一种基于内存在线解析的虚拟机无代理监控方法及装置制造方法及图纸

本发明专利技术属于云计算服务器管理技术领域，具体是一种基于内存在线解析的虚拟机无代理监控方法及装置。包括在服务器中设置监控虚拟机接收监控策略；被监控虚拟机因正常退出事件陷入到虚拟化层时，根据监控策略对被监控虚拟机执行内存分析；监控虚拟机定时读取出分析结果，对用户进行多维展示。本发明专利技术的监控方法，安全监控模块全部部署在虚拟机外部的虚拟化层，有效地避免了虚拟机内部恶意软件的各种可能干扰，具有高可靠和高安全性。由于不设置其他的硬件陷入条件，本方法不会引起除正常虚拟化之外的多余硬件陷入，避免了频繁的根模式与非根模式的切换损失。借助于虚拟机创建的动态性，本方法能够很好的进行扩展，监控服务能力适应性强。

A virtual machine independent agent monitoring method and device based on memory online parsing

The invention belongs to the field of cloud computing server management technology, in particular to a virtual machine non agent monitoring method and device based on memory online parsing. Including setting up monitoring virtual machine monitoring strategy in the receiving server; monitoring virtual machine for normal exit events into the virtualization layer, according to the monitoring the execution of virtual machine memory analysis monitoring strategy; remove the analysis results of monitoring virtual machine for users to read, multi-dimensional display. The monitoring method and the security monitoring module of the invention are all deployed in the virtualization layer outside the virtual machine, which effectively avoids various possible interference of the internal malware of the virtual machine, and has high reliability and high security. Because no other hardware is trapped, the method does not cause redundant hardware except for normal virtualization, and avoids frequent root mode and non root mode switching losses. By virtue of the dynamics created by virtual machine, this method can be extended very well, and the adaptability of monitoring service is strong.

