一種虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng)及監(jiān)控方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及的是一種在虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng)及監(jiān)控方法�。
【背景技術(shù)】
[0002]在現(xiàn)有技術(shù)中���,公知的技術(shù)是虛擬化環(huán)境下的安全問題是虛擬化技術(shù)和云計(jì)算技術(shù)發(fā)展的一個(gè)重要問題���,隨著這兩個(gè)技術(shù)的快速發(fā)展,虛擬化安全受到了越來越多的重視����。在虛擬化環(huán)境下,增加了虛擬機(jī)管理器這個(gè)技術(shù)層�,客戶操作系統(tǒng)使用的是經(jīng)過虛擬機(jī)管理器抽象的邏輯資源,同一物理機(jī)上能同時(shí)存在多個(gè)虛擬機(jī)�����,這些虛擬機(jī)共享底層的物理資源��。虛擬化環(huán)境的特性帶來了傳統(tǒng)環(huán)境下不存在的安全問題,如虛擬化環(huán)境具有較強(qiáng)的動(dòng)態(tài)性��,安全邊界模糊��,管理和維護(hù)更加復(fù)雜�����,某臺(tái)虛擬機(jī)出現(xiàn)安全漏洞��,可能對(duì)同一物理機(jī)上的其他虛擬機(jī)造成威脅等����。一些傳統(tǒng)環(huán)境下的安全威脅如病毒、木馬���、惡意軟件等在虛擬環(huán)境下仍然存在����,針對(duì)他們的傳統(tǒng)安全防護(hù)方法卻難以適應(yīng)虛擬化環(huán)境�。
[0003]在虛擬環(huán)境下采用傳統(tǒng)的防護(hù)方式在每臺(tái)虛擬機(jī)上安裝防病毒軟件,入侵檢測和入侵防護(hù)系統(tǒng)會(huì)消耗大量資源���,大大降低系統(tǒng)性能��,顯然不是最優(yōu)的方法����,且防護(hù)軟件安裝在虛擬機(jī)上容易受到攻擊和控制,需要有新的技術(shù)來解決此類安全問題�。虛擬機(jī)管理器控制著整個(gè)虛擬化環(huán)境,能夠監(jiān)控所有虛擬機(jī)并且與其上運(yùn)行的應(yīng)用進(jìn)行通信���。虛擬機(jī)管理器負(fù)責(zé)虛擬機(jī)的啟動(dòng)、關(guān)閉���、暫停和恢復(fù)運(yùn)行�,能夠管理和控制虛擬機(jī)使用的資源�,甚至監(jiān)控虛擬機(jī)內(nèi)的進(jìn)程,也能夠修改虛擬機(jī)的虛擬機(jī)磁盤上的內(nèi)容�,虛擬機(jī)管理器還能夠監(jiān)控所有虛擬機(jī)的網(wǎng)絡(luò)流量,因此���,借助虛擬機(jī)管理器來監(jiān)控客戶虛擬機(jī)的運(yùn)行狀態(tài)能夠有效保證虛擬化環(huán)境下客戶虛擬機(jī)的運(yùn)行安全�����,另外虛擬機(jī)管理器對(duì)客戶虛擬機(jī)是透明的�,更加便于部署和維護(hù)。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的就是針對(duì)現(xiàn)有技術(shù)所存在的不足����,而提供一種擬機(jī)環(huán)境下的網(wǎng)絡(luò)監(jiān)控系統(tǒng)即監(jiān)控方法的技術(shù)方案,該方案用于對(duì)用戶的虛擬機(jī)運(yùn)行環(huán)境進(jìn)行安全保護(hù)�,能夠管理和控制虛擬機(jī)使用的資源,甚至監(jiān)控虛擬機(jī)內(nèi)的進(jìn)程��,也能夠修改虛擬機(jī)的虛擬機(jī)磁盤上的內(nèi)容��,因此將監(jiān)控功能模塊部署在虛擬機(jī)管理器里能夠保證監(jiān)控的可靠性�,同時(shí)結(jié)合虛擬機(jī)自省技術(shù)能夠?qū)Ρ槐O(jiān)控虛擬機(jī)的內(nèi)核空間實(shí)施有效的檢測,防止入侵發(fā)生�。
