一種基于虛擬化的高可用系統(tǒng)設(shè)計方法
【專利摘要】本發(fā)明公開了一種基于虛擬化的高可用系統(tǒng)設(shè)計方法，基于虛擬化技術(shù)，實現(xiàn)內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的保護策略，主要依賴于影子頁表管理機制和超調(diào)用機制，以及異常處理邏輯保證正確有效執(zhí)行；提出了基于客戶機異常處理的高可用系統(tǒng)，該系統(tǒng)的整體系統(tǒng)框架主要由用戶操作模塊和內(nèi)核模塊兩類模塊組成。所述高可用系統(tǒng)設(shè)計方法，基于虛擬化技術(shù)利用客戶機的降權(quán)執(zhí)行和資源管理手段，對內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)進行保護，防止惡意程序通過篡改內(nèi)核關(guān)鍵數(shù)據(jù)從而獲得控制權(quán)限的過程，有效地提高操作系統(tǒng)內(nèi)核的可用性，有效地防止rootkit的攻擊，性能損耗小，不依賴硬件架構(gòu)，對應(yīng)用程序和用戶透明。
【專利說明】一種基于虛擬化的高可用系統(tǒng)設(shè)計方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及高可用系統(tǒng)設(shè)計領(lǐng)域，具體涉及一種基于虛擬化的高可用系統(tǒng)設(shè)計方法。
【背景技術(shù)】
[0002]操作系統(tǒng)安全性是影響內(nèi)核可用性的一個方面，通過修改內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)來獲得控制權(quán)限的攻擊方式成為目前Rootkit工具的主要手段之一。操作系統(tǒng)內(nèi)核的可用性決定了系統(tǒng)整體可用性，而安全性是影響可用性的其中一個方面。在Linux內(nèi)核提供可加載模塊機制后(LKM)，在給內(nèi)核提供可擴展性的同時，帶來了一定的安全隱患。在Linux內(nèi)核中Rookit通常基于以下系統(tǒng)特性:
1)SUID/SGID:利用suid可以獲得root用戶權(quán)限來執(zhí)行suid shell ；；
2)系統(tǒng)中運行的大量守護進程(daemon),通常是rootkit攻擊的入口(entry)；
3)獲得root權(quán)限進而通過LKM機制來進入內(nèi)核，破壞系統(tǒng)以及獲得系統(tǒng)關(guān)鍵信息。
[0003]通常典型的Rookit利用守護進程的漏洞，例如perl5.03的緩沖區(qū)溢出，獲得root權(quán)限，進而惡意攻擊程序可以利用可加載模塊的機制，注入Linux內(nèi)核，修改關(guān)鍵數(shù)據(jù)結(jié)構(gòu)或者函數(shù)指針，從而達到利用后門程序進行攻擊的目的。傳統(tǒng)的檢測恢復(fù)機制存在以下兩方面的缺點:第一，恢復(fù)可用手段依賴于檢測，也就是無法阻止破壞事件的發(fā)生。可能在恢復(fù)之前，系統(tǒng)遭受了一定程度影響；第二，檢測和恢復(fù)線程帶來了一定的時間開銷，降低了系統(tǒng)性能。分析只能檢測以及恢復(fù)的根本原因，在于侵入到系統(tǒng)的可加載模塊，具有內(nèi)核其它部分相同的執(zhí)行權(quán)限，因而系統(tǒng)對已經(jīng)加入到內(nèi)核的可加載模塊，不能阻止它執(zhí)行動作，所以只能依賴于檢測-恢復(fù)的策略，以確保對系統(tǒng)關(guān)鍵代碼和數(shù)據(jù)的保護。
