CN107608756A - 一种基于cpu硬件特性的虚拟机自省触发方法及系统 - Google Patents
一种基于cpu硬件特性的虚拟机自省触发方法及系统 Download PDFInfo
- Publication number
- CN107608756A CN107608756A CN201710738034.4A CN201710738034A CN107608756A CN 107608756 A CN107608756 A CN 107608756A CN 201710738034 A CN201710738034 A CN 201710738034A CN 107608756 A CN107608756 A CN 107608756A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- eptp
- vmi
- vmfunc
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Memory System Of A Hierarchy Structure (AREA)
Abstract
本发明公开一种基于CPU硬件特性的虚拟机自省触发方法及系统,包括三个模块:分别是VMFUNC感知模块、参数传递模块、虚拟机自省启动模块。首先在对用户空间执行VMFUNC的情况进行监控,在虚拟机管理器中通过重载后的RDTSC模拟程序感知扩展页表指针值的变化;然后,将上一步获得的扩展页表指针值与用户Domain ID写入内存缓冲区中,触发一个虚拟中断,将控制权交与虚拟机自省启动模块;最后,Domain0解析内存中的信息,将参数传入虚拟机自省程序即可启动监控程序。本发明克服了以往虚拟机自省程序常驻带来的大量资源消耗,同时通过页表切换避免虚拟机自省程序执行中断虚拟机运行的现象,提高了VM执行的效率。
Description
技术领域
本发明涉及云安全技术领域与VT-x技术领域,尤其是云安全中虚拟机自省技术的运用。
背景技术
在云计算已经得到普及和大规模应用的今天,其重要的技术基石虚拟化技术仍然是当前热门话题。虚拟机技术越来越多地部署在从高端服务器到台式PC的一系列平台上。在这些不同的计算环境中需要使用虚拟化的原因不断增加:服务器整合,支持多种操作系统(包括旧系统),沙盒和其他安全功能,容错,专业架构优化等等。随着零开销虚拟化的软件和硬件支持的发展,虚拟化渐渐被被包括在主流商业操作系统中,虚拟化计算环境几乎已经变得无处不在。
作为一项可以将计算资源抽象、分割,使其得到统一表示的重要技术,虚拟化成为了云计算取用自由、按需付费这一构想的基础。在虚拟化技术架构中,主机资源的虚拟化抽象由虚拟机管理器(Hypervisor)提供,主机上包括Host OS在内的多台虚拟机之所以能够良好运行全都依赖着这一薄薄的软件基石提供的虚拟化环境。
作为虚拟资源的总调度站,虚拟机管理器是计算机硬件与操作系统之间进行沟通管理的新层次,它能够通过监控虚拟机的行为和软硬件资源使用情况(例如执行指令等)来感知虚拟机的内部状态,实现对于虚拟机透明的安全监控。此种技术即所谓虚拟机自省(Virtual Machine Introspection,VMI),拥有特权的虚拟机(实质为已经虚拟化的主机操作系统)作为VMI主机,借助虚拟机管理器来获取其他普通虚拟机的状态、行为等信息,以待进一步的分析与检测。虚拟机隔离方面,VMM通过CPU提供的VM扩展功能来管理虚拟机上下文环境(Virtual Machine Context),从而实现虚拟机间的数据隔离。该项技术自由Garinkel首次提出相关概念至今已经获得了一些研究与应用,其在恶意软件分析、内核完整性检测等方面发挥作用,为云计算安全的基本组成元素——虚拟机安全提供强有力的支撑。虚拟机自省技术的其中一个应用方向是安全监控,由于VMI能够于虚拟机外部透明地对其进行分析,使得不安全因素的现象与特征暴露无遗。
云计算中基于虚拟机自省技术的安全监控能否得以实用,有很大的一个方面取决于该技术对于计算资源的额外消耗,由于缺乏高效而又可靠的虚拟机内存存取机制,而这又是VMI技术得以实现的前提,因此VMI技术的实现一般开销过大。传统的虚拟机自省实现方法需要大量切换主机为虚拟机维护的页表,置换后的页表可以设置标志位,将某一关键页EPT设成不可访问,执行到这一标志位时,就会发生中断,产生VMEXIT事件使虚拟机陷入VMM,由主机接管关键页进行处理,从而实现VMI。研究指出VMI技术的额外开销一般在正常开销的9.3~500倍之间,甚至有应用需要6s才能遍历操作系统进程链。因此实现更高效的VMI实现是VMI技术得以应用在云安全中的前提。
而Intel于Haswell处理器所引进的VMFUNC指令能够直接切换EPT从而避免大量VMEXIT事件,大大减小开销,如果将VMFUNC与虚拟机自省技术结合起来,就能够利用双方的优势互补,使得能够在云计算环境中保证虚拟机安全的同时,也节约了计算资源,可谓一举两得。
发明内容