[0005]本方案是通過如下技術(shù)措施來實(shí)現(xiàn)的:一種虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),包括如下豐吳塊:
監(jiān)控模塊��,用于對(duì)被監(jiān)控虛擬機(jī)的內(nèi)存和文件系統(tǒng)進(jìn)行檢測��;
域間通信模塊�����,用于信息的安全傳遞����;
規(guī)則庫����,是對(duì)內(nèi)存段采取的監(jiān)控規(guī)則以及攻擊特征的集合����;
分析模塊,對(duì)監(jiān)控模塊采集到的信息與規(guī)則庫里的集合進(jìn)行匹配���,發(fā)現(xiàn)異常情況是將告警信息發(fā)送到響應(yīng)服務(wù)模塊��;
響應(yīng)服務(wù)模塊��,對(duì)檢測到的入侵事件進(jìn)行日志記錄,并通過域間通信模塊將告警信息發(fā)送到被監(jiān)控虛擬機(jī)的響應(yīng)接受模塊�;
響應(yīng)接受模塊,用于接收告警信息并發(fā)送給事件處理模塊��;
事件處理模塊�,根據(jù)告警信息采取安全防范措施。
[0006]所述監(jiān)控模塊對(duì)被監(jiān)控虛擬機(jī)的內(nèi)存和文件系統(tǒng)進(jìn)行檢測����,包括監(jiān)控對(duì)內(nèi)核中的只讀內(nèi)容的惡意修改,例如修改系統(tǒng)調(diào)用表��、中斷描述符表或系統(tǒng)調(diào)用函數(shù);通過監(jiān)控任務(wù)列表����、模塊列表來發(fā)現(xiàn)隱藏的惡意軟件;對(duì)系統(tǒng)文件進(jìn)行完整性檢測或攻擊特征匹配����;對(duì)虛擬機(jī)網(wǎng)卡處于混雜模式以及隱藏的網(wǎng)絡(luò)連接進(jìn)行檢測。
[0007]所述的域間通信模塊是將兩個(gè)不同虛擬機(jī)的設(shè)備內(nèi)存空間映射到同一塊機(jī)器地址空間�,從而使得兩個(gè)設(shè)備的操作都在同一塊真實(shí)的機(jī)器地址空間中執(zhí)行,通過共享內(nèi)存和事件通道機(jī)制的方式來實(shí)現(xiàn)在不同虛擬機(jī)間的信息安全傳遞���。
[0008]分析模塊將從監(jiān)控模塊采集到的信息�,按照用戶下發(fā)的配置策略對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析提取特征信息���,并將特征信息保存到規(guī)則庫中���。
[0009]所述規(guī)則庫還與安全管理中心保持網(wǎng)絡(luò)連接,以獲取規(guī)則信息的在線更新服務(wù)�。
[0010]所述安全防范措施包括斷開連接、收集證據(jù)以及數(shù)據(jù)恢復(fù)����、或者利用防火墻對(duì)入侵事件進(jìn)防御���。
[0011]一種虛擬機(jī)環(huán)境下的監(jiān)控方法,其特征是包括如下步驟:
1)監(jiān)控模塊對(duì)被監(jiān)控虛擬機(jī)的內(nèi)存或文件執(zhí)行監(jiān)控掃描�����;
2)分析模塊把采集到的信息與規(guī)則庫的特征集合進(jìn)行匹配來發(fā)現(xiàn)入侵行為���;
3)分析模塊檢測到入侵行為就向響應(yīng)服務(wù)模塊發(fā)送通告����;
4)響應(yīng)服務(wù)模塊將入侵事件保存到日志記錄����,并通過域間通信模塊向被檢測虛擬機(jī)發(fā)送告警信息;
