WO2022185626A1 - 監視システム - Google Patents

監視システム Download PDF

Info

Publication number
WO2022185626A1
WO2022185626A1 PCT/JP2021/042361 JP2021042361W WO2022185626A1 WO 2022185626 A1 WO2022185626 A1 WO 2022185626A1 JP 2021042361 W JP2021042361 W JP 2021042361W WO 2022185626 A1 WO2022185626 A1 WO 2022185626A1
Authority
WO
WIPO (PCT)
Prior art keywords
monitoring
unit
state
request
abnormal
Prior art date
Application number
PCT/JP2021/042361
Other languages
English (en)
French (fr)
Inventor
健人 田村
潤 安齋
稔久 中野
吉治 今本
Original Assignee
パナソニックIpマネジメント株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パナソニックIpマネジメント株式会社 filed Critical パナソニックIpマネジメント株式会社
Priority to JP2023503377A priority Critical patent/JPWO2022185626A1/ja
Publication of WO2022185626A1 publication Critical patent/WO2022185626A1/ja
Priority to US18/236,031 priority patent/US20230394149A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Definitions

  • Patent Document 1 techniques for stopping VMs
  • Patent Document 2 techniques for interrupting VM communications
  • the present disclosure provides a monitoring system that can determine the state of the entire virtualization system.
  • the monitoring system it is possible to determine the state of the entire virtualization system.
  • HV 10 is a functional component for realizing VMs, and manages VMs 20 and security VMs 30.
  • the HV 10 is also called a virtualization monitor or a virtualization OS.
  • the HV 10 has a request execution unit 11 , a request transfer unit 12 and a virtual communication unit 13 .
  • the request execution unit 11 acquires a request (for example, a communication request or a hypercall) from the VM 20 and executes the request.
  • the communication request includes information for specifying the communication partner.
  • the hypercall includes information indicating the content of processing to be executed by the HV 10, and the like.
  • the VM monitoring unit 21 monitors VMs 20 in the virtualization system. Specifically, the VM monitoring unit 21 monitors the operation of the application 23 in the VM 20, more specifically, access control violations, system call errors, and the like. The VM monitoring unit 21 notifies the HV 10 of the monitoring result.
  • the VM monitoring unit 21 is an example of a virtual environment monitoring unit that monitors a virtual environment in a virtualization system, and is one of a plurality of monitoring units that monitor the virtualization system and detect anomalies, each having a different authority. be.
  • the security VM 30 is a VM that performs security-related processing for the virtualization system.
  • the security VM 30 is accessible to the VM 20, but is inaccessible from the VM 20, making it less susceptible to attacks than the VM 20. Therefore, security-related functions are implemented in the security VM 30 .
  • the security VM 30 includes a request receiver 31 , a request monitor 32 , a communication receiver 33 , a VM monitoring information receiver 34 , a determiner 35 and a responder 36 .
  • the VM monitoring information receiving unit 34 receives the monitoring result of the VM monitoring unit 21.
  • the VM monitoring information receiving unit 34 notifies the monitoring result of the VM monitoring unit 21 to the determination unit 35 .
  • the monitoring result of the VM monitoring unit 21 was normal at 13:01:03. Also, although not shown, it is assumed that the monitoring result of the request monitoring unit 32 is also normal.
  • the determination unit 35 determines that the state of the virtualization system is normal according to a combination of the monitoring result of the VM monitoring unit 21 being normal and the monitoring result of the request monitoring unit 32 being normal.
  • the determination unit 35 may determine the state of the virtualization system according to a combination of detailed information on anomalies detected by a plurality of monitoring units, as a combination of monitoring results from a plurality of monitoring units.
  • the detailed information of the abnormality may be, for example, the application, VM 20, communication channel, or memory address in which the abnormality occurred, or may be the type of abnormality (for example, access control violation or communication frequency abnormality). Alternatively, it may be numerical information such as the degree of anomaly calculated by machine learning or the like.
  • the handling unit 36 may take action according to the degree of anomaly. For example, the response unit 36 may stop the application 23 when the degree of abnormality is low, and stop the VM 20 when the degree of abnormality is high.
  • the handling unit 36 carries out handling according to the determined state of the virtualization system (step S24). For example, the response unit 36 strengthens the monitoring of the VM monitoring unit 21 as a response to a state in which the VM 20 may be abnormal.
  • the VM monitoring unit 21 monitors the VM 20 to confirm that there is an abnormality (step S25), and notifies the determination unit 35 of the monitoring result indicating the abnormality (step S26).
  • the HV monitoring information transfer unit 14 acquires the monitoring result of the HV monitoring unit 41, which will be described later, and transfers it to the security VM 30a.
  • the determination unit 35a determines whether the state of the virtualization system is changed to the VM 20 according to the combination of the monitoring result of the VM monitoring unit 21 being abnormal, the monitoring result of the request monitoring unit 32 being abnormal, and the monitoring result of the HV monitoring unit 41 being normal. is determined to be abnormal.
  • FIG. 7B is a diagram showing an example of correspondence of the correspondence unit 36a in the second embodiment.
  • the state of the virtualization system changes and the VM 20 becomes abnormal. If it is determined that the VM 20 is present, the corresponding unit 36 restarts the VM 20 .
  • the determination unit 35a may determine the state of the virtualization system according to a combination of detailed information on anomalies detected by a plurality of monitoring units, as a combination of monitoring results from a plurality of monitoring units.
  • the detailed information of the abnormality may be, for example, the application, VM 20, communication channel, or memory address in which the abnormality occurred, or may be the type of abnormality (for example, access control violation or communication frequency abnormality). Alternatively, it may be numerical information such as the degree of anomaly calculated by machine learning or the like.
  • the request monitoring unit 32 monitors the request from the VM 20 to detect an abnormality in the hypercall (step S41), and notifies the determination unit 35a of the monitoring result indicating the abnormality (step S42). Although not shown, it is assumed that the determination unit 35a has obtained monitoring results indicating normality from the VM monitoring unit 21 and the HV monitoring unit 41. FIG.
  • the VM monitoring unit 21 monitors the VM 20 to confirm that it is normal (step S46), and notifies the determination unit 35a of the monitoring result indicating normality (step S47).
  • the handling unit 36a carries out handling according to the determined state of the virtualization system (step S71). For example, the response unit 36a restarts, updates, or stops the HV 10a as a response to the abnormal state of the HV 10a. For example, the response unit 36a restarts the HV 10a, and if the monitoring results of the request monitoring unit 32 and the HV monitoring unit 41 return to normal after the HV 10a has been restarted, end the strengthening of monitoring by each monitoring unit. do. After the HV 10a is restarted, if the monitoring results of the request monitoring unit 32 and the HV monitoring unit 41 remain abnormal, the response unit 36a updates the memory of the HV 10a.
  • the monitoring system is a system that monitors a virtualized system (a system consisting of HV, VM, etc.), and includes a plurality of monitoring units with different authority and a plurality of monitoring units that monitor the virtualized system and detect anomalies. and a determination unit that determines the state of the virtualization system based on the monitoring result of the.
  • the entire virtualization system is monitored by a plurality of monitoring units instead of a single monitoring unit, the state of the entire virtualization system can be determined based on the monitoring results of the plurality of monitoring units. .
  • a plurality of monitoring units with different authority are used, it is possible to improve the detection accuracy of anomalies, and to suppress erroneous detection or omission of detection.
  • the state of the virtualization system can be predicted to some extent by combining the monitoring results of multiple monitoring units. Therefore, the state of the virtualization system can be accurately determined by combining the monitoring results of the plurality of monitoring units.
  • the determining unit determines the state of the virtualization system according to a combination of monitoring results from multiple monitoring units, but the present invention is not limited to this.
  • the determination unit may determine the state of the virtualization system according to the duration of anomalies detected by multiple monitoring units. For example, when the monitoring results of the VM monitoring unit and the request monitoring unit are normal, but the monitoring result of the VM monitoring unit becomes abnormal, and the monitoring result of the VM monitoring unit becomes normal before the specified time elapses, Since there is a possibility that the abnormality monitoring result of the VM monitoring unit is an erroneous detection, the determination unit may determine that the state of the virtualization system is normal. Since the state of the virtualization system can be predicted to some extent based on the duration of anomalies detected by multiple monitoring units, the state of the virtualized system can be accurately determined based on the duration of anomalies detected by multiple monitoring units. be able to.
  • the present disclosure can be realized not only as a monitoring system, but also as a monitoring method including steps (processes) performed by each component constituting the monitoring system.
  • the present disclosure can be applied, for example, to a system that monitors a virtualization system installed in a vehicle.