【技术实现步骤摘要】
一种基于内存在线解析的虚拟机无代理监控方法及装置
本专利技术属于云计算服务器管理
，具体是一种基于内存在线解析的虚拟机无代理监控方法及装置。
技术介绍
随着云计算的深入发展及应用，针对虚拟机的监控一直是技术难点和热点。虚拟机安全监控的技术实现方法可以分为两大类：外部监控和内部监控，两者差异在于内部监控需要在虚拟机内部署监控代理。开源OpenStack中的Ceilometer计量与监控服务，采用了外部监控的模式实现对虚拟机、物理服务器等资源的监控。知名云厂商如亚马逊AWS、国内阿里云等都提供虚拟机监控服务，采集的指标主要有CPU使用率、网络负载等常规指标，以及使用内部监控代理程序采集虚拟机内存使用率、交换空间、磁盘空间利用率、TCP连接数等。上述虚拟机监控服务，一方面缺少在虚拟化层对虚拟机内部进程、驱动、内核等级别的深入监控能力；另一方面，由于被监控虚拟机内部必须安装相应的监控代理组件，还需进一步保证监控组件自身的安全性和可靠性。中国专利申请201410252843.0，虚拟机监控方法及装置，公开了一种虚拟机监控方法，该方法借助于位于虚拟机内部的系统调用拦截模块，拦截操作系统内部的所有进程发起的系统调用请求，同时记录发起调用的进程信息。依据监控配置，如果发起系统调用的进程是需要监控的进程，就把系统调用的开始以及结束时间等信息记录下来，从而实现对虚拟机内部特定进程信息的详细监控。上述方案严重依赖于虚拟机内部的系统调用拦截模块，在虚拟机内部存在恶意代码的情况下，无法保证对虚拟机内部特定进程监控的可靠性和安全性。中国专利申请，201210587189.X，虚拟机监控方法和系统，该方法主要在虚拟机化层，对需要虚拟化层执行的特殊指令，插入监控断点，从而实现对虚拟机执行流程的拦截，从而获取虚拟机当前执行信息。上述方案架构在指令的翻译阶段，强行插入特殊的监控指令，实现控制流的跳转，增加了虚拟机运行的开销，而且，在基于硬件虚拟化的平台上，特权指令由处理器提供支持，不需要翻译过程。中国专利申请，200910077241.5，供一种计算机及异常进程的检测方法，该方法提出了一种利用当前运行的CPU寄存器以及段寄存器和KTHREAD等内核结构体，在VMM层获取进程标识等当前运行进程信息，同时依据该进程信息，进一步得到虚拟机内部的进程链表，从而获取虚拟机当前运行进程，判断被隐藏的异常进程。上述方案中，在基于EPT/NPT硬件辅助虚拟化的虚拟化系统下，由于有硬件支持，虚拟机内部的进程切换并不会陷入到虚拟化平台，避免引起损失。所以，这种每次进程切换均陷入的方式会影响整理性能；另一方面，内核进程双向链表会被内核态恶意代码破坏，进而影响虚拟机当前实时运行进程列表的准确性。
技术实现思路
本专利技术针对上述不足，提出一种基于内存在线解析的虚拟机无代理监控方法，在虚拟化层，通过透明地在线解析虚拟机内存，实时地获取虚拟机当前真实运行时视图。本专利技术的基于内存在线解析的虚拟机无代理监控方法，包括：S1，在服务器中设置监控虚拟机，监控虚拟机接收用户输入的监控策略，并将监控策略进行存储；S2，被监控虚拟机因正常退出事件陷入到虚拟化层时，虚拟机监视器根据监控策略对被监控虚拟机执行内存分析，将被监控虚拟机实时内存分析结果进行存储；S3,监控虚拟机定时读取出分析结果，对用户进行多维展示。进一步地，S1步中还包括：S11，分配监控虚拟机共享内存；S12，通过系统地址重映射，使应用层可以读取监控虚拟机共享内存中的存储信息；S13，通过VMCALL指令使虚拟化层可以读取监控虚拟机共享内存中的存储信息。进一步地，S2步中的虚拟机内存分析结果存储于监控虚拟机共享内存中，S3步中监控虚拟机定时读取出分析结果从监控虚拟机共享内存中读取。进一步地，S3步中，监控虚拟机将被监控虚拟机实时内存分析结果先存入到分析结果存储模块中，再从分析结果存储模块中取出，对用户进行多维展示。本专利技术还提出了一种基于内存在线解析的虚拟机无代理监控装置，包括：设置于服务器内用于监控被监控虚拟机的监控虚拟机；和设置于虚拟化层的虚拟机监视器；所述监控虚拟机设置用户监控策略管理模块，用于接收和下发用户输入端输入的监控策略；所述监控虚拟机设置监控策略存储模块，用于存储用户输入端输入的监控策略；所述监控虚拟机设置安全监控模模块，用于获取和下发监控策略和获取被监控虚拟机相关运行情况的分析结果；所述虚拟机中设置显示暂存模块，用于存储分析结果存储模块中需要显示的分析结果；所述虚拟机中设置展示警告模块，用于将需要展示的分析结果对用户进行展示；所述虚拟机监视器中设置用户监控策略管理模块，用于对各被监控虚拟机内存进行读取；所述虚拟机监视器中设置虚拟机内存实时在线分析模块，用于对各被监控虚拟机内存进行分析；所述虚拟机监视器中设置陷入处理接口模块，用于连接安全监控模块和监控虚拟机共享内存模块，以及被监控虚拟机因正常退出事件陷入到虚拟化层时，控制虚拟机内存实时在线分析模块对被监控虚拟机内存进行分析。进一步地，安全监控模块中设置策略分发模块，用于接收用户监控策略管理模块下发的监控策略，并下发；安全监控模块中设置辅助内核模块，用于通过系统地址重映射使应用层直接访问监控虚拟机共享内存模块，以及，采用VMCALL指令将被监控虚拟机共享内存信息传递到虚拟化层，使虚拟化层可以访问监控虚拟机共享内存模块；安全监控模块中设置分析结果存储模块，用于存储分析结果。进一步地，监控虚拟机共享内存模块中设置分析结果存储单元，用于存储被监控虚拟机内存分析结果；监控虚拟机共享内存模块中设置监控策略存储单元，用于存储下发的监控策略；监控虚拟机共享内存模块中设置被监控虚拟机基本信息存储单元，用于存储被监控虚拟机的基本信息。本专利技术的基于内存在线解析的虚拟机无代理监控方法，基于内存实时在线解析的无代理模式虚拟机监控服务框架，安全监控模块全部部署在虚拟机外部的虚拟化层，有效地避免了虚拟机内部恶意软件的各种可能干扰，具有高可靠和高安全性。由于不设置其他的硬件陷入条件，本方法不会引起除正常虚拟化之外的多余硬件陷入，避免了频繁的根模式与非根模式的切换损失。借助于虚拟机创建的动态性，本方法能够很好的进行扩展，保证监控服务能力随着压力而不断提升。附图说明图1为本专利技术系统示意图图中，1-监控虚拟机，2-虚拟机监视器，3-第1虚拟机，4-第2虚拟机，5-第n虚拟机，6-用户输入，101-显示暂存模块，102-展示警告模块，103-安全监控模块，104-用户监控策略管理模块，105-监控策略存储模块，201-陷入处理接口模块，202-监控虚拟机共享内存模块，203-虚拟机内存实时在线分析模块，204-虚拟机内存读写接口模块，205-第1虚拟机内存，206-第2虚拟机内存，207-第n虚拟机内存，1031-分析结果存储模块，1032-策略分发模块，1033-辅助内核模块，2021-被监控虚拟机基本信息存储单元，2022-监控策略存储单元，2023-分析结果存储单元。具体实施方式结合图1，本专利技术的基于内存在线解析的虚拟机无代理监控方法，包括：S1，在服务器中设置监控虚拟机1，在同一台物理服务器中，可以设置一台监控虚拟机1，也可以设置多台监控虚拟机1。。被监控虚拟机1包括第1虚本文档来自技高网...