5)響應(yīng)接收模塊從域間通信模塊接收告警信息并發(fā)送給事件處理模塊���;
6)事件處理模塊根據(jù)告警信息采取相應(yīng)的安全防范措施。
[0012]所述的步驟I)中的監(jiān)控掃描���,包括監(jiān)控對(duì)內(nèi)核中的只讀內(nèi)容的惡意修改��,例如修改系統(tǒng)調(diào)用表�、中斷描述符表或系統(tǒng)調(diào)用函數(shù);通過監(jiān)控任務(wù)列表����、模塊列表來發(fā)現(xiàn)隱藏的惡意軟件;對(duì)系統(tǒng)文件進(jìn)行完整性檢測或攻擊特征匹配���;對(duì)虛擬機(jī)網(wǎng)卡處于混雜模式以及隱藏的網(wǎng)絡(luò)連接進(jìn)行檢測��。
[0013]所述的步驟2)中���,分析模塊對(duì)被監(jiān)控虛擬機(jī)的內(nèi)存信息和網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析,將用戶操作與系統(tǒng)正常行為和規(guī)則庫進(jìn)行匹配來發(fā)現(xiàn)入侵行為�。
[0014]本方案的有益效果可根據(jù)對(duì)上述方案的敘述得知,由于在該方案中有特權(quán)虛擬機(jī)��、虛擬機(jī)管理器��、被監(jiān)控虛擬機(jī)��;其中特權(quán)虛擬機(jī)包括規(guī)則庫����、分析模塊、響應(yīng)服務(wù)模塊;虛擬機(jī)管理器包括監(jiān)控模塊和域間通信模塊�����,在被監(jiān)控虛擬機(jī)內(nèi)設(shè)置有事件處理模塊和響應(yīng)接收模塊�,這樣工作時(shí),虛擬機(jī)管理器中的監(jiān)控模塊就可以對(duì)被監(jiān)控虛擬機(jī)����,特權(quán)虛擬機(jī)中的分析模塊與規(guī)則庫中的比較,如果檢測到入侵行為��,則通過響應(yīng)服務(wù)模塊��、域間通信模塊將報(bào)警信息發(fā)送到被監(jiān)控虛擬機(jī)的響應(yīng)接收模塊���,然后事件處理模塊進(jìn)行相應(yīng)的處理���。由此可見,本發(fā)明與現(xiàn)有技術(shù)相比��,具有突出的實(shí)質(zhì)性特點(diǎn)和顯著的進(jìn)步�,其實(shí)施的有益效果也是顯而易見的����。
【附圖說明】
[0015]圖1為本發(fā)明【具體實(shí)施方式】的結(jié)構(gòu)示意圖����。
[0016]圖2為本發(fā)明【具體實(shí)施方式】的流程圖�。
【具體實(shí)施方式】
[0017]為能清楚說明本方案的技術(shù)特點(diǎn),下面通過一個(gè)【具體實(shí)施方式】�����,并結(jié)合其附圖�����,對(duì)本方案進(jìn)行闡述�����。
[0018]通過附圖可以看出�,本方案的一種虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),包括如下模塊:
監(jiān)控模塊���,用于對(duì)被監(jiān)控虛擬機(jī)的內(nèi)存和文件系統(tǒng)進(jìn)行檢測����;所述監(jiān)控模塊對(duì)被監(jiān)控虛擬機(jī)的內(nèi)存和文件系統(tǒng)進(jìn)行檢測,包括監(jiān)控對(duì)內(nèi)核中的只讀內(nèi)容的惡意修改��,例如修改系統(tǒng)調(diào)用表�����、中斷描述符表或系統(tǒng)調(diào)用函數(shù)�;通過監(jiān)控任務(wù)列表、模塊列表來發(fā)現(xiàn)隱藏的惡意軟件��;對(duì)系統(tǒng)文件進(jìn)行完整性檢測或攻擊特征匹配�;