Abstract

監視システム(1)は、仮想化システムを監視するシステムであって、仮想化システムを監視して異常を検知する、それぞれ権限の異なるVM監視部(21)及び要求監視部(32)と、VM監視部(21)及び要求監視部(32)の監視結果に基づいて、仮想化システムの状態を判定する判定部(35)と、を備える。

Description

監視システム
 本開示は、仮想化システムを監視する監視システムに関する。
 従来、ハイパーバイザ(HV)などにより仮想化された仮想化システムでは、1つのチップ上で複数の機能のそれぞれを仮想マシン(VM)によって実現できる。しかしながら、VM間に物理的な障壁がないため、仮想化システムが攻撃者に攻撃された場合、攻撃の影響が広範囲に及ぶおそれがある。
 これに対して、VMの異常を検知した際に、VMを停止する技術(例えば特許文献1)や、VMの通信を遮断する技術(例えば特許文献2)などが開示されている。
特開2019-185130号公報 特許第6079218号公報
 しかしながら、上記特許文献1及び2に開示された技術では、VMの異常を検知した際に、そのVMの異常にのみ着目しており、仮想化システム全体の状態を判定していない。この場合、仮想化システム全体の機能、ひいては、仮想化システムを搭載する機器(例えば車両など)の機能に支障をきたす可能性がある。
 そこで、本開示は、仮想化システム全体の状態を判定できる監視システムを提供する。
 本開示の一態様に係る監視システムは、仮想化システムを監視する監視システムであって前記仮想化システムを監視して異常を検知する、それぞれ権限の異なる複数の監視部と、前記複数の監視部の監視結果に基づいて、前記仮想化システムの状態を判定する判定部と、を備える。
 本開示の一態様に係る監視システムによれば、仮想化システム全体の状態を判定できる。
図1は、実施の形態1における監視システムの一例を示す構成図である。 図2Aは、実施の形態1における複数の監視部の監視結果の一例を示す図である。 図2Bは、実施の形態1における対応部の対応の一例を示す図である。 図3は、実施の形態1における、VM監視部がVMの異常を検知したときの監視システムの動作の一例を示すシーケンス図である。 図4は、実施の形態1における、要求監視部がVM間通信の異常を検知したときの監視システムの動作の一例を示すシーケンス図である。 図5は、実施の形態1における、要求監視部がVM間通信の異常を検知したときの監視システムの動作の他の一例を示すシーケンス図である。 図6は、実施の形態2における監視システムの一例を示す構成図である。 図7Aは、実施の形態2における複数の監視部の監視結果の一例を示す図である。 図7Bは、実施の形態2における仮想化システムの状態に応じた対応の一例を示す図である。 図8は、実施の形態2における、要求監視部がハイパーコールの異常を検知したときの監視システムの動作の一例を示すシーケンス図である。 図9は、実施の形態2における、要求監視部がハイパーコールの異常を検知したときの監視システムの動作の他の一例を示すシーケンス図である。 図10は、その他の実施の形態における判定部の判定及び対応部の対応の一例を示す図である。
 (実施の形態1)
 以下、実施の形態1における監視システムについて図面を参照しながら説明する。
 図1は、実施の形態1における監視システム1の一例を示す構成図である。
 監視システム1は、仮想化システムを監視するシステムであり、HV10、VM20及びセキュリティVM30を備える。仮想化システムとは、仮想化されたシステムであり、仮想化基盤によって管理される複数の仮想環境を有するシステムである。ここでは、仮想化基盤としてHV10を示し、複数の仮想環境としてVM20及びセキュリティVM30を示している。なお、仮想化システムは、例えば複数のVM20を備えるが、ここでは、複数のVM20のうちの1つのVM20に着目して説明する。例えば、仮想化システムが車両に搭載される場合に、VM20をECU(Electronic Control Unit)として動作させることができる。
 監視システム1は、プロセッサ及びメモリなどを含む。メモリは、ROM(Read Only Memory)及びRAM(Random Access Memory)などであり、プロセッサにより実行されるプログラムを記憶することができる。HV10、VM20及びセキュリティVM30は、メモリに格納されたプログラムを実行するプロセッサなどによって実現される。
 HV10は、VMを実現するための機能構成要素であり、VM20及びセキュリティVM30を管理する。HV10は、仮想化モニタ又は仮想化OSとも呼ばれる。HV10は、要求実行部11、要求転送部12及び仮想通信部13を備える。
 要求実行部11は、VM20からの要求(例えば、通信の要求又はハイパーコールなど)を取得して、当該要求を実行する。通信の要求には、通信相手を特定するための情報などが含まれる。ハイパーコールには、HV10に実行させる処理の内容を示す情報などが含まれる。
 要求転送部12は、取得されたVM20からの要求をセキュリティVM30に転送する。
 仮想通信部13は、VM20及びセキュリティVM30などと通信を行う。仮想通信部13は、例えば、後述するVM監視部21の監視結果をセキュリティVM30に転送する。
 VM20は、HV10により管理されるVMである。VM20によってコンピュータの動作を再現することができ、HV10によって複数のVM20が管理されることで、1つのコンピュータ上で複数の独立した機能を実現できる。例えば、1つのコンピュータで複数のECUを動作させることができる。VM20は、VM監視部21、要求生成部22及びアプリケーション23を備える。
 VM監視部21は、仮想化システムにおけるVM20を監視する。具体的には、VM監視部21は、VM20におけるアプリケーション23の動作、より具体的には、アクセス制御違反又はシステムコール異常などを監視する。VM監視部21は、監視結果をHV10へ通知する。VM監視部21は、仮想化システムにおける仮想環境を監視する仮想環境監視部の一例であり、仮想化システムを監視して異常を検知する、それぞれ権限の異なる複数の監視部のうちの1つである。
 要求生成部22は、アプリケーション23の動作に応じて、HV10への要求を生成する。例えば、アプリケーション23が他のVM20又は外部の装置との通信を行う場合には、要求生成部22は、当該他のVM20との通信又は外部の装置との通信の要求を生成する。例えば、アプリケーション23がHV10に所定の処理を実行させる場合には、要求生成部22は、当該所定の処理の内容を含むハイパーコールを生成する。要求生成部22は、生成した要求をHV10へ通知する。
 アプリケーション23は、VM20によって実現されるアプリケーションプログラムを実行する。例えば、VM20がECUとして動作する場合、アプリケーション23は、ECUに応じたアプリケーションプログラムを実行する。なお、1つのVM20が複数のアプリケーション23を備えていてもよい。つまり、1つのVM20において複数のアプリケーションプログラムが実行されてもよい。
 セキュリティVM30は、仮想化システムのセキュリティ関連の処理を行うVMである。例えば、セキュリティVM30は、VM20へアクセス可能であるが、VM20からはアクセス不可となっており、VM20よりも攻撃を受けにくくなっている。このため、セキュリティVM30に、セキュリティに関する機能が実装される。セキュリティVM30は、要求受信部31、要求監視部32、通信受信部33、VM監視情報受信部34、判定部35及び対応部36を備える。
 要求受信部31は、HV10から転送された、VM20からHV10への要求を受信する。
 要求監視部32は、仮想化システムにおけるVM20からHV10への要求を監視する。具体的には、要求監視部32は、HV10への要求の内容又はHV10への要求の頻度(すなわち要求受信部31がHV10への要求を受信する頻度)を監視する。要求監視部32は、監視結果を判定部35へ通知する。要求監視部32は、仮想化システムにおける仮想環境から仮想化基盤への要求を監視する要求監視部の一例であり、仮想化システムを監視して異常を検知する、それぞれ権限の異なる複数の監視部のうちの1つである。上述したように、セキュリティVM30は、VM20へアクセス可能であるが、VM20からはアクセス不可となっており、セキュリティVM30とVM20とは権限が異なっている。このため、セキュリティVM30が備える要求監視部32とVM20が備えるVM監視部21とは、それぞれ権限が異なっている。
 通信受信部33は、HV10から転送された情報を受信する。通信受信部33は、HV10から転送された情報のうち、VM監視部21の監視結果をVM監視情報受信部34へ通知する。
 VM監視情報受信部34は、VM監視部21の監視結果を受信する。VM監視情報受信部34は、VM監視部21の監視結果を判定部35へ通知する。
 判定部35は、複数の監視部の監視結果に基づいて、仮想化システムの状態を判定する。実施の形態1では、判定部35は、複数の監視部の監視結果として、VM監視部21の監視結果及び要求監視部32の監視結果に基づいて、仮想化システムの状態を判定する。例えば、判定部35は、複数の監視部の監視結果の組み合わせに応じて、仮想化システムの状態を判定する。判定部35は、判定した仮想化システムの状態を出力する。例えば、判定部35は、判定した仮想化システムの状態を対応部36へ通知する。なお、判定部35は、判定した仮想化システムの状態を仮想化システムが搭載された機器を使用するユーザが有するコンピュータ又は携帯端末などに出力してもよいし、サーバなどに出力してもよい。
 対応部36は、判定された仮想化システムの状態に応じた対応を実施する。対応の詳細については後述する。
 次に、複数の監視部の監視結果の一例及び判定部35の動作について図2Aを用いて説明する。
 図2Aは、実施の形態1における複数の監視部の監視結果の一例を示す図である。実施の形態1では、複数の監視部としてVM監視部21及び要求監視部32の監視結果を示している。
 図2Aに示されるように、13:01:03の時点では、VM監視部21の監視結果が正常であったとする。また、図示していないが要求監視部32の監視結果についても正常であったとする。例えば、判定部35は、VM監視部21の監視結果が正常、要求監視部32の監視結果が正常という組み合わせに応じて、仮想化システムの状態が正常な状態と判定する。
 次に、13:01:10の時点で、要求監視部32の監視結果が異常になったとする。例えば、判定部35は、VM監視部21の監視結果が正常、要求監視部32の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、VM20からの要求が異常となっており、VM20が異常の可能性がある状態と判定する。
 次に、13:01:13の時点で、VM監視部21の監視結果が異常になったとする。例えば、判定部35は、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定する。
 次に、13:01:15の時点でも、要求監視部32の監視結果が異常のままだとする。例えば、判定部35は、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定する。
 次に、対応部36の動作について図2Bを用いて説明する。
 図2Bは、実施の形態1における対応部36の対応の一例を示す図である。
 例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果が正常という組み合わせに応じて、仮想化システムの状態が正常な状態と判定された場合、対応部36は、特に対応を実施しない。
 例えば、VM監視部21の監視結果が異常、要求監視部32の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっており、VM20からの要求が異常の可能性がある状態と判定された場合、対応部36は、VM20を停止したり、要求監視部32の監視を強化したりする(具体的には、要求監視部32の監視の周期を短くしたり、要求監視部32が異常と検知する際の閾値を調整したりする)。
 例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、VM20からの要求(例えばVM間通信の要求)が異常となっており、VM20が異常の可能性がある状態と判定された場合、対応部36は、VM間通信を遮断したり、VM監視部21の監視を強化したりする(具体的には、VM監視部21の監視の周期を短くしたり、VM監視部21が異常と検知する際の閾値を調整したりする)。
 例えば、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定された場合、対応部36は、VM20を再起動する。
 なお、判定部35は、複数の監視部の監視結果の組み合わせとして、複数の監視部が検知した異常の詳細な情報の組み合わせに応じて、仮想化システムの状態を判定してもよい。異常の詳細な情報とは、例えば、異常が発生したアプリケーション、VM20、通信チャネル又はメモリアドレスなどであってもよいし、異常の種別(例えばアクセス制御違反又は通信頻度異常など)であってもよいし、例えば機械学習等により算出された異常度のような数値情報であってもよい。例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果がVM間通信の異常という組み合わせと、VM監視部21の監視結果が正常、要求監視部32の監視結果がハイパーコールの異常という組み合わせとで仮想化システムの状態の判定結果が異なっていてもよい。
 次に、監視システム1の動作について、具体例を挙げて説明する。
 まず、VM監視部21がVM20の異常を検知したときの監視システム1の動作について、図3を用いて説明する。
 図3は、実施の形態1における、VM監視部21がVM20の異常を検知したときの監視システム1の動作の一例を示すシーケンス図である。
 VM監視部21は、VM20を監視してVM20の異常を検知し(ステップS11)、異常を示す監視結果を判定部35へ通知する(ステップS12)。なお、図示していないが、判定部35は、要求監視部32から正常を示す監視結果を取得しているとする。
 判定部35は、仮想化システムの状態を判定する(ステップS13)。例えば、VM監視部21の監視結果が異常、要求監視部32の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっており、VM20からの要求が異常の可能性がある状態と判定する。
 対応部36は、判定された仮想化システムの状態に応じた対応を実施する(ステップS14)。例えば、対応部36は、VM20からの要求が異常の可能性がある状態に応じた対応として、要求監視部32の監視の強化を実施する。このとき、異常が検知されたVM20を識別するIDなどを要求監視部32へ通知する。要求監視部32に対して、異常が検知されたVM20からの要求の監視を強化させるためである。
 要求監視部32は、VM20からの要求を監視して正常であることを確認し(ステップS15)、正常を示す監視結果を判定部35へ通知する(ステップS16)。
 判定部35は、仮想化システムの状態を判定する(ステップS17)。例えば、VM監視部21の監視結果が異常、監視強化後の要求監視部32の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっており、VM20からの要求が正常となっている状態と判定する。なお、判定部35は、VM監視部21と要求監視部32の監視結果をもとに、機械学習等により仮想化システムの状態を異常度といった数値情報として判定してもよい。
 対応部36は、判定された仮想化システムの状態に応じた対応を実施する(ステップS18)。例えば、対応部36は、VM20が異常となっている状態に応じた対応として、VM20における異常なアプリケーション23を特定できるか否かを判定し、異常なアプリケーション23を特定できる場合には異常なアプリケーション23を停止する。対応部36は、異常なアプリケーション23を特定できない場合にはVM20を再起動する。異常なアプリケーション23が停止した後、又は、VM20が再起動した後、VM監視部21の監視結果が正常に戻った場合には、対応部36は、正常に戻ったVM20からの要求の監視の強化を終了する。一方で、VM監視部21の監視結果が異常のまま変わらない場合には、対応部36は、VM20を停止する。なお、仮想化システムの状態が異常度といった数値情報により判定された場合、対応部36は異常度に応じた対応を実施してもよい。例えば、対応部36は、異常度が低い場合はアプリケーション23を停止し、異常度が高い場合はVM20を停止してもよい。
 次に、要求監視部32がVM間通信の異常を検知したときの監視システムの動作について、図4及び図5を用いて説明する。
 図4は、実施の形態1における、要求監視部32がVM間通信の異常を検知したときの監視システム1の動作の一例を示すシーケンス図である。
 要求監視部32は、VM20からの要求を監視してVM間通信の異常(例えば、監視しているVM20の通信の宛先の異常又は監視しているVM20からの通信の要求の頻度の異常など)を検知し(ステップS21)、異常を示す監視結果を判定部35へ通知する(ステップS22)。なお、図示していないが、判定部35は、VM監視部21から正常を示す監視結果を取得しているとする。
 判定部35は、仮想化システムの状態を判定する(ステップS23)。例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果がVM間通信の異常という組み合わせに応じて、仮想化システムの状態が、VM間通信が異常となっており、VM20が異常の可能性がある状態と判定する。