本发明的目的是提供一种可应用与云安全的基于CPU硬件特性触发的虚拟机自省机制。该机制充分利用CPU硬件特性VMFUNC与RDTSC模拟指令的特征,在用户空间VMFUNC执行与虚拟机管理器之间、虚拟机管理器与DOM0之间建立联系,实现通过执行VMFUNC触发虚拟机自省程序的目的。
本发明采用如下技术方案:
一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,包括
VMFUNC感知步骤:在用户空间中的被监控程序中插入VMFUNC指令,并读取当前的EPTP,并以此比对该EPTP是否被修改;
参数传递步骤:启动被监控程序,并在虚拟机管理器中的重载后的RDTSC模拟指令中检测虚拟机扩展页表指针值的变化,如果变化超过阈值,则判断为用户空间中被监控程序运行了,则为用户意欲触发虚拟机自省程序,此时虚拟机管理器获取用户虚拟机的Domain ID与EPTP值,写入trace buffer缓冲区中;
VMI启动步骤:虚拟机管理器触发一个VIRQ_TBUF中断,通知Dom0获取缓冲区中的内容,然后Dom0应用XenTrace解析缓冲区的内容,获取步骤四中的Domain ID与EPTP值,传入虚拟机自省程序,Dom0启动虚拟机自省程序,输出实时监控内容。
在上述的一种基于CPU硬件特性的虚拟机自省触发方法,所述VMFUNC感知步骤具体包括:
步骤1,VMFUNC在用户虚拟机执行;
步骤2,判断VMFUNC感知步骤是否开启,若开启则继续;若未开启,则执行步骤8;
步骤3,判断是否在RDTSC模拟函数中,若是则继续;若不是,则返回执行步骤2;
步骤4,截获TSC值并将其保存;
步骤5,读取当前EPTP值;
步骤6,断当前EPTP值于上一次保存的EPTP值是否一样,若一样则返回执行步骤(1);若不一样,则调用参数传递步骤,将控制权交于下一步骤;
步骤7,将保存的TSC值送入eax、edx寄存器;
步骤8,结束并返回到虚拟机执行环境。
在上述的一种基于CPU硬件特性的虚拟机自省触发方法,所述参数传递步骤具体包括:
步骤1,计算前后EPTP的差值从而获得EPTP index;
步骤2,判断该EPTP index是否大于或等于10,若是则执行VMFUNC的正常功能并返回虚拟机;若不是则继续;
步骤3,定义index=10+x,得出x的值后,重新计算EPTP,并将新的EPTP写回到对应的VMCS中;
步骤4,执行EPTP switching功能;
步骤5,调用VMI启动模块;向VMI启动模块传入Domain ID,新的EPTP字段等用于用户启动VMI的参数。
在上述的一种基于CPU硬件特性的虚拟机自省触发方法,所述VMI启动步骤具体包括:
步骤1,在Dom0中启动Xentrace;
步骤2,当VMI启动步骤被调用后,将接下来需要传入VMI程序的参数(domain ID、新的EPTP)写入到Xentrace的核心函数一TRACE_ND()中;
步骤3,当TRACE_ND()第一次执行时,将需要传入的参数写入到Xentrace在Xen堆上的trace cache中;
步骤4,Dom0中的daemon程序通过轮询的方式监控该trace cache,若发现有新的参数传入,则调用Dom0中的写好的基于libVMI虚拟机自省程序。
一种基于CPU硬件特性的虚拟机自省触发系统,其特征在于,包括
VMFUNC感知模块:在用户空间中的被监控程序中插入VMFUNC指令,并读取当前的EPTP,并以此比对该EPTP是否被修改;
参数传递模块:启动被监控程序,并在虚拟机管理器中的重载后的RDTSC模拟指令中检测虚拟机扩展页表指针值的变化,如果变化超过阈值,则判断为用户空间中被监控程序运行了,则为用户意欲触发虚拟机自省程序,此时虚拟机管理器获取用户虚拟机的Domain ID与EPTP值,写入trace buffer缓冲区中;
VMI启动模块:虚拟机管理器触发一个VIRQ_TBUF中断,通知Dom0获取缓冲区中的内容,然后Dom0应用XenTrace解析缓冲区的内容,获取步骤四中的Domain ID与EPTP值,传入虚拟机自省程序,Dom0启动虚拟机自省程序,输出实时监控内容。
在上述的一种基于CPU硬件特性的虚拟机自省触发方法,所述VMFUNC感知模块具体包括:
步骤1,VMFUNC在用户虚拟机执行;
步骤2,判断模块是否开启,若开启则继续;若未开启,则执行步骤8;
步骤3,判断是否在RDTSC模拟函数中,若是则继续;若不是,则返回执行步骤2;
步骤4,截获TSC值并将其保存;
步骤5,读取当前EPTP值;
步骤6,断当前EPTP值于上一次保存的EPTP值是否一样,若一样则返回执行步骤(1);若不一样,则调用参数传递模块,将控制权交于下一模块;
步骤7,将保存的TSC值送入eax、edx寄存器;
步骤8,结束并返回到虚拟机执行环境。
在上述的一种基于CPU硬件特性的虚拟机自省触发方法,所述参数传递模块具体包括:
步骤1,计算前后EPTP的差值从而获得EPTP index;
步骤2,判断该EPTP index是否大于或等于10,若是则执行VMFUNC的正常功能并返回虚拟机;若不是则继续;
步骤3,假设index=10+x,得出x的值后,重新计算EPTP,并将新的EPTP写回到对应的VMCS中;
步骤4,执行EPTP switching功能;
