基于Xen的虚拟机安全监控研究
Xen是运行于X86体系结构上的虚拟机监控器,它支持多个客户操作系统以高性能和强隔离性同时运行,也是遵循GNU许可的开源软件.随着现代计算机的发展和Intel X86体系结构的流行,Xen成为一个研究热点.虽然Xen实现了虚拟机间的独立性并且提供了一些安全机制,不过仍然存在一些漏洞,容易被人用来造成系统损害,因此对DomU的操作应该加以控制和限制.本文在Dom0中设计了一种安全监控模块,主要设计了IO读写监控、内存监控和宿主系统监控的模型,其中IO读写监控的具体流程为DomU产生文件读写操作时,文件监控模块将操作截获并将请求添加到JO共享环中;然后,将IO数据放入授权表中,等待Dom0来取;一切准备就绪后,通过事件通道通知Dom0开始处理请求。Dom0的监控模块收到事件通道的通知,知道某个DomU有读写操作;然后由监控模块从IO共享环中取出IO请求,在明白DomU要做什么后,将授权表中的数据取出进行处理。这里设计一个策略判定模块,将读写操作的策略放入其中,当有读写请求时,对该请求进行判定;当请求合法时,直接放行,将结果返回给Dom0,当请求不合法时,将危险信息传递给管理员,由管理员进行判断,放行或者禁止操作,最终由管理员将判定结果返回到Dom0中。同时,通过Dom0中的监控显示模块可以实时观察每个DomU的读写状态,主要可以观察到DomU读写文件的状态是否正常。数据处理完成后,Dom0的监控模块将处理后的数据放入授权表,将信息放入IO共享环;然后通过事件通道发送通知给DomU的文件监控模块,告知处理完成了。DomU的监控模块收到事件通道的通知,从IO共享环中取出响应,根据返回的响应知道该读写操作是否可行;可行的操作进行正常读写,不可行的对用户进行报错响应。
虚拟机 安全监控 模块设计 Xen通信
周明 谌腾
电子科技大学电子科学技术研究院 成都611731
国内会议
综合电子系统技术教育部重点实验室暨四川省高密度集成器件工程技术研究中心2012学术年会
成都
中文
485-490
2012-12-22(万方平台首次上网日期,不代表论文的发表时间)