 対応部36は、判定された仮想化システムの状態に応じた対応を実施する(ステップS24)。例えば、対応部36は、VM20が異常の可能性がある状態に応じた対応として、VM監視部21の監視の強化を実施する。
 VM監視部21は、VM20を監視して異常であることを確認し(ステップS25)、異常を示す監視結果を判定部35へ通知する(ステップS26)。
 判定部35は、仮想化システムの状態を判定する(ステップS27)。例えば、監視強化後のVM監視部21の監視結果が異常、要求監視部32の監視結果がVM間通信の異常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定する。
 対応部36は、判定された仮想化システムの状態に応じた対応を実施する(ステップS28)。ステップS28での処理は、ステップS18と同じであるため説明は省略する。
 図5は、実施の形態1における、要求監視部32がVM間通信の異常を検知したときの監視システム1の動作の他の一例を示すシーケンス図である。図5におけるステップS31からステップS34までの処理は、図4におけるステップS21からステップS24までの処理と同じであるため説明は省略する。
 VM監視部21は、VM20を監視して正常であることを確認し(ステップS35)、正常を示す監視結果を判定部35へ通知する(ステップS36)。
 判定部35は、仮想化システムの状態を判定する(ステップS37)。例えば、監視強化後のVM監視部21の監視結果が正常、要求監視部32の監視結果がVM間通信の異常という組み合わせに応じて、仮想化システムの状態が、VM間通信が異常となっている状態と判定する。
 対応部36は、判定された仮想化システムの状態に応じた対応を実施する(ステップS38)。例えば、対応部36は、VM間通信が異常となっている状態に応じた対応として、異常が検知された通信チャネルを遮断する。なお、VM監視部21の監視結果が正常であるため、VM間通信の異常が誤検知の可能性がある。そこで、対応部36は、過去にも今回と同じ異常が発生している場合に、異常が検知された通信チャネルを遮断してもよい。言い換えると、対応部36は、過去に今回と同じ異常が発生していない場合には、異常が検知された通信チャネルを遮断しなくてもよく、今後同じ異常が発生したときに、異常が検知された通信チャネルを遮断してもよい。或いは、対応部36は、一定時間以上VM間通信の異常が継続している場合に、異常が検知された通信チャネルを遮断してもよい。
 (実施の形態2)
 以下、実施の形態2における監視システムについて図面を参照しながら説明する。
 図6は、実施の形態2における監視システム1aの一例を示す構成図である。
 監視システム1aは、HV10の代わりにHV10aを備え、セキュリティVM30の代わりにセキュリティVM30aを備え、さらに、セキュアOS40を備える点が、実施の形態1における監視システム1と異なる。その他の点は、実施の形態1におけるものと同じであるため、詳細な説明は省略又は簡略化する。
 監視システム1aは、仮想化システムを監視するシステムであり、HV10a、VM20、セキュリティVM30a及びセキュアOS40を備える。仮想化システムとは、仮想化されたシステムであり、仮想化基盤によって管理される複数の仮想環境を有するシステムである。ここでは、仮想化基盤としてHV10aを示し、複数の仮想環境としてVM20及びセキュリティVM30aを示している。
 監視システム1aは、プロセッサ及びメモリなどを含む。メモリは、ROM及びRAMなどであり、プロセッサにより実行されるプログラムを記憶することができる。HV10a、VM20、セキュリティVM30a及びセキュアOS40は、メモリに格納されたプログラムを実行するプロセッサ等によって実現される。
 HV10aは、VMを実現するための機能構成要素であり、VM20及びセキュリティVM30aを管理する。HV10aは、仮想化モニタ又は仮想化OSとも呼ばれる。HV10aは、要求実行部11、要求転送部12、仮想通信部13及びHV監視情報転送部14を備える。要求実行部11、要求転送部12及び仮想通信部13は、実施の形態1におけるものと同じであるため説明は省略する。
 HV監視情報転送部14は、後述するHV監視部41の監視結果を取得して、セキュリティVM30aに転送する。
 VM20は、実施の形態1におけるものと同じであるため説明は省略する。
 セキュリティVM30aは、仮想化システムのセキュリティ関連の処理を行うVMである。例えば、セキュリティVM30aは、VM20へアクセス可能であるが、VM20からはアクセス不可となっており、VM20よりも攻撃を受けにくくなっている。このため、セキュリティVM30aに、セキュリティに関する機能が実装される。セキュリティVM30aは、要求受信部31、要求監視部32、通信受信部33、VM監視情報受信部34、判定部35a、対応部36a及びHV監視情報受信部37を備える。要求受信部31、要求監視部32、通信受信部33及びVM監視情報受信部34は、実施の形態1におけるものと同じであるため説明は省略する。
 HV監視情報受信部37は、HV監視部41の監視結果を受信する。HV監視情報受信部37は、HV監視部41の監視結果を判定部35aへ通知する。
 判定部35aは、複数の監視部の監視結果に基づいて、仮想化システムの状態を判定する。実施の形態2では、判定部35aは、複数の監視部の監視結果として、VM監視部21の監視結果、要求監視部32及びHV監視部41の監視結果に基づいて、仮想化システムの状態を判定する。例えば、判定部35aは、複数の監視部の監視結果の組み合わせに応じて、仮想化システムの状態を判定する。判定部35aは、判定した仮想化システムの状態を出力する。例えば、判定部35aは、判定した仮想化システムの状態を対応部36aへ通知する。なお、判定部35aは、判定した仮想化システムの状態を仮想化システムが搭載された機器を使用するユーザが有するコンピュータ又は携帯端末などに出力してもよいし、サーバなどに出力してもよい。
 対応部36aは、判定された仮想化システムの状態に応じた対応を実施する。対応の詳細については後述する。
 セキュアOS40は、HV10aのセキュリティ関連の処理を行うOSである。例えば、セキュアOS40は、仮想化システムへアクセス可能であるが、仮想化システムからはアクセス不可となっており、仮想化システムよりも攻撃を受けにくくなっている。このため、セキュアOS40に、仮想化システムを実現するHV10aのセキュリティに関する機能が実装される。セキュアOS40は、HV監視部41及びHV監視情報送信部42を備える。
 HV監視部41は、仮想化システムにおけるHV10aを監視する。具体的には、HV監視部41は、HV10aのメモリが改ざんされていないかなどを監視する。HV監視部41は、監視結果をHV監視情報送信部42へ通知する。HV監視部41は、仮想化システムにおける仮想化基盤を監視する仮想化基盤監視部の一例であり、仮想化システムを監視して異常を検知する、それぞれ権限の異なる複数の監視部のうちの1つである。上述したように、セキュアOS40は、仮想化システムへアクセス可能であるが、仮想化システムからはアクセス不可となっており、セキュアOS40と仮想化システムとは権限が異なっている。このため、セキュアOS40が備えるHV監視部41と仮想化システムが備えるVM監視部21及び要求監視部32とは、それぞれ権限が異なっている。
 HV監視情報送信部42は、HV監視部41の監視結果をHV10aへ送信する。
 次に、複数の監視部の監視結果の一例及び判定部35aの動作について図7Aを用いて説明する。
 図7Aは、実施の形態2における複数の監視部の監視結果の一例を示す図である。実施の形態2では、複数の監視部としてVM監視部21、要求監視部32及びHV監視部41の監視結果を示している。
 図7Aに示されるように、13:01:03の時点では、VM監視部21の監視結果が正常であったとする。また、図示していないが要求監視部32及びHV監視部41の監視結果についても正常であったとする。例えば、判定部35aは、VM監視部21の監視結果が正常、要求監視部32の監視結果が正常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が正常な状態と判定する。
 次に、13:01:10の時点で、要求監視部32の監視結果が異常になったとする。例えば、判定部35aは、VM監視部21の監視結果が正常、要求監視部32の監視結果が異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20からの要求が異常となっており、VM20が異常の可能性があり、HV10aが異常の可能性がある状態と判定する。