步骤5,调用VMI启动模块;向VMI启动模块传入Domain ID,新的EPTP字段等用于用户启动VMI的参数。
在上述的一种基于CPU硬件特性的虚拟机自省触发方法,所述VMI启动模块具体包括:
步骤1,在Dom0中启动Xentrace;
步骤2,当VMI启动模块被调用后,将接下来需要传入VMI程序的参数(domain ID、新的EPTP)写入到Xentrace的核心函数一TRACE_ND()中;
步骤3,当TRACE_ND()第一次执行时,将需要传入的参数写入到Xentrace在Xen堆上的trace cache中;
步骤4,Dom0中的daemon程序通过轮询的方式监控该trace cache,若发现有新的参数传入,则调用Dom0中的写好的基于libVMI虚拟机自省程序。
本发明具有如下优点:通过VMFUNC主动触发虚拟机自省程序的运行,克服了以往虚拟机自省程序常驻带来的大量资源消耗,同时通过页表切换避免虚拟机自省程序执行中断虚拟机运行的现象,提高了VM执行的效率
附图说明
图1为本发明机制的整体框架流程图。
图2为机制中VMFUNC感知模块模型图。
具体实施方式
本机制提供一种基于CPU硬件特性触发虚拟机自省的机制,将此机制与云安全应用场景相结合,实现用户按需启动虚拟机自省程序的方法。该机制从提供一种按需的VMI虚拟机自省服务触发,节省了云安全中虚拟机自省技术的资源开销。
相比于传统的云环境中虚拟机自省方法,本发明的机制具有资源消耗低、对虚拟机运行影响很小等特点。
具体来说,本发明机制具体包括VMFUNC感知、参数传递和VMI启动三个部分。本发明的机制框架流程图见图1所示。
一、VMFUNC感知模块
VMFUNC感知模块主要功能如下:
(1)读取和保存当前的EPTP。VMFUNC感知模块能够读取当前的EPTP,并以此比对该EPTP是否被修改。这样才能感知是否有VMFUNC指令的执行。当每次EPTP被修改过后,该模块需要将被修改过的EPTP保存,用于下一次的VMFUNC感知。
(2)RDTSC截获与模拟。VMFUNC感知模块的核心功能即为随时能够对用户发起的VMFUNC调用进行感知。在本系统中,利用了RDTSC指令每秒能够被VMM截获上千次的特点,主动地拦截系统获取CPU中TSC的值,并用于检测当前状态下,用户虚拟机对应的VMCS结构体中EPTP字段是否被修改,从而感知VMFUNC指令的执行。
本模块包括以下步骤:
步骤1,VMFUNC在用户虚拟机执行。
步骤2,判断模块是否开启,若开启则继续;若未开启,则执行步骤8。
步骤3,判断是否在RDTSC模拟函数中,若是则继续;若不是,则返回执行步骤2。
步骤4,截获TSC值并将其保存。
步骤5,读取当前EPTP值。
步骤6,断当前EPTP值于上一次保存的EPTP值是否一样,若一样则返回执行步骤(1);若不一样,则调用参数传递模块,将控制权交于下一模块。
步骤7,将保存的TSC值送入eax、edx寄存器。
步骤8,结束并返回到虚拟机执行环境。
二、参数传递模块
参数传递模块主要实现了以下功能:
(1)VMFUNC调用。本文在实现VMI-as-a-Service时,为了保证充分的可用性,对原始的VMFUNC功能做了保留,并在其上加入了新的功能。当用户想要使用原有VMFUNC功能时,其在ecx中放置的值为正常值(小于或等于10)。而当VMFUNC感知模块发现执行VMFUNC时,ecx寄存器中的值为大于10的值时(不妨设为10+x),感知模块即知道目标用户有使用VMI-as-a-Service机制的意向,并在此时进行进一步处理。
(2)EPTP与EPT index的映射。当VMI感知模块已经感知到用户的EPTP字段被修改后,参数传递模块将读入当前的EPTP和保存的原EPTP,接着计算公式得出当前用户想要切换到的目的index(即目的EPT页表)。
(3)写入EPTP到VMCS。当VMFUNC成功执行时,需要将新的EPTP存入对应的VMCS,并且在下一次VM entry时应用到用户虚拟机中。
(4)调用VMI启动模块。
其流程分为以下步骤:
步骤1,计算前后EPTP的差值从而获得EPTP index;
步骤2,判断该EPTP index是否大于或等于10,若是则执行VMFUNC的正常功能并返回虚拟机;若不是则继续;
步骤3,假设index=10+x,得出x的值后,重新计算EPTP,并将新的EPTP写回到对应的VMCS中;
步骤4,执行EPTP switching功能;
步骤5,调用VMI启动模块。向VMI启动模块传入Domain ID,新的EPTP字段等用于用户启动VMI的参数。
三、VMI启动模块
VMI启动模块的主要功能如下:
(1)通过重载Xentrace相关函数接收VMI调用参数。
(2)在特权域Dom0协助调用基于libVMI虚拟机自省程序。在本系统中,为了方便说明和验证方案的正确性,本文根据LibVMI和vPacher[43]实现了一个详尽的虚拟机自省程序。
本模块包括以下步骤:
步骤1,在Dom0中启动Xentrace。
步骤2,当VMI启动模块被调用后,将接下来需要传入VMI程序的参数(domain ID、新的EPTP)写入到Xentrace的核心函数-TRACE_ND()中。