[0004]而基于虛擬化技術(shù)，能給這方面的問題帶來另外的解決辦法，因為虛擬化中確?？蛻魴C正確執(zhí)行的基本策略就是降權(quán)執(zhí)行，并且虛擬機管理器具有完全的資源控制權(quán)限，通過客戶機和管理器的異常觸發(fā)和注入手段來保證相互之間的交互，從而確保了客戶機的正確執(zhí)行。

【發(fā)明內(nèi)容】

[0005]針對現(xiàn)有技術(shù)存在的不足之處，本發(fā)明提供了一種基于虛擬化的高可用系統(tǒng)技術(shù)的設(shè)計和實現(xiàn)方法。
[0006]本發(fā)明提供了一種基于虛擬化的高可用系統(tǒng)設(shè)計方法，其解決所述技術(shù)問題采用的技術(shù)方案如下:所述基于虛擬化的高可用系統(tǒng)設(shè)計方法提出了一種高可用系統(tǒng)，該系統(tǒng)基于虛擬化技術(shù)，利用客戶機的降權(quán)執(zhí)行和資源管理手段，對內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)進行保護，防止惡意程序通過篡改內(nèi)核關(guān)鍵數(shù)據(jù)從而獲得控制權(quán)限的過程；
所述基于虛擬化的高可用系統(tǒng)設(shè)計方法，基于虛擬化的高可用技術(shù)，實現(xiàn)內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的保護策略，主要依賴于影子頁表管理機制和超調(diào)用機制，以及異常處理邏輯保證正確有效執(zhí)行；通過客戶機獲得內(nèi)核關(guān)鍵數(shù)據(jù)的地址和域信息，擴展VMCALL異常處理方式，設(shè)計超調(diào)用機制，客戶機通過超調(diào)用機制與宿主機交換數(shù)據(jù)，內(nèi)核模塊獲得需要保護的數(shù)據(jù)相關(guān)信息；并設(shè)置對應(yīng)影子頁表的寫保護權(quán)限；擴充缺頁異常處理程序，確保保護數(shù)據(jù)不被更改的同時，對其它部門的修改無影響，保證客戶機正常有序的執(zhí)行。
[0007]本發(fā)明基于虛擬化的高可用系統(tǒng)設(shè)計方法中，提出的高可用系統(tǒng)是基于客戶機異常處理的高可用系統(tǒng)，該系統(tǒng)的整體系統(tǒng)框架主要由兩類模塊組成，分別是:用戶操作模塊和內(nèi)核模塊；其中，內(nèi)核模塊又包含初始化模塊、可用性處理模塊、注冊庫、異常處理模塊、日志記錄模塊及擴充的KVM異常處理模塊。
[0008]本發(fā)明公開的基于虛擬化的高可用系統(tǒng)設(shè)計方法的有益效果是:
本發(fā)明所述高可用系統(tǒng)設(shè)計方法，基于虛擬化技術(shù)利用客戶機的降權(quán)執(zhí)行和資源管理手段，對內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)進行保護，防止惡意程序通過篡改內(nèi)核關(guān)鍵數(shù)據(jù)從而獲得控制權(quán)限的過程，有效地提高操作系統(tǒng)內(nèi)核的可用性，有效地防止rootkit的攻擊，性能損耗小，不依賴硬件架構(gòu)，對應(yīng)用程序和用戶透明。
【專利附圖】

【附圖說明】
[0009]附圖1為基于客戶機異常處理的整體系統(tǒng)框架；
附圖2為本方明超調(diào)用機制流程圖；
附圖3為本方明獲取影子頁表管理機制流程圖。
【具體實施方式】
[0010]下面通過實施例和附圖，對本發(fā)明所述一種基于虛擬化的高可用系統(tǒng)設(shè)計方法做進一步詳細說明，并不造成對本發(fā)明的限制。
[0011]本發(fā)明的目的是力圖解決操作系統(tǒng)可用性問題，防止惡意程序?qū)?nèi)核關(guān)鍵數(shù)據(jù)進行篡改，在本發(fā)明中針對上述目的，而提出了一種高可用系統(tǒng)，該系統(tǒng)基于虛擬化技術(shù)，利用客戶機的降權(quán)執(zhí)行和資源管理手段，對內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)進行保護，防止惡意程序通過篡改內(nèi)核關(guān)鍵數(shù)據(jù)從而獲得控制權(quán)限的過程。
