CN103827882A

CN103827882A - 用于虚拟分区监视的系统和方法

Info

Publication number: CN103827882A
Application number: CN201280028185.6A
Authority: CN
Inventors: G.W.达尔彻尔; J.L.爱德华兹
Original assignee: Mai Kefei Co
Current assignee: McAfee LLC
Priority date: 2011-06-08
Filing date: 2012-06-07
Publication date: 2014-05-28
Anticipated expiration: 2032-06-07
Also published as: KR101626398B1; EP2718867A2; JP5861228B2; CN103827882B; US10032024B2; EP2718867A4; US20160224792A1; KR20140031947A; WO2012170709A2; US9298910B2; JP2014516191A; US20120317570A1; WO2012170709A3

Abstract

在一个示例实施例中提供一种方法，其包括在外部处理机中接收与虚拟分区中的事件关联的事件通知。能够停置虚拟分区中引起事件的进程中的线程。当安全性处理机评估事件的潜在威胁时，可允许其它线程和进程进行恢复。可指示虚拟分区中的帮手代理运行任务、例如收集和汇编虚拟分区中的事件上下文，以及基于该任务的结果能够返回给外部处理机。能够基于由帮手代理所返回的结果来采取策略动作，其可包括例如指示帮手代理终止引起事件的进程。

Description

用于虚拟分区监视的系统和方法

技术领域

一般来说，本说明书涉及信息技术安全，以及更具体来说，涉及用于虚拟分区监视的系统和方法。

背景技术

信息技术中的虚拟化技术的演进引起了从基于云的计算到移动电话中的嵌入式系统的多种应用。一般来说，虚拟化隐藏计算平台的硬件特性，并且改为呈现抽象平台，该抽象平台能够托管包括完整操作系统的其它平台。一种普遍的虚拟化技术是部署管理程序(又称作虚拟机管理器)，其能够允许客体软件(包括完整操作系统)同时运行于抽象主机平台上。管理程序能够为其客体软件提供模拟计算环境，通常称作“虚拟机”。因此，例如，多个全异操作系统能够在管理程序下运行于单个框架上。

但是，随着所部署虚拟机的数量增加，虚拟机可能成为对恶意攻击的更普遍目标。以及虽然虚拟化提供许多优点，但是它也能够呈现独特的安全性难题。例如，外部安全软件能够监视虚拟机中的事件，例如监视存储器的读取、写入或者运行访问，但是在了解这类事件的上下文方面可存在重大难题。在没有充分了解事件上下文的情况下，安全性动作可明显受到限制。因此，对于提供安全虚拟化平台仍然有许多难题。

附图说明

为了提供对本公开及其特征和优点的更完整了解，参照结合附图进行的以下描述，其中相似参考标号表示相似部件，其中：

图1是示出其中虚拟分区可按照本说明书来监视的虚拟化平台的示例实施例的简化框图；

图2是示出可与虚拟平台的一个潜在实施例关联的附加细节的简化框图；以及

图3A-3B是示出可与虚拟平台的一个实施例关联的潜在操作的简化流程图。

具体实施方式

概述

在一个示例实施例中提供一种方法，其包括在外部处理机中接收与虚拟分区中的事件关联的事件通知。能够停置（park）虚拟分区中引起事件的进程中的线程。当安全性处理机评估事件的潜在威胁时，可允许其它线程和进程进行恢复。可指示虚拟分区中的帮手代理（helper agent）运行任务、例如收集和汇编虚拟分区中的事件上下文，以及基于该任务的结果能够返回给外部处理机。能够基于由帮手代理所返回的结果来采取策略动作，其可包括例如指示帮手代理终止引起事件的进程。

在更具体实施例中，例如，外部处理机可在第二虚拟分区中、在虚拟化主机中或者作为管理程序扩展进行操作。虚拟分区可以是虚拟化平台中的虚拟化客体、例如虚拟机的实例，以及事件通知能够由管理程序扩展来发送给安全性处理机。

示例实施例

来看图1，图1是示出其中虚拟分区可按照本说明书来监视的虚拟化平台100的一个示例实施例的简化框图。虚拟化平台100包括硬件105、管理程序110和管理程序扩展模块115。一般来说，硬件105表示任何机器或设备，其能够对数据进行接收、执行逻辑操作、存储或者显示，并且可以非限制性地包括处理器105a和存储器105b。虚拟化平台100可具有一个以上虚拟分区，例如虚拟化客体120和安全性监视器125。在一些实施例中，管理程序110可以是直接运行于硬件105(如图1所示)的本地或“裸金属”管理程序，但是备选地可在运行于硬件105的主机软件(例如虚拟化主机)下运行。安全性监视器125例如可通过已注册回叫来与管理程序扩展120进行通信，以及例如通过网络通信直接与帮手代理210(即，绕过管理程序扩展120)进行通信。

