CN107608758A - 一种虚拟机文件完整性监控方法及系统 - Google Patents
一种虚拟机文件完整性监控方法及系统 Download PDFInfo
- Publication number
- CN107608758A CN107608758A CN201710775831.XA CN201710775831A CN107608758A CN 107608758 A CN107608758 A CN 107608758A CN 201710775831 A CN201710775831 A CN 201710775831A CN 107608758 A CN107608758 A CN 107608758A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- file
- processing component
- monitoring
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种虚拟机文件完整性监控方法及系统,其特征在于,包括如下步骤:捕获组件捕获虚拟机进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,如发现有非法文件操作向响应处理组件发送警告信息;响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
Description
技术领域
本发明属于云计算硬件虚拟化技术领域,具体涉及一种虚拟机文件完整性监控方法及系统。
背景技术
云计算是一种融合了多项计算机技术的以数据和处理能力为中心的密集型计算模式。它的发展是虚拟化、分布式系统、分布式并发编程模式、面向对象的体系结构、软件即服务和信息安全等各项技术共同发展的结果。
虚拟化技术是指计算元件在虚拟的基础上而不是真实的计算元件上运行,通过软件定义的方法重新划分信息技术(IT)资源,实现IT资源的动态分配、灵活调度和跨域共享,提供IT资源的利用率,使IT资源真正成为计算基础设施,以满足各种应用的灵活多变。
云计算技术和虚拟化技术发展过程面临的重要问题之一是虚拟化环境下的安全问题,虚拟化环境动态性比较强,维护和管理比较复杂,一台虚拟机有安全漏洞对同一物理机上的其他虚拟机也会构成威胁,恶意软件、病毒、木马针对他们的传统安全防护方法却难以适应虚拟化环境。在虚拟机上安装防护软件容易受到攻击和控制,需要有新的技术来解决此类安全问题。虚拟机管理器能够监控虚拟机内的进程,可以借助虚拟机管理器来监控虚拟机进程的运行状态。
发明内容
本发明的目的在于,针对上述现有技术存在的缺陷,提供设计一种虚拟机文件完整性监控方法及系统,以解决上述技术问题。
为了达到上述目的,本发明的技术方案是:
一种虚拟机文件完整性监控方法,包括如下步骤:
捕获组件捕获虚拟机系统进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,如果发现有非法文件操作向响应处理组件发送警告信息;
响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
进一步的,系统进程执行对文件操作的过程包括如下步骤:
系统进程执行对文件操作时,调用接口函数;
接口函数通过系统调用陷入指令调用内核层的系统调用服务程序;
当用户层程序切换进入内核层,操作系统内核读取参数信息,根据参数信息在系统调用表中进行索引,读取系统调用表项中存储的文件操作相关系统调用处理程序地址,进行跳转并执行;
执行完毕通过系统调用返回指令返回执行结果并恢复进程上下文,继续执行用户空间进程。
进一步的,步骤接口函数通过系统调用陷入指令调用内核层的系统调用服务程序还包括:接口函数通过系统调用陷入指令调用内核层的系统调用服务程序并利用寄存器传递参数信息,所述参数信息包括系统调用号。
进一步的,分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析,具体包括:
分析处理组件根据监控策略对接收到的虚拟机文件操作信息进行关联性分析提取特征信息与策略库中文件操作监控策略进行匹配,并将特征信息保存到策略库中。
进一步的,策略库存储虚拟机敏感文件监控策略,提供管理和配置接口,实现实时动态的配置文件访问监控策略。
一种虚拟机文件完整性监控系统,包括宿主机,所述宿主机包括虚拟机和虚拟机监视器,在宿主机加入监控模块,所述监控模块与虚拟机隔离;
所述监控模块包括捕获组件、分析处理组件、策略库、响应处理组件和日志库;
捕获组件捕获虚拟机进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,如果发现有非法文件操作向响应处理组件发送警告信息;
响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
进一步的,分析处理组件根据监控策略对接收到的虚拟机文件操作信息进行关联性分析提取特征信息与策略库中文件操作监控策略进行匹配,并将特征信息保存到策略库中。
进一步的,策略库存储虚拟机敏感文件监控策略,提供管理和配置接口,实现实时动态的配置文件访问监控策略。
进一步的,策略库保存在数据库或者文件中,完成监控配置后立即生效,无须重启虚拟机。
进一步的,日志库存储虚拟机敏感文件的非法操作,同时提供接口和离线分析功能。