[0012]為實現(xiàn)上述目的，本發(fā)明所述基于虛擬化的高可用系統(tǒng)設(shè)計方法，基于虛擬化的高可用技術(shù)，實現(xiàn)內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的保護策略，主要依賴于影子頁表管理機制和超調(diào)用機制，以及異常處理邏輯保證正確有效執(zhí)行；通過客戶機獲得內(nèi)核關(guān)鍵數(shù)據(jù)的地址和域信息，擴展VMCALL異常處理方式，設(shè)計超調(diào)用機制，客戶機通過超調(diào)用機制與宿主機交換數(shù)據(jù)，內(nèi)核模塊獲得需要保護的數(shù)據(jù)相關(guān)信息；并設(shè)置對應(yīng)影子頁表的寫保護權(quán)限；擴充缺頁異常處理程序，確保保護數(shù)據(jù)不被更改的同時，對其它部門的修改無影響，保證客戶機正常有序的執(zhí)行。
[0013]本發(fā)明中所實現(xiàn)的內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的保護策略，基于的主要原理包括:
O客戶機降權(quán)執(zhí)行，底層虛擬機管理器具有完全控制能力和數(shù)據(jù)讀寫權(quán)限；
2)客戶機中數(shù)據(jù)的映射和訪問方式基于影子頁表實現(xiàn)，并且影子頁表完全由虛擬機管理器控制；
3)VMM保證客戶機正確運行的基本手段就是通過降權(quán)執(zhí)行引發(fā)客戶機異常，并且提供正常的異常處理邏輯和注入邏輯；
4)通過對關(guān)鍵數(shù)據(jù)頁的寫保護(writeprotection),以控制客戶機中不安全代碼修改關(guān)鍵數(shù)據(jù)結(jié)構(gòu)；
5)Vt規(guī)范支持客戶機和宿主機vmm之間的數(shù)據(jù)交換，為訪問非系統(tǒng)級信息提供可能。
[0014]所述基于虛擬化的高可用系統(tǒng)設(shè)計方法中提出了一種基于客戶機異常處理的高可用系統(tǒng)，附圖1為基于客戶機異常處理的整體系統(tǒng)框架，如圖1所示，所述高可用系統(tǒng)的整體系統(tǒng)框架主要由兩類模塊組成,分別是:用戶操作模塊和內(nèi)核模塊；其中，內(nèi)核模塊又包含初始化模塊、可用性處理模塊、注冊庫、異常處理模塊、日志記錄模塊及擴充的KVM異常處理模塊；各個模塊的功能如下所述:
1)用戶操作模塊:用戶操作模塊主要提供的功能為:獲取客戶機的基本信息，提供日志記錄查詢接口，獲取可用性機制信息，提供可用性設(shè)置接口 ；
2)內(nèi)核模塊部分:內(nèi)核模塊主要包含六個部分:初始化模塊、可用性處理模塊、注冊庫、異常處理模塊、日志記錄模塊以及擴充的KVM異常處理模塊；其中，
a)初始化模塊:通過標準ioctl提供用戶接口，接受用戶傳遞的參數(shù)并進行有效性檢查，根據(jù)處理參數(shù)從注冊庫中找到相關(guān)處理機制的初始化函數(shù)地址，調(diào)用該函數(shù)進行初始化處理過程；
b)可用性處理模塊:為了提高客戶機內(nèi)核高可用而引入的處理邏輯，每一個可用性處理模塊包含三個基本函數(shù):一個是初始化函數(shù)，一個為異常處理函數(shù)，一個是清理函數(shù)；初始化函數(shù)在用戶配置客戶機高可用機制后調(diào)用，用于初始化客戶機相關(guān)信息；異常處理函數(shù)用在客戶機發(fā)生指定異常時，進行處理的調(diào)用函數(shù)；清理函數(shù)用于用戶撤銷虛擬機的可用性設(shè)計后，調(diào)用的清理操作；