一般来说，虚拟分区可以是能够具有在其中运行的软件的虚拟机、沙箱、容器或者任何其它隔离环境的实例。软件可包括操作系统和应用软件。但是，对于虚拟分区中运行的所有软件，虚拟分区可看来是不同的物理机器。

为了说明监视诸如平台100之类的虚拟化平台中的虚拟分区的原理，重要的是了解这种平台中发生的活动和通信。以下基本信息可被看作是可正确说明本公开的基础。事实上这种信息是仅为了便于说明而提供，并且相应地决不应当被理解为限制本公开的广义范围及其潜在应用。

进程通常在不断变化的上下文(或状态)（例如进程寄存器、控制寄存器、存储器、表格或列表中的数据）的情况下进行操作。如本文所使用的术语“进程”在广泛意义上用于一般表示进程、应用、线程、任务、指令集、代码块或者其它类似操作单元。构成上下文的东西可取决于下层硬件和操作系统软件，但是一般来说，上下文包括在进程被中断时恢复执行所需的最小数据集。但是，它还能够表示在了解被拦截事件的环境或境况方面可以是有用的任何信息。一个进程的上下文数据可以是对单个操作环境中的其它进程（包括虚拟分区中的进程）容易地可用的，但是可能难以从进程的操作环境的外部、例如从同一虚拟平台上的另一个虚拟分区中的进程访问。

管理程序扩展、中央处理器扩展、芯片组扩展等能够用于促进具有不同上下文的进程的增强监视。例如，管理程序扩展能够从外部上下文、例如从充当安全性监视器的第二虚拟化客体来提供虚拟化客体的增强监视，例如监视存储器的读取、写入或者运行访问。

扩展集也可支持其它类型的事件的监视，包括其它类型的存储器访问或者对存储器属性的变更，例如使区域是可写或者可执行的。还能够监视特定CPU指令或者指令类型的执行，例如CPU“CALL”或“RET”指令。监视也可以是更有针对性的，例如对于由特定进程所触发的事件、特定区域(或者多个区域)中的代码、所指定地址的执行、对所指定地址的写入、CPU注册变更或者CPU环状态变更。

汇编上下文信息可包括例如在触发被拦截事件的进程中加载的枚举模块(即，动态链接库或“DLL”)。在客体操作系统中，这种枚举能够是微不足道的，这是因为它可能由操作系统的一组应用编程接口(API)来支持。但是，客体操作系统外部的枚举模块能够要求经过一系列内部操作系统结构，以查找模块。

能够保持客体操作系统内部的结构的模板以提供某种上下文，但是保持每个客体操作系统版本的这些模板的版本能够是极为繁重的。此外，诸如Microsoft Windows之类的一些系统的文件编制可能是不可用的，这能够增加负担。

由诸如管理程序扩展之类的扩展集所支持的监视能够包括对已注册处理机或代理的回叫。因此，例如，如果在被监视存储器区域中检测到访问，则事件能够触发具有事件上下文的已注册回叫。回叫可在事件完成之前或之后发生。引起事件的进程可在回叫进行时被挂起，或者回叫可与事件完成异步。传递给回叫的信息可包括事件上下文，诸如事件的目标(例如被访问的存储器区域)以及触发事件的执行组件(例如进程)的身份(例如进程标识符、线程或者代码位置)。

一般来说，虚拟化分区的监视能够分为两类：(1) 内部事件处理，以及(2) 外部事件处理。在内部事件处理中，将与诸如访问被监视存储器之类的虚拟分区中的事件有关的通知发送给与触发通知的事件相同的虚拟分区中的处理机。与此对比，虚拟分区的外部监视向被监视虚拟分区外部运行的处理机提供被监视虚拟分区中的事件的通知。处理机可在虚拟化主机(如果存在的话)、管理程序或者独立虚拟分区中运行。例如，当前管理程序扩展可要求处理机在被监视存储器外部、在用作安全性监视器的另一个虚拟化客体之中运行。

但是，如果处理机在被监视虚拟分区外部运行，则了解被拦截事件的上下文可出现重大难题。在没有对事件上下文的访问的情况下，会难以进行与被拦截事件的合法性有关的安全性判定。因此，在提供被拦截事件的起源的全上下文的同时使用虚拟化分区监视的外部传递能够提供有效值。

除了汇编事件的上下文信息的难题之外，向虚拟分区外部运行的已注册回叫传递监视事件还能够引起其它问题。通过这种模式的事件传递，例如，触发监视事件的虚拟分区的虚拟处理器能够在外部运行回叫处理机处理事件的同时完全暂停。除非存在更多虚拟处理器可用，否则虚拟分区中没有其它活动可发生。即使存在其它虚拟处理器，整个虚拟分区在它们还触发监视事件时也仍然能够暂停。因此，这种类型的传递能够引起基于管理程序的监视的性能不利后果，并且还阻止虚拟化客体例如以上下文信息的发现来帮助外部回叫处理机。

外部事件处理机能够提供优于内部事件处理机的若干优点。这些优点能够包括保护事件处理机及关联决策器免受被监视虚拟分区中运行的恶意软件的直接攻击。其它优点包括无代理安全性，其中在虚拟分区中没有部署安全性代理的情况下可保护虚拟分区。相应地，如果可在没有如本文所述通常伴随外部事件处理机的许多问题的情况下提供被拦截操作的起源的更完整上下文，则可显著增强虚拟分区监视的外部传递的值。

按照本文所述的实施例，通过提供外部监视而无需了解内部操作系统结构，虚拟化平台100能够克服这些缺点(等等)，同时保存外部事件处理的优点。虚拟化平台100例如可为混合虚拟分区监视提供外部处理机，该外部处理机能够接收被监视虚拟分区、例如在管理程序下运行的被监视虚拟化客体中所拦截的事件的通知。虚拟分区中部署的内部帮手代理能够代表外部处理机来执行某些任务，其可包括汇编与被拦截事件关联的上下文信息，并且向外部处理机提供结果。内部帮手代理可包括驻留在被监视进程中的组件以及可单独运行的组件。外部处理机能够使用内部代理的信息和活动来指导策略判定，例如在其违反安全性策略时阻塞事件并且终止事件进程或线程。在一些实施例中，外部处理机可指导内部代理实现某些策略动作。

在虚拟化平台100的一些实施例中，在评估事件时，可在虚拟分区中停置或挂起与虚拟分区中的被拦截事件关联的操作，这能够允许其它进程和线程在虚拟分区中运行。挂起关联操作能够使对虚拟分区的性能影响为最小，并且还允许内部代理在虚拟分区中运行，以便运行外部处理机的任务。此外，这些任务能够在与引发被拦截事件的线程不同的线程中执行，由此降低互用性和死锁问题的风险。

在更具体实施例中，外部安全性处理机或代理可向扩展管理程序进行注册，以便接收虚拟化客体中的事件的通知。虚拟化客体中运行的帮手代理能够创建等待接收来自安全性处理机的任务请求的线程。帮手代理还可在被监视进程中创建存储器区域，以便包含用于与安全性处理机进行通信的数据以及安全性处理机能够控制的代码。响应事件拦截，安全性处理机能够将事件触发线程放入保持状态，并且发起帮手代理的任务以在被监视虚拟化客体中执行。

来看图2，图2是示出可与虚拟平台100的一个潜在实施例关联的附加细节的简化框图。图2包括管理程序扩展模块115、虚拟化客体120和安全性监视器125。安全性监视器125还可以是管理程序110中的虚拟化客体，特别是具有附加特权的受信客体。虚拟化客体120和安全性监视器125各可包括相应虚拟处理器205a-b、相应存储器元件205a-b和各种软件元件(包括某些实施例中的不同的操作系统)。更具体来说，虚拟化客体120可包括帮手代理210、事件停置模块215和被监视进程220。数据区域225可用于与事件停置模块215进行通信。帮手代理210的嵌入式组件230还可驻留在被监视进程220中。安全性监视器125可具有安全性处理机235和检测模块240。管理程序扩展115可提供对被监视进程220的监视和执行控制以及在事件触发通知时提供到安全监视器125的事件回叫。客体内通信机制可实现帮手代理210与安全性处理机235之间的直接通信。

在备选实施例中，安全性监视器125(包括处理机235和检测模块240)可驻留在管理程序110中(虚拟分区外部)或者作为管理程序扩展。在又一些实施例中，如果例如管理程序110不是嵌入式管理程序，则安全性监视器125可在主机操作系统的执行环境中进行操作。