本发明的有益效果在于,本发明中在宿主机中加入监控模块,所述监控模块包括捕获组件、分析处理组件、策略库、响应处理组件和日志库;监控模块与虚拟机隔离,能够动态的设置需要保护的虚拟机文件和监控策略,保护文件免受恶意代码的攻击,阻止非法文件操作;虚拟机外部实现,避免虚拟机内部恶意软件的威胁,可动态配置监控策略,具有良好的可扩展和灵活性;有效保护虚拟机文件完整性。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明提供的一种虚拟机文件完整性监控系统虚拟文件监控框架图。
图2为本发明提供的一种虚拟机文件完整性监控方法的虚拟文件监控流程图。
具体实施方式
下面结合附图并通过具体实施例对本发明进行详细阐述,以下实施例是对本发明的解释,而本发明并不局限于以下实施方式。
服务器虚拟化的一种架构是将虚拟化层直接运行在X86的硬件系统上,再在其上安装操作系统和应用,这种结构可以直接访问硬件资源,而不用通过操作系统来实现对硬件的访问,具有较高的效率。在X86架构下,任意版本的操作系统进程执行对文件的操作时,需要调用应用层库函数提供的接口函数,
如图2所示,本实施例提供的一种虚拟机文件完整性监控方法,包括如下步骤:
捕获组件捕获虚拟机系统进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,如果发现有非法文件操作向响应处理组件发送警告信息;
响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
系统进程调用文件操作的过程包括如下步骤:
系统进程执行对文件操作时,调用接口函数;
接口函数通过系统调用陷入指令调用内核层的系统调用服务程序;
当用户层程序切换进入内核层,操作系统内核读取参数信息,根据参数信息在系统调用表中进行索引,读取系统调用表项中存储的文件操作相关系统调用处理程序地址,进行跳转并执行;
执行完毕通过系统调用返回指令返回执行结果并恢复进程上下文,继续执行用户空间进程。
步骤接口函数通过系统调用陷入指令调用内核层的系统调用服务程序还包括:接口函数通过系统调用陷入指令调用内核层的系统调用服务程序并利用寄存器传递参数信息,所述参数信息包括系统调用号。
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析,具体包括:
分析处理组件根据监控策略对接收到的虚拟机文件操作信息进行关联性分析提取特征信息与策略库中文件操作监控策略进行匹配,并将特征信息保存到策略库中。
策略库存储虚拟机敏感文件监控策略,提供管理和配置接口,实现实时动态的配置文件访问监控策略。
如图1所示,本实施例还提供一种虚拟机文件完整性监控系统,包括宿主机,所述宿主机包括虚拟机和虚拟机监视器,在宿主机加入监控模块,所述监控模块与虚拟机隔离;
所述监控模块包括捕获组件、分析处理组件、策略库、响应处理组件和日志库;
捕获组件捕获虚拟机进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,如果发现有非法文件操作向响应处理组件发送警告信息;
响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
分析处理组件根据监控策略对接收到的虚拟机文件操作信息进行关联性分析提取特征信息与策略库中文件操作监控策略进行匹配,并将特征信息保存到策略库中。
策略库存储虚拟机敏感文件监控策略,提供管理和配置接口,实现实时动态的配置文件访问监控策略。
策略库保存在数据库或者文件中,完成监控配置后立即生效,无须重启虚拟机。
日志库存储虚拟机敏感文件的非法操作,同时提供接口和离线分析功能。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。
Claims (10)
1.一种虚拟机文件完整性监控方法,其特征在于,包括如下步骤:
捕获组件捕获虚拟机系统进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,如果发现有非法文件操作向响应处理组件发送警告信息;
响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
2.根据权利要求1所述的一种虚拟机文件完整性监控方法,其特征在于,系统进程调用文件操作的过程包括如下步骤:
系统进程执行对文件操作时,调用接口函数;
接口函数通过系统调用指令调用内核层的系统调用服务程序;
当用户层程序切换进入内核层,操作系统内核读取参数信息,根据参数信息在系统调用表中进行索引,读取系统调用表项中存储的文件操作相关系统调用处理程序地址,进行跳转并执行;
执行完毕通过系统调用返回指令返回执行结果并恢复进程上下文,继续执行用户空间进程。
3.根据权利要求2所述的一种虚拟机文件完整性监控方法,其特征在于,步骤接口函数通过系统调用陷入指令调用内核层的系统调用服务程序还包括:接口函数通过系统调用指令调用内核层的系统调用服务程序并利用寄存器传递参数信息,所述参数信息包括系统调用号。
4.根据权利要求1或3所述的一种虚拟机文件完整性监控方法,其特征在于,分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析,具体包括:
分析处理组件根据监控策略对接收到的虚拟机文件操作信息进行关联性分析提取特征信息与策略库中文件操作监控策略进行匹配,并将特征信息保存到策略库中。