c)注冊庫:保存各個處理模塊通過register—ava_process()函數(shù)注冊模塊的信息；包括初始化函數(shù)地址，處理函數(shù)地址、名稱、以及描述等信息；
d)異常處理模塊:擴充的KVM異常處理模塊調(diào)用處理邏輯的統(tǒng)一入口，根據(jù)調(diào)用參數(shù)從注冊庫中找到相關(guān)處理機制的處理函數(shù)地址，調(diào)用該處理函數(shù)進行異常處理化過程；
e)日志記錄模塊:記錄運行過程中的異常發(fā)生及處理的信息；
f)擴充的KVM異常處理模塊:KVM異常處理模塊作為客戶機引起異常退出VMX執(zhí)行環(huán)境的統(tǒng)一出口，根據(jù)異常條件執(zhí)行相關(guān)的處理邏輯；擴充的異常處理模塊，用于引入可用性處理模塊后處理邏輯的擴充。
[0015]超調(diào)用機制使得客戶機和KVM交換非系統(tǒng)級信息，而客戶機數(shù)據(jù)獲取是客戶機信息來源的方式；系統(tǒng)調(diào)用表信息的獲取，主要依賴運行客戶機中的一個模塊，然后通過一定的手段來獲取系統(tǒng)調(diào)用表的首地址。附圖2為本發(fā)明超調(diào)用機制流程圖，如附圖2所示，超調(diào)用機制的具體流程為:首先讀取idtr獲得中斷向量表地址，并計算0x80對應(yīng)系統(tǒng)調(diào)用中斷門，通過中斷門獲得系統(tǒng)調(diào)用處理函數(shù)總?cè)肟?；然后掃描系統(tǒng)調(diào)用函數(shù)，獲得call指令對應(yīng)的參數(shù)，即系統(tǒng)調(diào)用表地址，最后通過VMCALL注入地址信息和域長信息。
[0016]此外，當客戶機信息通過VMCALL注入到內(nèi)核后，由VMCALL擴充的調(diào)用機制來獲得信息和信息設(shè)置；為了保護客戶機關(guān)鍵數(shù)據(jù)結(jié)構(gòu)，必須獲得對應(yīng)的客戶機內(nèi)核數(shù)據(jù)結(jié)構(gòu)的影子頁表，因為只有影子頁表的設(shè)置才會起效。由于針對客戶機內(nèi)核關(guān)鍵數(shù)據(jù)的保護，因此，客戶機信息獲取模塊代表當前進程執(zhí)行的頁表，總可以找到對應(yīng)的客戶機內(nèi)核數(shù)據(jù)的頁表項信息。附圖3為本發(fā)明獲取影子頁表管理機制(影子頁和讀寫設(shè)置)流程圖，如附圖3所示，影子頁表管理機制的具體流程為: 步驟1、通過超調(diào)用傳入系統(tǒng)調(diào)用表地址addr ；
步驟2、讀取客戶機狀態(tài)域的CR3頁表寄存器，存入頁表地址base，并讀取客戶機頁表層級 lever (2=4M, l=4k)；
步驟3、根據(jù)lever和addr計算addr對應(yīng)客戶機頁表項的偏移offset,根據(jù)base和offset得到頁面項pte ；
步驟4、若Lever=I,則通過pte或者客戶機頁gfn ;讀取客戶機影子頁的lever層級rlever,并讀取影子頁表頁目錄指針；
步驟5、根據(jù)rlever和addr計算偏移量soffset spte ；
步驟6、若rlever=l,則設(shè)置spte項寫保護,進而記錄客戶機頁巾貞,影子頁spte以及主機頁Pfn等信息，并記錄設(shè)置的域長；
步驟7、若rlever=l且為大頁面,則返回步驟6執(zhí)行；否則,對于rlever—,設(shè)置base為spte指向的內(nèi)容，并且返回步驟5進行執(zhí)行；
步驟8、若LeVer=2且為大頁面，則進行步驟4到步驟7的執(zhí)行；
步驟9、若Lever不是I也不是2,則設(shè)置base為pte指向內(nèi)容；并返回步驟3進行執(zhí)行。