步骤3,当TRACE_ND()第一次执行时,将需要传入的参数写入到Xentrace在Xen堆上的trace cache中。
步骤4,Dom0中的daemon程序通过轮询的方式监控该trace cache,若发现有新的参数传入,则调用Dom0中的写好的基于libVMI虚拟机自省程序。
下面是本实施例的具体的实施方案。
本发明适用于云安全环境中虚拟机自省的触发,包括以下步骤如下:
步骤1,在用户空间中的被监控程序中插入VMFUNC指令。
步骤2,启动步骤1中的被监控程序。
步骤3,在虚拟机管理器中的重载后的RDTSC模拟指令中检测虚拟机扩展页表指针值的变化,如果变化超过阈值(在xen中为10),则判断为用户空间中被监控程序运行了,理解为用户意欲触发虚拟机自省程序。
步骤4,虚拟机管理器获取用户虚拟机的Domain ID与EPTP值,写入trace buffer缓冲区中。
步骤5,虚拟机管理器触发一个VIRQ_TBUF中断,通知Dom0获取缓冲区中的内容。
步骤6,Dom0应用XenTrace解析缓冲区的内容,获取步骤四中的Domain ID与EPTP值,传入虚拟机自省程序。
步骤7,Dom0启动虚拟机自省程序,输出实时监控内容。
本发明机制仅仅提供一个云安全中触发虚拟机自省程序的接口,本发明所属技术领域的技术人员可以对所描述的具体实施案例做各种各样的修改或补充或采用类似的方式替代,例如在启动VMFUNC方面,可以选择其他的方式。但并不会偏离本发明的精神或者超越所附权要求书所定义的范围。
Claims (8)
1.一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,包括
VMFUNC感知步骤:在用户空间中的被监控程序中插入VMFUNC指令,并读取当前的EPTP,并以此比对该EPTP是否被修改;
参数传递步骤:启动被监控程序,并在虚拟机管理器中的重载后的RDTSC模拟指令中检测虚拟机扩展页表指针值的变化,如果变化超过阈值,则判断为用户空间中被监控程序运行了,则为用户意欲触发虚拟机自省程序,此时虚拟机管理器获取用户虚拟机的Domain ID与EPTP值,写入trace buffer缓冲区中;
VMI启动步骤:虚拟机管理器触发一个VIRQ_TBUF中断,通知Dom0获取缓冲区中的内容,然后Dom0应用XenTrace解析缓冲区的内容,获取步骤四中的Domain ID与EPTP值,传入虚拟机自省程序,Dom0启动虚拟机自省程序,输出实时监控内容。
2.根据权利要求1所述的一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,所述VMFUNC感知步骤具体包括:
步骤1,VMFUNC在用户虚拟机执行;
步骤2,判断VMFUNC感知步骤是否开启,若开启则继续;若未开启,则执行步骤8;
步骤3,判断是否在RDTSC模拟函数中,若是则继续;若不是,则返回执行步骤2;
步骤4,截获TSC值并将其保存;
步骤5,读取当前EPTP值;
步骤6,断当前EPTP值于上一次保存的EPTP值是否一样,若一样则返回执行步骤(1);若不一样,则调用参数传递步骤,将控制权交于下一步骤;
步骤7,将保存的TSC值送入eax、edx寄存器;
步骤8,结束并返回到虚拟机执行环境。
3.根据权利要求1所述的一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,所述参数传递步骤具体包括:
步骤1,计算前后EPTP的差值从而获得EPTP index;
步骤2,判断该EPTP index是否大于或等于10,若是则执行VMFUNC的正常功能并返回虚拟机;若不是则继续;
步骤3,定义index=10+x,得出x的值后,重新计算EPTP,并将新的EPTP写回到对应的VMCS中;
步骤4,执行EPTP switching功能;
步骤5,调用VMI启动模块;向VMI启动模块传入Domain ID,新的EPTP字段等用于用户启动VMI的参数。
4.根据权利要求1所述的一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,所述VMI启动步骤具体包括:
步骤1,在Dom0中启动Xentrace;
步骤2,当VMI启动步骤被调用后,将接下来需要传入VMI程序的参数(domain ID、新的EPTP)写入到Xentrace的核心函数一TRACE_ND()中;
步骤3,当TRACE_ND()第一次执行时,将需要传入的参数写入到Xentrace在Xen堆上的trace cache中;
步骤4,Dom0中的daemon程序通过轮询的方式监控该trace cache,若发现有新的参数传入,则调用Dom0中的写好的基于libVMI虚拟机自省程序。
5.一种基于CPU硬件特性的虚拟机自省触发系统,其特征在于,包括
VMFUNC感知模块:在用户空间中的被监控程序中插入VMFUNC指令,并读取当前的EPTP,并以此比对该EPTP是否被修改;