【技术保护点】
一种基于内存在线解析的虚拟机无代理监控方法，其特征在于，包括：S1，在服务器中设置监控虚拟机，监控虚拟机接收用户输入的监控策略，并将监控策略进行存储；S2，被监控虚拟机因正常退出事件陷入到虚拟化层时，虚拟机监视器根据监控策略对被监控虚拟机执行内存分析，将被监控虚拟机实时内存分析结果进行存储；S3,监控虚拟机定时读取出分析结果，对用户进行多维展示。

【技术特征摘要】
1.一种基于内存在线解析的虚拟机无代理监控方法，其特征在于，包括：S1，在服务器中设置监控虚拟机，监控虚拟机接收用户输入的监控策略，并将监控策略进行存储；S2，被监控虚拟机因正常退出事件陷入到虚拟化层时，虚拟机监视器根据监控策略对被监控虚拟机执行内存分析，将被监控虚拟机实时内存分析结果进行存储；S3,监控虚拟机定时读取出分析结果，对用户进行多维展示。2.根据权利要求1所述的基于内存在线解析的虚拟机无代理监控方法，其特征在于，S1步中还包括：S11，分配监控虚拟机共享内存；S12，通过系统地址重映射，使应用层可以读取监控虚拟机共享内存中的存储信息；S13，通过VMCALL指令使虚拟化层可以读取监控虚拟机共享内存中的存储信息。3.根据权利要求2所述的基于内存在线解析的虚拟机无代理监控方法，其特征在于，S2步中的虚拟机内存分析结果存储于监控虚拟机共享内存中，S3步中监控虚拟机定时读取出分析结果从监控虚拟机共享内存中读取。4.根据权利要求2或3所述的基于内存在线解析的虚拟机无代理监控方法，其特征在于，S3步中，监控虚拟机将被监控虚拟机实时内存分析结果先存入到分析结果存储模块中，再从分析结果存储模块中取出，对用户进行多维展示。5.一种基于内存在线解析的虚拟机无代理监控装置，其特征是包括：设置于服务器内用于监控被监控虚拟机的监控虚拟机；和设置于虚拟化层的虚拟机监视器；所述监控虚拟机设置用户监控策略管理模块，用于接收和下发用户输入端输入的监控策略；所述监控虚拟机设置监控策略存储模块，用于存储用户输入端输入的监控策略；所述...

【专利技术属性】
技术研发人员：陶术松，尹学渊，陈林，鲁虹伟，李辉，
申请(专利权)人：成都虫洞奇迹科技有限公司，
类型：发明
国别省市：四川,51