关于与虚拟平台100关联的内部结构，硬件105能够包括用于存储将要在本文所述操作中使用的信息的存储器元件(如图1所示)。另外，虚拟平台100可包括处理器和一个或多个虚拟处理器，它们能够运行软件或算法以执行如本文所述的活动。这些装置还可在适当时并且基于特定需要来将信息保持在任何适当存储器元件(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件或者任何其它适当组件、装置、元件或对象中。本文所述的存储器项的任一个应当被理解为包含在广义术语‘存储器元件’中。由管理程序１１０、管理程序扩展１１５、虚拟化客体１２０或安全性监视器２３５所跟踪或发送的信息可在其全部能够在任何适当时间帧来引用的任何数据库、寄存器、控制列表或存储结构中提供。任何这类存储选项可包含在如本文所使用的广义术语‘存储器元件’中。类似地，本文所述的潜在处理元件、模块和机器中的任一个应当被理解为包含在广义术语‘处理器’中。

注意，在某些示例实现中，本文所述功能可由在一个或多个有形非暂时介质中编码的逻辑(例如，专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、将要由处理器或者其它类似机器所运行的软件(潜在包含目标代码和源代码)等)来实现。在这些实例的一部分中，存储器元件(如图1所示)能够存储用于本文所述操作的数据。这包括存储器元件，该存储器元件能够存储被运行以执行本文所述活动的软件、逻辑、代码或处理器指令。处理器能够运行与数据关联的任何类型的指令，以便实现本文所详述的操作。在一个示例中，处理器(如图1所示)或虚拟处理器(如图2所示)可将元件或制品(例如数据)从一个状态或事态变换成另一个状态或事态。在另一个示例中，本文所述的活动可采用固定逻辑或者可编程逻辑(例如由处理器所运行的软件/计算机指令)来实现，以及本文所确定的元件可能是某种类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程ROM(EEPROM))或者包括数字逻辑、软件、代码、电子指令或者它们的任何适当组合的ASIC。

图3A-3B是示出可与虚拟平台100的一个实施例关联的潜在操作的简化流程图。更具体来说，图3A示出可用于配置虚拟平台100的初步操作，以及图3B示出与评估和作用于事件关联的潜在操作。

来看图3A，安全监视器125可在305向管理程序扩展115进行注册，以便接收所指定事件的事件通知(例如回叫)。另外，帮手代理210可在310创建线程，该线程等待来自处理机的任务请求，例如来自处理机235的经由网络通信的请求。事件停置模块215和数据区域225也可在315和320来创建。例如，事件停置模块215能够等待操作系统支持的信令机制。

在325，嵌入式组件、例如嵌入式组件230还可在每个被监视进程中来创建，其包括驻留在每个被监视进程的地址空间中的存储器区域。例如，代码注入可用于将可执行代码插入运行进程中，其可包括将可执行模块(例如DLL)加载到进程中。通常，注入的第一步骤是获得对进程的充分访问，以便允许能够放置和运行所注入代码的存储器区域的创建。通常可得到访问令牌，以便获得对运行进程的访问。访问令牌可包括在进程中分配存储器、对那个存储器进行写入以及改变存储器的属性(例如以便允许执行)的特权。一旦获得对进程的访问，则能够在那个进程中创建存储器。代码可写入那个存储器，以及属性可设置成允许从存储器中的执行。在其它实施例中，操作系统可提供用于指定进程应当将模块加载到各实例中的机制。例如，Windows操作系统中的“rundll”注册表项能够使进程加载该项中所列的所有模块。

然后可运行所注入代码。如果模块在进程开始时加载，则所注入代码可在模块被加载时已经被运行。例如，在Windows中DLL能够在其“dllmain”导出中运行代码。备选地，可通过在进程中创建新线程以运行所注入存储器区域中的代码，来发起所注入代码。代码挂钩（hooking）还可用于将执行重定向到所注入代码。代码挂钩能够使进程中的代码的执行分支到所注入存储器区域中的代码。例如，在接口开始的指令可采用能够将执行转移到所注入代码中的“跳转”指令来替代。使用代码注入和代码挂钩能够实现以其他方式也许不可能的进程中的操作的增强监视。

来看图3B，进程(例如进程220)可例如通过尝试访问安全性监视器125对其注册以接收回叫的存储器区域，在330触发来自管理程序扩展115的被监视事件和回叫。安全性处理机235在335能够接收具有事件数据的回叫，并且在340使用管理程序扩展115来指导虚拟处理器205a运行事件停置模块215。回叫能够完成，并且虚拟化客体120返回到运行状态，使得仅停置进程220。由于它没有使用忙循环，所以系统的其余部分可继续正常运行，这能够允许帮手代理210运行。