参数传递模块:启动被监控程序,并在虚拟机管理器中的重载后的RDTSC模拟指令中检测虚拟机扩展页表指针值的变化,如果变化超过阈值,则判断为用户空间中被监控程序运行了,则为用户意欲触发虚拟机自省程序,此时虚拟机管理器获取用户虚拟机的Domain ID与EPTP值,写入trace buffer缓冲区中;
VMI启动模块:虚拟机管理器触发一个VIRQ_TBUF中断,通知Dom0获取缓冲区中的内容,然后Dom0应用XenTrace解析缓冲区的内容,获取步骤四中的Domain ID与EPTP值,传入虚拟机自省程序,Dom0启动虚拟机自省程序,输出实时监控内容。
6.根据权利要求5所述的一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,所述VMFUNC感知模块具体包括:
步骤1,VMFUNC在用户虚拟机执行;
步骤2,判断模块是否开启,若开启则继续;若未开启,则执行步骤8;
步骤3,判断是否在RDTSC模拟函数中,若是则继续;若不是,则返回执行步骤2;
步骤4,截获TSC值并将其保存;
步骤5,读取当前EPTP值;
步骤6,断当前EPTP值于上一次保存的EPTP值是否一样,若一样则返回执行步骤(1);若不一样,则调用参数传递模块,将控制权交于下一模块;
步骤7,将保存的TSC值送入eax、edx寄存器;
步骤8,结束并返回到虚拟机执行环境。
7.根据权利要求5所述的一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,所述参数传递模块具体包括:
步骤1,计算前后EPTP的差值从而获得EPTP index;
步骤2,判断该EPTP index是否大于或等于10,若是则执行VMFUNC的正常功能并返回虚拟机;若不是则继续;
步骤3,假设index=10+x,得出x的值后,重新计算EPTP,并将新的EPTP写回到对应的VMCS中;
步骤4,执行EPTP switching功能;
步骤5,调用VMI启动模块;向VMI启动模块传入Domain ID,新的EPTP字段等用于用户启动VMI的参数。
8.根据权利要求5所述的一种基于CPU硬件特性的虚拟机自省触发方法,其特征在于,所述VMI启动模块具体包括:
步骤1,在Dom0中启动Xentrace;
步骤2,当VMI启动模块被调用后,将接下来需要传入VMI程序的参数(domain ID、新的EPTP)写入到Xentrace的核心函数一TRACE_ND()中;
步骤3,当TRACE_ND()第一次执行时,将需要传入的参数写入到Xentrace在Xen堆上的trace cache中;
步骤4,Dom0中的daemon程序通过轮询的方式监控该trace cache,若发现有新的参数传入,则调用Dom0中的写好的基于libVMI虚拟机自省程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710738034.4A CN107608756B (zh) | 2017-08-24 | 2017-08-24 | 一种基于cpu硬件特性的虚拟机自省触发方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710738034.4A CN107608756B (zh) | 2017-08-24 | 2017-08-24 | 一种基于cpu硬件特性的虚拟机自省触发方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107608756A true CN107608756A (zh) | 2018-01-19 |
| CN107608756B CN107608756B (zh) | 2020-10-13 |
Family
ID=61064643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710738034.4A Active CN107608756B (zh) | 2017-08-24 | 2017-08-24 | 一种基于cpu硬件特性的虚拟机自省触发方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107608756B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120618A (zh) * | 2018-08-17 | 2019-01-01 | 武汉大学 | 一种基于硬件虚拟化的云平台受控侧信道攻击检测方法 |
| WO2020087264A1 (en) * | 2018-10-30 | 2020-05-07 | Intel Corporation | Supporting self-modifying graphics workloads in fully virtualized graphics architectures |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104021063A (zh) * | 2014-05-14 | 2014-09-03 | 南京大学 | 一种基于硬件虚拟化的模块化计算机取证系统及其方法 |
