就無法切換到Hypervisor以獲取更高的操作權(quán)限。

發(fā)明內(nèi)容

本說明書實(shí)施例提供的一種增強(qiáng)型包過濾器的內(nèi)核態(tài)程序的超級(jí)調(diào)用方法及裝置：

根據(jù)本說明書實(shí)施例的第一方面，提供一種增強(qiáng)型包過濾器的內(nèi)核態(tài)程序的超級(jí)調(diào)用方法，應(yīng)用于虛擬機(jī)監(jiān)控器，所述方法包括：

響應(yīng)于內(nèi)核態(tài)程序觸發(fā)的虛擬化缺頁，獲取觸發(fā)所述虛擬化缺頁的內(nèi)存地址；

判斷所述虛擬化缺頁的內(nèi)存地址是否和映射表中的缺頁鍵對應(yīng)的內(nèi)存地址一致；其中，所述映射表記錄了鍵值對之間的映射關(guān)系，所述缺頁鍵為所述內(nèi)核態(tài)程序和所述虛擬機(jī)監(jiān)控器共同在所述映射表中確定的鍵，所述映射表中的每個(gè)鍵唯一對應(yīng)一個(gè)內(nèi)存地址；

如果所述虛擬化缺頁的內(nèi)存地址和缺頁鍵對應(yīng)的內(nèi)存地址一致，從所述映射表中讀取所述缺頁鍵映射的缺頁值；其中，所述缺頁值包括所述內(nèi)核態(tài)程序在觸發(fā)所述虛擬化缺頁之前寫入的超級(jí)調(diào)用的功能類型；

基于所述缺頁值指示的功能類型執(zhí)行該功能類型的超級(jí)調(diào)用。

可選的，所述響應(yīng)于內(nèi)核態(tài)程序的觸發(fā)的虛擬化缺頁，包括：

響應(yīng)于內(nèi)核態(tài)程序?qū)⒊?jí)調(diào)用的功能類型寫入映射表中的缺頁鍵映射的缺頁值后觸發(fā)的虛擬化缺頁。

可選的，不同缺頁鍵用于表示不同的參數(shù)個(gè)數(shù)；所述方法還包括：

基于所述缺頁鍵表示的參數(shù)個(gè)數(shù)，從所述映射表中的第一個(gè)參數(shù)鍵開始依次讀取所述參數(shù)個(gè)數(shù)的參數(shù)鍵，以獲取每個(gè)參數(shù)鍵映射的參數(shù)值；其中，所述參數(shù)值為所述內(nèi)核態(tài)程序?qū)懭氲某?jí)調(diào)用的參數(shù)，1個(gè)參數(shù)值對應(yīng)1個(gè)參數(shù)；

所述基于所述缺頁鍵指示的功能類型執(zhí)行該功能類型的超級(jí)調(diào)用，包括：

基于所述虛擬機(jī)監(jiān)控器所在的虛擬機(jī)的身份信息，獲取所述虛擬機(jī)中的增強(qiáng)型包過濾器維護(hù)的映射表；