 次に、13:01:13の時点で、VM監視部21の監視結果が異常になったとする。例えば、判定部35aは、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定する。
 次に、13:01:15の時点でも、要求監視部32の監視結果が異常のままだとする。例えば、判定部35aは、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定する。
 次に、13:01:20の時点でも、HV監視部41の監視結果が正常のままだとする。例えば、判定部35aは、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定する。
 次に、対応部36aの動作について図7Bを用いて説明する。
 図7Bは、実施の形態2における対応部36aの対応の一例を示す図である。
 例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果が正常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が正常な状態と判定された場合、対応部36aは、特に対応を実施しない。
 例えば、VM監視部21の監視結果が異常、要求監視部32の監視結果が正常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっており、VM20からの要求が異常の可能性がある状態と判定された場合、対応部36aは、VM20を停止したり、要求監視部32の監視を強化したりする。また、仮想化システムの状態が、HV10aが異常の可能性がある状態と判定された場合には、対応部36aは、HV監視部41の監視を強化してもよい(具体的には、HV監視部41の監視の周期を短くしたり、HV監視部41が異常と検知する際の閾値を調整したりしてもよい)。
 例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果が異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20からの要求(例えばVM間通信の要求)が異常となっており、VM20が異常の可能性がある状態と判定された場合、対応部36aは、VM間通信を遮断したり、VM監視部21の監視を強化したりする。また、仮想化システムの状態が、HV10aが異常の可能性がある状態と判定された場合には、対応部36aは、HV監視部41の監視を強化してもよい。
 例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果が正常、HV監視部41の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、HV10aが異常となっている状態と判定された場合、対応部36aは、仮想化システムの再起動(すなわちHV10aの再起動)をする。
 例えば、VM監視部21の監視結果が異常、要求監視部32の監視結果が異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、VM20が異常となっている状態と判定された場合、対応部36は、VM20を再起動する。
 なお、判定部35aは、複数の監視部の監視結果の組み合わせとして、複数の監視部が検知した異常の詳細な情報の組み合わせに応じて、仮想化システムの状態を判定してもよい。異常の詳細な情報とは、例えば、異常が発生したアプリケーション、VM20、通信チャネル又はメモリアドレスなどであってもよいし、異常の種別(例えばアクセス制御違反又は通信頻度異常など)であってもよいし、例えば機械学習等により算出された異常度のような数値情報であってもよい。
 次に、要求監視部32がハイパーコールの異常を検知したときの監視システム1aの動作について、図8及び図9を用いて説明する。
 図8は、実施の形態2における、要求監視部32がハイパーコールの異常を検知したときの監視システム1aの動作の一例を示すシーケンス図である。
 要求監視部32は、VM20からの要求を監視してハイパーコールの異常を検知し(ステップS41)、異常を示す監視結果を判定部35aへ通知する(ステップS42)。なお、図示していないが、判定部35aは、VM監視部21及びHV監視部41から正常を示す監視結果を取得しているとする。
 判定部35aは、仮想化システムの状態を判定する(ステップS43)。例えば、VM監視部21の監視結果が正常、要求監視部32の監視結果がハイパーコールの異常、HV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、ハイパーコールが異常となっており、VM20が異常の可能性があり、HV10aが異常の可能性がある状態と判定する。なお、判定部35aは、VM監視部21と要求監視部32の監視結果をもとに、機械学習等により仮想化システムの状態を異常度といった数値情報として判定してもよい。
 対応部36aは、判定された仮想化システムの状態に応じた対応を実施する(ステップS44及びステップS45)。例えば、対応部36aは、VM20が異常の可能性がある状態に応じた対応として、VM監視部21の監視の強化を実施し、HV10aが異常の可能性がある状態に応じた対応として、HV監視部41の監視の強化を実施する。なお、仮想化システムの状態が異常度といった数値情報により判定された場合、対応部36aは異常度に応じた対応を実施してもよい。例えば、対応部36aは、異常度が低い場合はVM監視部21の監視を強化し、異常度が高い場合はHV監視部41の監視を強化してもよい。
 VM監視部21は、VM20を監視して正常であることを確認し(ステップS46)、正常を示す監視結果を判定部35aへ通知する(ステップS47)。
 HV監視部41は、HV10aを監視して正常であることを確認し(ステップS48)、正常を示す監視結果を判定部35aへ通知する(ステップS49)。
 判定部35aは、仮想化システムの状態を判定する(ステップS50)。例えば、監視強化後のVM監視部21の監視結果が正常、要求監視部32の監視結果がハイパーコールの異常、監視強化後のHV監視部41の監視結果が正常という組み合わせに応じて、仮想化システムの状態が、ハイパーコールが異常となっている状態と判定する。
 対応部36aは、判定された仮想化システムの状態に応じた対応を実施する(ステップS51)。例えば、対応部36aは、ハイパーコールが異常となっている状態に応じた対応として、ハイパーコールを要求したVM20を再起動したり、停止したりする。なお、VM監視部21の監視結果が正常であるため、ハイパーコールの異常が誤検知の可能性がある。そこで、対応部36aは、過去にも今回と同じ異常が発生している場合に、ハイパーコールを要求したVM20を再起動したり、停止したりしてもよい。言い換えると、対応部36aは、過去に今回と同じ異常が発生していない場合には、ハイパーコールを要求したVM20を再起動したり、停止したりしなくてもよく、今後同じ異常が発生したときに、ハイパーコールを要求したVM20を再起動したり、停止したりしてもよい。或いは、対応部36aは、一定時間以上ハイパーコールの異常が継続している場合に、ハイパーコールを要求したVM20を再起動したり、停止したりしてもよい。
 図9は、実施の形態2における、要求監視部32がハイパーコールの異常を検知したときの監視システム1aの動作の他の一例を示すシーケンス図である。図9におけるステップS61からステップS67までの処理は、図8におけるステップS41からステップS47までの処理と同じであるため説明は省略する。
 HV監視部41は、HV10aを監視して異常であることを確認し(ステップS68)、異常を示す監視結果を判定部35aへ通知する(ステップS69)。
 判定部35aは、仮想化システムの状態を判定する(ステップS70)。例えば、監視強化後のVM監視部21の監視結果が正常、要求監視部32の監視結果がハイパーコールの異常、監視強化後のHV監視部41の監視結果が異常という組み合わせに応じて、仮想化システムの状態が、HV10aが異常となっている状態と判定する。
 対応部36aは、判定された仮想化システムの状態に応じた対応を実施する(ステップS71)。例えば、対応部36aは、HV10aが異常となっている状態に応じた対応として、HV10aを再起動したり、更新したり、停止したりする。例えば、対応部36aは、HV10aを再起動し、HV10aが再起動した後、要求監視部32及びHV監視部41の監視結果が正常に戻った場合には、各監視部の監視の強化を終了する。HV10aが再起動した後、要求監視部32及びHV監視部41の監視結果が異常のまま変わらない場合には、対応部36aは、HV10aのメモリを更新する。例えば、対応部36aは、HV10aのメモリを更新した後、要求監視部32及びHV監視部41の監視結果が正常に戻った場合には、各監視部の監視の強化を終了する。HV10aのメモリを更新した後、要求監視部32及びHV監視部41の監視結果が異常のまま変わらない場合には、対応部36aは、HV10aを停止する。
 (まとめ)
 監視システムは、仮想化システム(HV及びVMなどからなるシステム)を監視するシステムであって、仮想化システムを監視して異常を検知する、それぞれ権限の異なる複数の監視部と、複数の監視部の監視結果に基づいて、仮想化システムの状態を判定する判定部と、を備える。
 これによれば、1つの監視部ではなく、複数の監視部によって仮想化システム全体が監視されるため、複数の監視部の監視結果に基づいて、仮想化システム全体の状態を判定することができる。また、それぞれ権限の異なる複数の監視部が用いられるため、異常の検知精度を高めることができ、誤検知又は検知漏れを抑制できる。
 例えば、複数の監視部は、仮想化システムにおけるVMを監視するVM監視部、仮想化システムにおけるVMからHVへの要求を監視する要求監視部、及び、仮想化システムにおけるHVを監視するHV監視部の少なくとも1つを含んでいてもよい。
 これによれば、VMの監視結果、VMからHVへの要求の監視結果、又は、HVの監視結果に基づいて、仮想化システム全体の状態を詳細に判定することができる。
 例えば、判定部は、複数の監視部の監視結果の組み合わせに応じて、仮想化システムの状態を判定してもよい。
 これによれば、複数の監視部の監視結果の組み合わせによって、仮想化システムの状態をある程度予想することができる。このため、複数の監視部の監視結果の組み合わせによって、仮想化システムの状態を精度よく判定することができる。
 例えば、監視システムは、さらに、判定された仮想化システムの状態に応じた対応を実施する対応部を備えていてもよい。
 これによれば、仮想化システム全体の状態に応じた対応をすることができ、例えば、仮想化システムを搭載する機器(例えば車両など)の機能への影響を抑制した対応ができる。
 (その他の実施の形態)
 以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
 例えば、上記実施の形態では、仮想化システムがHV型のシステムである例について説明したが、コンテナやホストOS型のシステムであってもよい。
 例えば、上記実施の形態では、VM間通信の異常をVMからHVへの要求を監視することで検知する例について説明したが、これに限らない。例えば、仮想化システムは、VM間の通信を仲介するゲートウェイVMを備えていてもよく、ゲートウェイVMにおいてVM間通信の通信内容が監視されて、通信内容に応じてVM間通信の異常が検知されてもよい。
 例えば、上記実施の形態では、判定部は、複数の監視部の監視結果の組み合わせに応じて、仮想化システムの状態を判定する例について説明したが、これに限らない。
 例えば、判定部は、複数の監視部が検知した異常の検知順序に応じて、仮想化システムの状態を判定してもよい。例えば、VM監視部及び要求監視部の監視結果がそれぞれ正常であった場合に、まずVM監視部の監視結果が異常となり、続いて要求監視部の監視結果が異常となったときと、まず要求監視部の監視結果が異常となり、続いてVM監視部の監視結果が異常となったときとで仮想化システムの状態の判定結果が異なっていてもよい。ここで、複数の監視部が検知した異常の検知順序に応じた仮想化システムの状態の判定および対応の具体例について、図10を用いて説明する。
 図10は、その他の実施の形態における判定部の判定及び対応部の対応の一例を示す図である。例えば、複数の監視部として、VM監視部、要求監視部及びHV監視部を備える監視システムにおける、複数の監視部が検知した異常の検知順序に応じた仮想化システムの状態の判定および対応について説明する。なお、ここで説明する監視システムは、VM監視部を備えるVMの他に、VM監視部を備えていないVMも備えているとする。以下では、VM監視部を備えるVMをVM_Aと呼び、VM監視部を備えていないVMをVM_Bと呼ぶ。
 例えば、VM監視部の監視結果が異常となり、続いて要求監視部の監視結果が異常となった場合、判定部は、仮想化システムの状態が、VM_Aで異常が発生した後、VM_Aの外部へ異常が展開されている可能性がある状態であると判定し、対応部は、当該状態に応じてVM_Aを再起動する。例えば、要求監視部の監視結果が異常となり、続いてVM監視部の監視結果が異常となった場合、判定部は、仮想化システムの状態が、VM_Bで異常が発生した後、VM_Aへ異常が展開された可能性がある状態であると判定し、対応部は、当該状態に応じてVM_A及びVM_Bを再起動する。例えば、VM監視部の監視結果が異常となり、続いて要求監視部の監視結果が異常となり、続いてHV監視部の監視結果が異常となった場合、判定部は、仮想化システムの状態が、VM_Aで異常が発生した後、HVへ異常が展開された可能性がある状態であると判定し、対応部は、当該状態に応じてHVを再起動し、VM監視部の監視を強化する。例えば、要求監視部の監視結果が異常となり、続いてHV監視部の監視結果が異常となり、続いてVM監視部の監視結果が異常となった場合、判定部は、仮想化システムの状態が、VM_Bで異常が発生した後、HV及びVM_Aへ異常が展開された可能性がある状態であると判定し、対応部は、当該状態に応じてHVを再起動し、要求監視部の監視を強化する。
 このように、複数の監視部が検知した異常の検知順序によって、仮想化システムの状態をある程度予想することができるため、複数の監視部が検知した異常の検知順序によって、仮想化システムの状態を精度よく判定することができる。
 例えば、判定部は、複数の監視部が検知した異常の継続時間に応じて、仮想化システムの状態を判定してもよい。例えば、VM監視部及び要求監視部の監視結果がそれぞれ正常であった場合に、VM監視部の監視結果が異常となり、規定時間経過する前にVM監視部の監視結果が正常となったときには、VM監視部の異常の監視結果は誤検知である可能性があるため、判定部は、仮想化システムの状態が正常と判定してもよい。複数の監視部が検知した異常の継続時間によって、仮想化システムの状態をある程度予想することができるため、複数の監視部が検知した異常の継続時間によって、仮想化システムの状態を精度よく判定することができる。
 例えば、判定部は、仮想化システムの状態を判定する際に、複数の監視部のそれぞれの権限等に応じて、複数の監視部のそれぞれの監視結果に重み付けしてもよい。その際に、上位の権限を有する監視部の監視結果が優先的に判定に用いられてもよい。例えば、VM監視部の監視結果が正常であっても、HV監視部の監視結果が異常の場合には、HV監視部の監視結果を優先した判定及び対応が実施されてもよい。
 なお、本開示は、監視システムとして実現できるだけでなく、監視システムを構成する各構成要素が行うステップ(処理)を含む監視方法として実現できる。
 例えば、監視方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、監視方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。
 さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
 例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。
 また、上記実施の形態の監視システムに含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。
 また、上記実施の形態の監視システムに含まれる各構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。
 また、集積回路はLSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
 さらに、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、監視システムに含まれる各構成要素の集積回路化が行われてもよい。
 その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。
 本開示は、例えば車両に搭載される仮想化システムを監視するシステムなどに適用できる。
 1、1a 監視システム
 10、10a HV
 11 要求実行部
 12 要求転送部
 13 仮想通信部
 14 HV監視情報転送部
 20 VM
 21 VM監視部
 22 要求生成部
 23 アプリケーション
 30、30a セキュリティVM
 31 要求受信部
 32 要求監視部
 33 通信受信部
 34 VM監視情報受信部
 35、35a 判定部
 36、36a 対応部
 37 HV監視情報受信部
 40 セキュアOS
 41 HV監視部
 42 HV監視情報送信部