| US20150149760A1 (en) * | 2008-03-24 | 2015-05-28 | International Business Machines Corporation | Context Agent Injection Using Virtual Machine Introspection |
| CN104750534A (zh) * | 2013-12-26 | 2015-07-01 | 华为技术有限公司 | 触发虚拟机自省的方法、装置及系统 |
| CN104750536A (zh) * | 2013-12-30 | 2015-07-01 | 华为技术有限公司 | 一种实现虚拟机自省的方法和装置 |
| US20160241573A1 (en) * | 2015-02-13 | 2016-08-18 | Fisher-Rosemount Systems, Inc. | Security event detection through virtual machine introspection |
| CN106850582A (zh) * | 2017-01-05 | 2017-06-13 | 中国电子科技网络信息安全有限公司 | 一种基于指令监控的apt高级威胁检测方法 |
-
2017
- 2017-08-24 CN CN201710738034.4A patent/CN107608756B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150149760A1 (en) * | 2008-03-24 | 2015-05-28 | International Business Machines Corporation | Context Agent Injection Using Virtual Machine Introspection |
| CN104750534A (zh) * | 2013-12-26 | 2015-07-01 | 华为技术有限公司 | 触发虚拟机自省的方法、装置及系统 |
| CN104750536A (zh) * | 2013-12-30 | 2015-07-01 | 华为技术有限公司 | 一种实现虚拟机自省的方法和装置 |
| US20160314297A1 (en) * | 2013-12-30 | 2016-10-27 | Huawei Technologies Co., Ltd. | Method and Apparatus for Implementing Virtual Machine Introspection |
| CN104021063A (zh) * | 2014-05-14 | 2014-09-03 | 南京大学 | 一种基于硬件虚拟化的模块化计算机取证系统及其方法 |
| US20160241573A1 (en) * | 2015-02-13 | 2016-08-18 | Fisher-Rosemount Systems, Inc. | Security event detection through virtual machine introspection |
| CN106850582A (zh) * | 2017-01-05 | 2017-06-13 | 中国电子科技网络信息安全有限公司 | 一种基于指令监控的apt高级威胁检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| NANCE K等: "Virtual machine introspection: Observation or interference", 《IEEE SECURITY & PRIVACY》 * |
| PAYNE B D: "Simplifying virtual machine introspection using libvmi", 《SANDIA REPOR》 * |
| 李勇钢等: "基于虚拟机自省的客户机进程内容获取", 《计算机工程与设计》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120618A (zh) * | 2018-08-17 | 2019-01-01 | 武汉大学 | 一种基于硬件虚拟化的云平台受控侧信道攻击检测方法 |
| CN109120618B (zh) * | 2018-08-17 | 2021-10-22 | 武汉大学 | 一种基于硬件虚拟化的云平台受控侧信道攻击检测方法 |
| WO2020087264A1 (en) * | 2018-10-30 | 2020-05-07 | Intel Corporation | Supporting self-modifying graphics workloads in fully virtualized graphics architectures |