5.根据权利要求4所述的一种虚拟机文件完整性监控方法,其特征在于,策略库存储虚拟机敏感文件监控策略,提供管理和配置接口,实现实时动态的配置文件访问监控策略。
6.一种虚拟机文件完整性监控系统,其特征在于,包括宿主机,所述宿主机包括虚拟机和虚拟机监视器,在宿主机加入监控模块,所述监控模块与虚拟机隔离;
所述监控模块包括捕获组件、分析处理组件、策略库、响应处理组件和日志库;
捕获组件捕获虚拟机进程调用文件操作相关的系统调用,通过虚拟机自省来获取虚拟机内部语义信息,捕获组件将捕获的信息传递给分析处理组件;
分析处理组件接收传递过来的虚拟机文件操作信息,同时读取策略库中文件操作监控策略,进行分析来发现非法文件操作,若发现有非法文件操作向响应处理组件发送警告信息;
响应处理组件接收到警告信息,阻止非法文件操作并将非法操作信息写入日志库。
7.根据权利要求6所述的一种虚拟机文件完整性监控系统,其特征在于,所述分析处理组件根据监控策略对接收到的虚拟机文件操作信息进行关联性分析提取特征信息与策略库中文件操作监控策略进行匹配,并将特征信息保存到策略库中。
8.根据权利要求7所述的一种虚拟机文件完整性监控系统,其特征在于,策略库存储虚拟机敏感文件监控策略,提供管理和配置接口,实现实时动态的配置文件访问监控策略。
9.根据权利要求8所述的一种虚拟机文件完整性监控系统,其特征在于,策略库保存在数据库或者文件中,完成监控配置后立即生效,无须重启虚拟机。
10.根据权利要求7或9所述的一种虚拟机文件完整性监控系统,其特征在于,日志库存储虚拟机敏感文件的非法操作,同时提供接口和离线分析功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710775831.XA CN107608758A (zh) | 2017-08-31 | 2017-08-31 | 一种虚拟机文件完整性监控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710775831.XA CN107608758A (zh) | 2017-08-31 | 2017-08-31 | 一种虚拟机文件完整性监控方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107608758A true CN107608758A (zh) | 2018-01-19 |
Family
ID=61056976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710775831.XA Pending CN107608758A (zh) | 2017-08-31 | 2017-08-31 | 一种虚拟机文件完整性监控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107608758A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108563491A (zh) * | 2018-04-17 | 2018-09-21 | 哈尔滨工业大学 | 一种基于虚拟机的自省自动化管理、配置与自省方法 |
CN109271785A (zh) * | 2018-10-11 | 2019-01-25 | 郑州云海信息技术有限公司 | 一种虚拟机文件的监控方法和装置 |
CN109472133A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种沙箱监控方法和装置 |
CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130312096A1 (en) * | 2012-05-18 | 2013-11-21 | Vmware, Inc. | On-demand data scan in a virtual machine |
CN104394011A (zh) * | 2014-11-11 | 2015-03-04 | 浪潮电子信息产业股份有限公司 | 一种通过告警信息支持服务器虚拟化运维的方法 |
CN106126116A (zh) * | 2016-06-16 | 2016-11-16 | 北京航空航天大学 | 一种虚拟机镜像文件的完整性度量优化方法 |
-
2017
- 2017-08-31 CN CN201710775831.XA patent/CN107608758A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130312096A1 (en) * | 2012-05-18 | 2013-11-21 | Vmware, Inc. | On-demand data scan in a virtual machine |
CN104394011A (zh) * | 2014-11-11 | 2015-03-04 | 浪潮电子信息产业股份有限公司 | 一种通过告警信息支持服务器虚拟化运维的方法 |
CN106126116A (zh) * | 2016-06-16 | 2016-11-16 | 北京航空航天大学 | 一种虚拟机镜像文件的完整性度量优化方法 |
Non-Patent Citations (1)