[0017]實施例:
下面以一個具體實施例來描述實現(xiàn)本發(fā)明所述體系結(jié)構(gòu)的過程:
利用override進程隱藏，根據(jù)其實現(xiàn)原理，通過當前的終端作為后門程序，實現(xiàn)了隱藏進程的目的；
首先，echo $$表明了當前的進程id，在演示案例中，當前進程id是2573，然后再/root/Desktop/ha/rk目錄下，是rootkit override,加載后，切換到/proc文件系統(tǒng)下,通過Is命令可以看到當前進程信息2573可以存在于目錄中，然后在/dev目錄下創(chuàng)建一個新的目錄grid-hide-pid-2573這個過程會觸發(fā)chdir系統(tǒng)調(diào)用，而這個系統(tǒng)調(diào)用也是被重定向，chdir系統(tǒng)調(diào)用會將2573進程信息加入到隱藏隊列中，并且同時隱藏創(chuàng)建的目錄，然后轉(zhuǎn)到/proc文件系統(tǒng)下，則可以發(fā)現(xiàn)2573這個進程相關(guān)的目錄找不見了。這是通過rootkit實現(xiàn)進程隱藏的完整過程；
如果啟動客戶機，加載了 /root/guest_infor_inject目錄下的客戶機信息獲取和注入模塊的話，這么模塊則獲得系統(tǒng)調(diào)用表的信息并且予以保護設(shè)置，再進行上述的攻擊過程，則發(fā)現(xiàn)當前終端的2565進程，不能實現(xiàn)隱藏，從而說明可以防止rootkit的攻擊。
[0018]凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種基于虛擬化的高可用系統(tǒng)設(shè)計方法，其特征在于，所述基于虛擬化的高可用系統(tǒng)設(shè)計方法，基于虛擬化的高可用技術(shù)，實現(xiàn)內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的保護策略，主要依賴于影子頁表管理機制和超調(diào)用機制，以及異常處理邏輯保證正確有效執(zhí)行；通過客戶機獲得內(nèi)核關(guān)鍵數(shù)據(jù)的地址和域信息，擴展VMCALL異常處理方式，設(shè)計超調(diào)用機制，客戶機通過超調(diào)用機制與宿主機交換數(shù)據(jù)，內(nèi)核模塊獲得需要保護的數(shù)據(jù)相關(guān)信息；并設(shè)置對應(yīng)影子頁表的寫保護權(quán)限，擴充缺頁異常處理程序； 所述基于虛擬化的高可用系統(tǒng)設(shè)計方法提出了一種高可用系統(tǒng)，該系統(tǒng)基于虛擬化技術(shù)，利用客戶機的降權(quán)執(zhí)行和資源管理手段，對內(nèi)核關(guān)鍵數(shù)據(jù)結(jié)構(gòu)進行保護。
2.根據(jù)權(quán)利要求1所述的基于虛擬化的高可用系統(tǒng)設(shè)計方法，其特征在于，所述高可用系統(tǒng)為基于客戶機異常處理的高可用系統(tǒng)，其整體系統(tǒng)框架主要由用戶操作模塊和內(nèi)核模塊兩類模塊組成，所述內(nèi)核模塊又包含初始化模塊、可用性處理模塊、注冊庫、異常處理模塊、日志記錄模塊及擴充的KVM異常處理模塊；其中， 1)用戶操作模塊:用戶操作模塊主要提供的功能為:獲取客戶機的基本信息，提供日志記錄查詢接口，獲取可用性機制信息，提供可用性設(shè)置接口 ； 2)內(nèi)核模塊部分:內(nèi)核模塊主要包含六個部分:初始化模塊、可用性處理模塊、注冊庫、異常處理模塊、日志記錄模塊以及擴充的KVM異常處理模塊；其中， 初始化模塊:通過標準ioctl提供用戶接口，接受用戶傳遞的參數(shù)并進行有效性檢查，根據(jù)處理參數(shù)從注冊庫中找到相關(guān)處理機制的初始化函數(shù)地址，調(diào)用該函數(shù)進行初始化處理過程； 