Claims (6)

  1.  仮想化システムを監視する監視システムであって
     前記仮想化システムを監視して異常を検知する、それぞれ権限の異なる複数の監視部と、
     前記複数の監視部の監視結果に基づいて、前記仮想化システムの状態を判定する判定部と、を備える、
     監視システム。
  2.  前記複数の監視部は、前記仮想化システムにおける仮想環境を監視する仮想環境監視部、前記仮想化システムにおける仮想環境から仮想化基盤への要求を監視する要求監視部、及び、前記仮想化システムにおける仮想化基盤を監視する仮想化基盤監視部の少なくとも1つを含む、
     請求項1に記載の監視システム。
  3.  前記判定部は、前記複数の監視部の監視結果の組み合わせに応じて、前記仮想化システムの状態を判定する、
     請求項1又は2に記載の監視システム。
  4.  前記判定部は、前記複数の監視部が検知した異常の検知順序に応じて、前記仮想化システムの状態を判定する、
     請求項1~3のいずれか1項に記載の監視システム。
  5.  前記判定部は、前記複数の監視部が検知した異常の継続時間に応じて、前記仮想化システムの状態を判定する、
     請求項1~4のいずれか1項に記載の監視システム。
  6.  さらに、判定された前記仮想化システムの状態に応じた対応を実施する対応部を備える、
     請求項1~5のいずれか1項に記載の監視システム。
PCT/JP2021/042361 2021-03-01 2021-11-18 監視システム WO2022185626A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2023503377A JPWO2022185626A1 (ja) 2021-03-01 2021-11-18
US18/236,031 US20230394149A1 (en) 2021-03-01 2023-08-21 Monitoring system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021031994 2021-03-01
JP2021-031994 2021-03-01