| US11907377B2 (en) | 2018-10-30 | 2024-02-20 | Intel Corporation | Supporting self-modifying graphics workloads in fully virtualized graphics architectures |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107608756B (zh) | 2020-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tian et al. | A Full {GPU} Virtualization Solution with Mediated {Pass-Through} | |
| US8266395B2 (en) | Detecting attempts to change memory | |
| US10067783B2 (en) | Interposition method suitable for hardware-assisted virtual machine | |
| Shuja et al. | A survey of mobile device virtualization: Taxonomy and state of the art | |
| US8656222B2 (en) | Method and system for recording a selected computer process for subsequent replay | |
| Sahni et al. | A hybrid approach to live migration of virtual machines | |
| Zhou et al. | A bare-metal and asymmetric partitioning approach to client virtualization | |
| US8230399B2 (en) | Method for system call interception in user space | |
| Xiong et al. | Libvmi: a library for bridging the semantic gap between guest OS and VMM | |
| CN104618158B (zh) | 嵌入式网络虚拟化环境中VirtIO网络虚拟化工作方法 | |
| CN102073535B (zh) | 基于硬件计数器虚拟化的多虚拟机性能分析方法 | |
| CN114077379B (zh) | 一种计算机设备、异常处理的方法以及中断处理的方法 | |
| US8887139B2 (en) | Virtual system and method of analyzing operation of virtual system | |
| US10089474B2 (en) | Virtual machine introspection | |
| Dong et al. | A virtualization solution for BYOD with dynamic platform context switching | |
| CN107608756A (zh) | 一种基于cpu硬件特性的虚拟机自省触发方法及系统 | |
| US9286131B2 (en) | Processor unplug in virtualized computer system | |
| Xie et al. | Metis: a profiling toolkit based on the virtualization of hardware performance counters | |
| CN103744851B (zh) | 一种虚拟化环境中的进程信息监控系统及其方法 | |
| Yoo et al. | Virtualizing ARM VFP (vector floating-point) with Xen-ARM | |
| CN107741868B (zh) | 一种基本输入输出系统bios的设置方法和装置 | |
| Du et al. | Performance profiling in a virtualized environment | |
| Che et al. | Performance combinative evaluation of typical virtual machine monitors | |
| Huang et al. | Pvm: Efficient shadow paging for deploying secure containers in cloud-native environment | |
| CN102779250B (zh) | 文件可控执行的检测方法及虚拟机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |