VMI技术研究综述.docx

1、VMI技术研究综述VMI技术研究综述姜秋生， 容晓峰（西安工业大学 运算机科学与工程学院，西安 710032)摘 要：虚拟机自省（virtual machine introspection，VMI）技术充分利用虚拟机治理器的较高权限，能够实现在单独的虚拟机中部署平安工具对目标虚拟机进行监测，为进行各类平安研究工作提供了专门好的解决途径，从而随着虚拟化技术的进展成为一种应用趋势。（目的）为了更深切的明白得和应用VMI技术，本文对VMI技术进行了分析研究。（方式）提出了VMI的概念，论述其实现原理和实现方式；详细地介绍了VMI技术在不同领域的研究进展，例如入侵检测系统、防火墙、歹意代码检测系统、可

2、信运算机、系统状态监测和虚拟网关，比较VMI技术在不同研究功效中的实现特点；介绍了VMI技术面临的语义鸿沟问题的研究;（结论）最后对VMI技术研究进行总结和展望。关键字：虚拟机自省；虚拟化技术；虚拟机治理器；语义鸿沟 A Survey on VMI Technology Jiang Qiusheng，Rong Xiaofeng( School of computer science and Engineering, Xian Technological University ,Xian710032, China)Abstract: Because of VMI (Virtual Machine

3、 Introspection) technology make full use of the Virtual Machine manager of higher authority, it can monitor target Virtual Machine in a separate Virtual Machine which deploying security tools, and it provide a good solution to all kinds of security research work, so with the development of virtualiz

4、ation, it becomes a kind of application trend.(Objective)In order to understand and apply VMI technology better, This paper analyzes on VMI technology research, (Method)put forward the concept, and discusses the realization of the principle and VMI implementation; Introduced the technical research s

5、ituation of VMI in different fields in detail, such intrusion detection system, firewall, malicious code detection system, credible computer research, the system state monitoring and virtual gateway, compared the VMI characteristics in different research application ;Introduces the semantic gap tech

6、nology which VMI is facing;(Conclusion) finally summarized and looking future work of VMI technology research .Keywords: VMI；Virtualization technology； Virtual machine manager；Semantic gap1 虚拟化技术虚拟化技术要紧指计算系统虚拟化和与之相关的虚拟机技术。在运算机领域中虚拟化技术与真实计算相反，在真实计算中咱们希望用运算机运行某个程序或软件，那么需要一台知足软件运行需求的运算机硬件，然后在该硬件上安装操作系统

7、，配置运行环境，最后才能运行软件，这时的计算是成立在真实的运算机硬件基础上的。而虚拟计算技术强调为需要运行的程序或软件提供所需要的运行环境，采纳了虚拟计算技术以后，程序或软件的运行不必然独享底层的物理计算资源，对程序来讲它只是运行在一个与真实计算完全相同的执行环境，而底层硬件可能完全不同。虚拟化技术改变了系统软件与底层硬件紧耦合的方式。20世纪60年代虚拟化技术开始正式进展，初期虚拟化技术只是应用在大型主机上，对相对昂贵的硬件资源进行充分利用，使得更多的用户能够更好地共享运算机资源。随着IT硬件的丰硕多样化和一些软件公司推出不同的虚拟化软件后，虚拟化技术的应用范围大幅度扩展。运算机系统变得愈来

8、愈壮大的同时也愈来愈难治理，运算机从以前的计算为中心向以用户为中心的效劳计算过渡。人们更关切运算机系统能够为用户提供如何的接口和效劳，以适应用户复杂和多样化的需求。由于运算机系统虚拟化技术能够屏蔽底层复杂的物理环境，又能够为用户提供可配置的利用环境，就成为研究热点。虚拟化技术进展进程中显现软件解决方案，它是指以虚拟机治理器为中心使得PC效劳平台实现虚拟化。这种纯软件的完全虚拟化模式中，每一个客户机操作系统取得的关键平台资源都需要VMM操纵，由它分派，以幸免发生冲突。这种方式需要采纳二进制转换来操作，其转换的开销大大降低了完全虚拟化的性能。后来显现半虚拟化技术，需要对客户机操作系统进行代码级的修