事件例如可在数据区域225中来识别，并且事件停置模块215可执行经由嵌入式组件230所传递的任务。任务可包括例如将指令指针和栈设置成某个值，以实现控制转移。任务还可包括将任何其它寄存器设置成某个值，例如设置成API的返回值。因此，帮手代理210能够提供停置已经触发回叫的线程或进程的机制，并且允许线程代表安全性处理机235使用诸如客体操作系统所提供的API之类的虚拟化客体120中可用的机制来执行任务，这能够显著增加稳定性和兼容性。虚拟化客体在345可恢复其它进程、线程等的执行。

安全性处理机235可在350向帮手代理210(例如经由客体内通信机制)发送任务请求。帮手代理210(或者帮手代理210中的线程)可接收该请求，并且从请求中检索数据有效载荷。数据有效载荷可包括要运行的任务的描述，例如枚举进程中加载的所有模块(例如DLL)。因此，例如，安全性处理机235可在350请求事件的上下文数据。上下文数据的示例可包括与触发事件的进程有关的信息、触发事件的动作(例如对特定存储器区域的写入访问)的类型、拥有已访问的特定存储器区域的进程或者与文件操作有关的细节(例如文件大小、名称、修改日期等)。帮手代理210能够执行所述任务，并且向安全性处理机235返回任何结果，例如在355返回进程220的上下文数据。

基于上下文数据和事件数据，检测模块240能够确定事件是否为恶意的或者是否以其它方式违反安全性策略。如果没有违反安全性策略，则安全性处理机235可在360，例如通过重置虚拟处理器205a的指令指针以从触发事件发生的点恢复执行，使用管理程序扩展115来允许进程220继续进行。重置指令指针可使将进程220作为正常线程来操作时原本可能遇到的问题为最小。备选地，数据区域225可采用命令来设置，以便将指令指针和栈指针向回设置成使执行返回触发事件发生的点的值。

但是，如果检测模块240在355识别安全性策略违反，则安全性处理机235能够在365指示帮手代理210来实现动作，例如阻塞进程220进一步执行。动作可由帮手代理210或者嵌入式组件230来执行。例如，阻塞触发操作可由嵌入式组件230最佳地执行，而终止被监视进程220可由帮手代理210(在被监视进程220外部运行)最佳地执行。事件停置模块215还可取决于动作类型实现动作。如果动作是异步的，例如终止进程，则安全性处理机235能够将其传递给帮手代理210，并且结束触发事件的处理。如果动作是同步的，则动作可在数据区域255来指示，例如以便向帮手代理210发信号通知，并且然后可结束被监视事件的处理。违反也可记录在日志中或者例如在370经由电子邮件向管理员报告。

重要的是要注意，附图中的步骤仅示出可由虚拟平台100或者在虚拟平台100中运行的可能情况和模式的一部分。这些步骤的一部分可在适当时删除或移除，或者这些步骤可经过相当大的修改或改变，而没有背离本文所提供教导的范围。另外，多个这些操作描述为与一个或多个附加操作同时地或者并行地运行。但是，这些操作的定时可极大地改变。为了便于示例和论述而提供了前面的操作流程。虚拟平台100提供了充分灵活性，这是因为可提供任何适当布置、年表、配置和定时机制，而没有背离本文所提供的教导。

此外，本文所述的原理易于应用于其它监视系统，其中回叫或其它事件通知可从客体或专门容器传递给具有不同上下文的处理机，例如用于文档控制、审计、辩论和性能监视。

许多其它变更、置换、变化、改变和修改可以是对本领域的技术人员确定的，并且预计本公开包含如落入所附权利要求书的范围之内的所有这类变更、置换、变化、改变和修改。为了帮助美国专利商标局(USPTO)以及还有本申请所发布的任何专利的任何读者理解这里所附权利要求书，本申请人希望指出：本申请人：(a) 除非在具体权利要求中具体使用词语“用于…的装置”或者“用于…的步骤”，否则并不预计所附权利要求的任一项援引35 U.S.C第六(6)段第112小节，这是因为它在其提交日期存在；以及(b) 并不预计通过本说明书中的任何陈述按照没有在所附权利要求书中以其他方式反映的任何方式来限制本公开。