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US18/236,031 Continuation US20230394149A1 (en) 2021-03-01 2023-08-21 Monitoring system

Publications (1)

Publication Number Publication Date
WO2022185626A1 true WO2022185626A1 (ja) 2022-09-09

Family

ID=83154281

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/042361 WO2022185626A1 (ja) 2021-03-01 2021-11-18 監視システム

Country Status (3)

Country Link
US (1) US20230394149A1 (ja)
JP (1) JPWO2022185626A1 (ja)
WO (1) WO2022185626A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008269194A (ja) * 2007-04-19 2008-11-06 Hitachi Ltd 仮想計算機システム
JP2019066995A (ja) * 2017-09-29 2019-04-25 株式会社Seltech セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム
JP2019144785A (ja) * 2018-02-20 2019-08-29 富士通株式会社 監視プログラム、監視装置及び監視方法
JP2020123307A (ja) * 2019-01-29 2020-08-13 オムロン株式会社 セキュリティ装置、攻撃特定方法、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008269194A (ja) * 2007-04-19 2008-11-06 Hitachi Ltd 仮想計算機システム
JP2019066995A (ja) * 2017-09-29 2019-04-25 株式会社Seltech セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム
JP2019144785A (ja) * 2018-02-20 2019-08-29 富士通株式会社 監視プログラム、監視装置及び監視方法
JP2020123307A (ja) * 2019-01-29 2020-08-13 オムロン株式会社 セキュリティ装置、攻撃特定方法、及びプログラム

Also Published As

Publication number Publication date
US20230394149A1 (en) 2023-12-07
JPWO2022185626A1 (ja) 2022-09-09

Similar Documents

Publication Publication Date Title
US10469512B1 (en) Optimized resource allocation for virtual machines within a malware content detection system
US11075945B2 (en) System, apparatus and method for reconfiguring virtual machines
US10083302B1 (en) System and method for detecting time-bomb malware
CN107430662B (zh) 识别进程的恶意运行
US8356285B2 (en) Facilitated introspection of virtualized environments
US10747872B1 (en) System and method for preventing malware evasion
US8677484B2 (en) Providing protection against unauthorized network access
US8621337B1 (en) Detecting memory corruption
US11714910B2 (en) Measuring integrity of computing system
KR101701014B1 (ko) 운영 체제에의 악성 활동 보고
CN114254304A (zh) 容器安全入侵检测方法、装置、计算机设备及存储介质
US11775649B2 (en) Perform verification check in response to change in page table base register
WO2022185626A1 (ja) 監視システム
CN113448682B (zh) 一种虚拟机监控器加载方法、装置及电子设备
US11301282B2 (en) Information protection method and apparatus
CN111194447B (zh) 监视控制流完整性
CN111177726A (zh) 一种系统漏洞检测方法、装置、设备及介质
WO2022181020A1 (ja) 情報処理装置および情報処理方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21929185

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2023503377

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21929185

Country of ref document: EP

Kind code of ref document: A1