可用性處理模塊:為了提高客戶機內(nèi)核高可用而引入的處理邏輯，每一個可用性處理模塊包含三個基本函數(shù):一個是初始化函數(shù)，一個為異常處理函數(shù)，一個是清理函數(shù)；初始化函數(shù)在用戶配置客戶機高可用機制后調(diào)用，用于初始化客戶機相關(guān)信息；異常處理函數(shù)用在客戶機發(fā)生指定異常時，進行處理的調(diào)用函數(shù)；清理函數(shù)用于用戶撤銷虛擬機的可用性設(shè)計后，調(diào)用的清理操作； 注冊庫:保存各個處理模塊通過register—ava_process ()函數(shù)注冊模塊的信息；包括初始化函數(shù)地址，處理函數(shù)地址、名稱、以及描述等信息； 異常處理模塊:擴充的KVM異常處理模塊調(diào)用處理邏輯的統(tǒng)一入口，根據(jù)調(diào)用參數(shù)從注冊庫中找到相關(guān)處理機制的處理函數(shù)地址，調(diào)用該處理函數(shù)進行異常處理化過程； 日志記錄模塊:記錄運行過程中的異常發(fā)生及處理的信息； 擴充的KVM異常處理模塊:KVM異常處理模塊作為客戶機引起異常退出VMX執(zhí)行環(huán)境的統(tǒng)一出口，根據(jù)異常條件執(zhí)行相關(guān)的處理邏輯；擴充的異常處理模塊，用于引入可用性處理模塊后處理邏輯的擴充。
3.根據(jù)權(quán)利要求1所述的基于虛擬化的高可用系統(tǒng)設(shè)計方法，其特征在于，所述超調(diào)用機制的具體流程為:首先讀取idtr獲得中斷向量表地址，并計算0x80對應(yīng)系統(tǒng)調(diào)用中斷門，通過中斷門獲得系統(tǒng)調(diào)用處理函數(shù)總?cè)肟?；然后掃描系統(tǒng)調(diào)用函數(shù)，獲得call指令對應(yīng)的參數(shù)，即系統(tǒng)調(diào)用表地址，最后通過VMCALL注入地址信息和域長信息。
4.根據(jù)權(quán)利要求1所述的基于虛擬化的高可用系統(tǒng)設(shè)計方法，其特征在于，所述影子頁表管理機制的具體流程為: 步驟1、通過超調(diào)用傳入系統(tǒng)調(diào)用表地址addr ；步驟2、讀取客戶機狀態(tài)域的CR3頁表寄存器，存入頁表地址base，并讀取客戶機頁表層級 lever (2=4M, l=4k)； 步驟3、根據(jù)lever和addr計算addr對應(yīng)客戶機頁表項的偏移offset,根據(jù)base和offset得到頁面項pte ； 步驟4、若Lever=I,則通過pte或者客戶機頁gfn ;讀取客戶機影子頁的lever層級rlever,并讀取影子頁表頁目錄指針； 步驟5、根據(jù)rlever和addr計算偏移量soffset spte ； 步驟6、若rlever=l,則設(shè)置spte項寫保護,進而記錄客戶機頁幀,影子頁spte以及主機頁Pfn等信息，并記錄設(shè)置的域長； 步驟7、若rlever=l且為大頁面,則返回步驟6執(zhí)行；否則,對于rlever—,設(shè)置base為spte指向的內(nèi)容，并且返回步驟5進行執(zhí)行； 步驟8、若LeVer=2且為大頁面，則進行步驟4到步驟7的執(zhí)行； 步驟9、若Lever不是I也不是2,則設(shè)置base為pte指向內(nèi)容；并返回步驟3進行執(zhí)行。
【文檔編號】G06F21/55GK103996004SQ201410259847
【公開日】2014年8月20日 申請日期:2014年6月12日 優(yōu)先權(quán)日:2014年6月12日
【發(fā)明者】劉璧怡, 宋立偉, 何志平, 周雄, 吳楠 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司