Claims

1. 一种方法，包括：

在外部处理机中接收与虚拟分区中的事件关联的事件通知；

指示所述虚拟分区中的帮手代理来运行任务并且将基于所述任务的结果返回给所述外部处理机；以及

基于所述帮手代理所返回的所述结果来采取策略动作。

2. 如权利要求1所述的方法，其中，所述外部处理机在第二虚拟分区中进行操作。

3. 如权利要求1所述的方法，其中，所述外部处理机在虚拟化主机中进行操作。

4. 如权利要求1所述的方法，其中：

所述外部处理机在虚拟化平台的第一虚拟化客体中进行操作；以及

所述虚拟分区是所述虚拟化平台中的第二虚拟化客体。

5. 如权利要求1所述的方法，其中，所述事件通知从虚拟化平台的管理程序扩展来接收。

6. 如权利要求1所述的方法，还包括：

停置所述虚拟分区中引起所述事件的进程的线程；以及

在停置引起所述事件的所述线程之后恢复所述虚拟分区中的其它进程。

7. 如权利要求1所述的方法，其中，从所述帮手代理所返回的所述结果包括与所述事件关联的事件上下文。

8. 如权利要求1所述的方法，其中，所述策略动作包括终止引起所述事件的所述进程。

9. 如权利要求1所述的方法，其中，所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。

10. 如权利要求1所述的方法，其中：

所述外部处理机在虚拟化平台中的第一虚拟化客体中进行操作；

所述虚拟分区是所述虚拟化平台中的第二虚拟化客体；

所述事件通知从所述虚拟化平台的管理程序扩展来接收；

在停置引起所述事件的进程中的线程之后恢复所述虚拟分区中的其它进程；

来自所述帮手代理的所述结果包括与所述事件关联的事件上下文；以及

所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。

11. 在一个或多个非暂时介质中编码的逻辑，其包括供执行的代码，并且在由一个或多个处理器运行时可操作以执行操作，所述操作包括：

在外部处理机中接收与虚拟分区中的事件关联的事件通知；

基于所述帮手代理所返回的所述结果来采取策略动作。

12. 如权利要求11所述的编码逻辑，其中，所述外部处理机在第二虚拟分区中进行操作。

13. 如权利要求11所述的编码逻辑，其中，所述外部处理机在虚拟化主机中进行操作。

14. 如权利要求11所述的编码逻辑，其中：

所述外部处理机在虚拟化平台中的第一虚拟化客体中进行操作；以及

所述虚拟分区是所述虚拟化平台中的第二虚拟化客体。

15. 如权利要求11所述的编码逻辑，其中，所述事件通知从虚拟化平台中的管理程序扩展来接收。

16. 如权利要求11所述的编码逻辑，其中，所述操作还包括停置所述虚拟分区中引起所述事件的进程中的线程。

17. 如权利要求11所述的编码逻辑，其中，从所述帮手代理所返回的所述结果包括与所述事件关联的事件上下文。

18. 如权利要求11所述的编码逻辑，其中，所述策略动作包括终止引起所述事件的所述进程。

19. 如权利要求11所述的编码逻辑，其中，所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。

20. 一种设备，包括：

虚拟分区中的帮手代理；以及

所述虚拟分区外部的安全性处理机；

一个或多个处理器，其可操作以运行与所述安全性处理机和所述帮手代理关联的指令，所述指令可操作以执行操作，所述操作包括：

在所述安全性处理机中接收与所述虚拟分区中的事件关联的事件通知；

停置所述虚拟分区中引起所述事件的进程中的线程；

指示所述帮手代理来运行所述虚拟分区中的任务，并且将基于所述任务的结果返回给所述安全性处理机；以及

基于所述帮手代理所返回的所述结果来采取策略动作。

21. 如权利要求20所述的设备，其中：

所述安全性处理机在虚拟化平台中的第一虚拟化客体中进行操作；以及

所述虚拟分区是所述虚拟化平台中的第二虚拟化客体。

22. 如权利要求20所述的设备，其中，所述事件通知从虚拟化平台的管理程序扩展来接收。

23. 如权利要求20所述的设备，其中，所述操作还包括在停置引起所述事件的进程中的线程之后恢复所述虚拟分区中的其它进程。

24. 如权利要求20所述的设备，其中，从所述帮手代理所返回的所述结果包括与所述事件关联的事件上下文。

25. 如权利要求20所述的设备，其中，所述策略动作包括终止引起所述事件的所述进程。

26. 如权利要求20所述的设备，其中，所述策略动作包括指示所述帮手代理终止引起所述事件的所述进程。