基于硬件辅助虚拟化的虚拟机监控研究与实现.docVIP

　　基于硬件辅助虚拟化的虚拟机监控研究与实现 第一章绪论 1.1研究背景及研究目的 虚拟化在计算机世界里随处可见。当我们通过Inter查询信息时，就很有可能是一个位于远端服务器上的虚拟机给我们提供的服务。虚拟化的思想也早已应用在操作系统的设计和实现过程中：为了扩大内存容量，人们设计了一种虚拟内存化技术，利用内、外存切换的办法，为每个应用进程虚拟出更大的内存空间。早在20世纪60年代，IBM为大型机提供的虚拟机（Virtual Machine,简写为VM)可以使多个程序或用户共用一台物理机，且互相不会发生干扰。虚拟化技术能够使不同的操作系统同时运行在一台物理机器上，同时提供了有效的隔离和高效的服务，不会由于某个系统的崩溃而破坏了整个服务器⑴。当前，分布式计算普遍釆用了虚拟化技术，尤其是随着Inter的迅速膨胀，虚拟化更成为了关键技术，由于在虚拟机中保存了账号密码等重要信息，所以虚拟机系统的安全性变得日益重要。本文研究并实现的针对虚拟机的安全监控系统，有别于传统的安全技术，它是伴随虚拟化技术的发展而提出的。硬件辅助虚拟化下，在虚拟机外部能够主动监控捕获虚拟机内部的执行情况，包括进程监控、内核可加载模块监控和文件监控，从而有效地进行恶意软件检测、分析，实现成熟的虚拟机安全监控系统。本文研究主要满足以下目的： (1)透明性。针对虚拟机运行环境安全监控，提出一种对客户操作系统透明的行为监控与审计方法，利用硬件辅助虚拟化技术，使监控软件与恶意软件不在同一个操作系统下，监控软件的安全性得到保障，且恶意软件感知不到虚拟化环境，从而保证了监控系统的透明性。 (2)有效性。利用硬件辅助虚拟化技术，当虚拟机进程切换、某些寄存器读写、中断异常发生时都会触发VM exit,从而有效地分析虚拟机执行情况，且利用硬件辅助引入更小的性能代价，无需或很小改变VMM，具有跨平台的优势，不受环境限制。 . 1.2国内外研究现状 目前，国内外有关虚拟机安全监控方面的研究，主要是针对特定虚拟机平台的安全监控模型，例如基于VM控库，它是基于Xen平台的。该库不但可以访问虚拟内存，还能够访问虚拟磁盘，从而允许监控系统有效且安全地查看被监控系统的内存及硬盘操作。XenAccess的缺点是没有实现监控特定的文件操作行为，而且对文件操作的解析也仅限于对特定文件系统的解析。VMsafe是一向针对VMe Sharing)操作系统的需求。《Time Sharing inLarge Fast puter》被认定为虚拟化技术的最早阐述，它是由科学家ChristopherStrachey在1959年国际信息处理大会上发表的一篇学术报告。虚拟机是虚拟化技术的一种实现。虚拟化技术即计算元件运行在虚拟的环境中而非运行在真实的环境中，是一个简化资源管理、提高资源使用率的解决方法。虚拟化技术可以扩大内存的容量内存虚拟化，通过将硬盘的一部分虚拟成内存以供进程寻址，还可以虚拟出多个CPU,从而使得多个操作系统同时运行在一个平台上，并且应用程序在互相隔离的区域内运行且互不干扰，从而显著提高资源利用率。虚拟机管理器部署在计算机硬件之上、操作系统之下，用来管理系统资源以及运行于其上的客户操作系统。虚拟化技术与传统的计算机架构相比，具有以下优势： (1)资源利用率高：传统架构中，单一的操作系统难以充分使用硬件资源，因为无法使其移植或整合到同一平台上。虚拟化技术出现之后，在单个机器上虚拟出多个平台，可以分别在其上部署操作系统并共享硬件资源，每个进程在相互隔离的区域内运行，通过整合和共享，降低了系统维护成本、提高了资源利用率。 (2)隔离性高：传统架构中，操作系统里的不同进程虽然通过虚拟内存地址隔离开来，但是进程间有相互干扰的可能，而且操作系统极有可能因为某一进程的故障而崩浪，可靠性较差；在虚拟化技术中，客户操作系统（Guest OS)凭借VMM内存管理而彼此隔离，即使一个发生崩馈也不会波及到其它的GuestOS。 .. 2.2虚拟机监控点分析 最近十年，因为虚拟平台具有更小的可信基（Trusted Base)和更高的隔离性等特点，针对虚拟机的监控都是利用这些优势的安全系统，所以从安全监控实现的位置考虑，针对虚拟化环境下的安全监控的相关研究可以分为以下三类：嵌入虚拟机进行内部监控、修改VMM代码进行外部监控以及利用虚拟机管理器提供的接口进行外部监控。内部监控一般是指通过在客户操作系统的内核中加载相关模块对Guest OS的内部事件进行栏截，同时虚拟机管理器保护内核加载模块。图2-2描述了内部监控的架构，Lares是其典型代表系统。监控的系统部署在目标虚拟机中，虚拟机管理器上运行一个隔离的安全域，安全域里包括安全驱动和安全工具。这种架构支持在Guest OS的任意位置部署钩子函数，用以截获目标虚拟机的文件读写、进程切