Title |
---|
赵成 等: "《基于硬件虚拟化的虚拟机文件完整性监控》", 《计算机应用》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109472133A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种沙箱监控方法和装置 |
CN108563491A (zh) * | 2018-04-17 | 2018-09-21 | 哈尔滨工业大学 | 一种基于虚拟机的自省自动化管理、配置与自省方法 |
CN108563491B (zh) * | 2018-04-17 | 2022-03-29 | 哈尔滨工业大学 | 一种基于虚拟机的自省自动化管理、配置与自省方法 |
CN109271785A (zh) * | 2018-10-11 | 2019-01-25 | 郑州云海信息技术有限公司 | 一种虚拟机文件的监控方法和装置 |
CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9507935B2 (en) | Exploit detection system with threat-aware microvisor | |
Srinivasan et al. | Process out-grafting: an efficient" out-of-vm" approach for fine-grained process execution monitoring | |
US8402318B2 (en) | Systems and methods for recording and replaying application execution | |
Hizver et al. | Real-time deep virtual machine introspection and its applications | |
CN107608758A (zh) | 一种虚拟机文件完整性监控方法及系统 | |
KR101931779B1 (ko) | 가상 머신 내부의 파일 접근 모니터링 장치 및 그 방법 | |
CN103559118B (zh) | 一种基于aop与注解信息系统的安全审计方法 | |
CN101923507B (zh) | 基于驱动的虚拟机通用监控系统 | |
CN104715201A (zh) | 一种虚拟机恶意行为检测方法和系统 | |
CN103077071B (zh) | 一种kvm虚拟机进程信息的获取方法及系统 | |
KR101358815B1 (ko) | 스누프 기반의 커널 무결성 감시 장치 및 그 방법 | |
US20090083720A1 (en) | Employing identifiers provided by an operating system of a processing environment to optimize the processing environment | |
CN105117649A (zh) | 一种用于虚拟机的防病毒方法与系统 | |
CN105320884A (zh) | 虚拟机的安全防护方法及系统 | |
CN112579288A (zh) | 一种基于云计算智能安全用数据管理系统 | |
CN109254902B (zh) | 应用于云计算环境的基于用户意图检测的取证系统及方法 | |
CN106557396A (zh) | 基于qemu的虚拟机程序运行状态监控方法 | |
Li et al. | SGXPool: Improving the performance of enclave creation in the cloud | |
CN105550574B (zh) | 基于内存活动的边信道攻击取证系统及方法 | |
CN102521547B (zh) | 虚拟域内访问控制系统的保护系统 | |
CN113138835B (zh) | 基于ipt与虚拟机自省的api调用监控方法及系统 | |
Zhan et al. | SAVM: A practical secure external approach for automated in‐VM management | |
Ding et al. | A high-efficiency and comprehensive dynamic behavior analysis system for Malware based on hardware virtualization | |
US20230418645A1 (en) | Systems and methods for processing privileged instructions using user space memory | |
US11537722B1 (en) | Passive software identification for vulnerability management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180119 |
|
RJ01 | Rejection of invention patent application after publication |