9、改，从而为操作系统提供新的接口，以使新的、定制的客户操作系统取得额外的性能和高扩展性，可是这种修改超级繁琐，会带来系统指令级别冲突和运行效率的问题。随着虚拟化技术走到了硬件支持的时期，使得半虚拟化障碍取得解决。硬件虚拟化技术确实是把纯软件虚拟化技术的各项功能用硬件电路一一实现。例如Intel的VT技术和AMD的SVM技术在硬件级别提供了对虚拟化的支持，这些支持冲破X86平台上进行虚拟化的瓶颈。从虚拟机实现所采纳的抽象层次的角度对虚拟化系统分类：指令级虚拟化、硬件级虚拟化、操作系统级虚拟化、编程语言级虚拟化、程序库级虚拟化。虚拟化技术研究内容包括对计算系统的虚拟化，用户利用环境的虚拟化，虚拟化系

10、统的平安可信问题，虚拟计算系统的性能评测的理论和方式等。虚拟化平台的隔离性带来平安优势，已经被普遍利用以增强运算机系统的平安性，其大体思想是利用虚拟化技术将平安软件与被爱惜的软件系统隔离开，同时基于虚拟机监控器监控上层软件和操作系统的行为，使平安软件没必要依托于操作系统内核的平安性，同时虚拟机提供的强隔离性也保证了平安软件自身的平安。2 VMI概念在虚拟机外部监控虚拟机内部运行状态的方式被称为虚拟机自省(virtual machine introspection,简称VMI).VMI许诺特权域查看非特权域的运行状态，并能取得被监控虚拟机运行状况相关的状态数据，这些数据包括内存利用情形，磁盘空间

11、的利用情形，和操作系统日记文件的数据等等。图1 虚拟机自省在虚拟平台的位置 The position of vmi in the virtualization platform 2003年NDSS上发表的一篇论文“A virtual machine introspection based architecture for intrusion detection”，提出了VMI的概念，以后关于VMI的研究普遍开展起来。在这篇论文中如此概念VMI：以分析虚拟机中运行的软件为目的，在虚拟机外部监测虚拟机的方式。在这篇文章中要紧利用VMM即虚拟机治理器实现VMI技术。VMM作为运行在底层硬件上的软件，

12、是一个轻量级的操作系统，提供了操作虚拟机的各类接口。将被监视操作系统（主机）运行在一个虚拟机，VMM能够直接监测那个虚拟机的硬件状态，VMM能够干与被监视主机的架构接口，通过监视硬件和软件级事件提供比一般的操作系统级机制更好的监控能力。VMM对cpu和内存进行虚拟，它能够进入虚拟机的所有状态，例如CPU中的状态，内存，所有的I/O设备状态。其实在VMI概念正式提出以前，VMI的思想已经在运算机系统的开发应用中被采纳。VMI实质上是对运算机操作系统的运行状态的监视。初期咱们在虚拟机中部署一个监视程序，对虚拟机和其中运行的软件或程序进行监视，这时并无利用到虚拟化技术的优势，那个监视程序与咱们一般开

13、发的应用程序一样，只只是它的职责是监视虚拟机的状态。随着虚拟化技术的进展，直接在虚拟机内部部署监视程序的方式不靠得住，这时将那个监视程序作驱动的形式实施在虚拟机的内核中，这比适才的方式更靠得住一些。真正利用虚拟化平台优势进行VMI技术的实现是在虚拟机治理器中实施监视程序，在被监视虚拟机的操作系统上设置钩子函数，利用那个钩子函数进行状态信息的获取，钩子函数将截取的信息交给虚拟机治理器来处置。可是钩子函数容易被解决，最后VMI技术的实现就纯粹依托于VMM了，这时VMI的概念才正式被提出。VMM作为虚拟化平台上治理虚拟机的治理软件，它负责分派各个虚拟机资源利用，虚拟机的调度等等，它能够监视到虚拟机的

14、全数状态，这种实施方式平安性最高。此刻提到的VMI技术大体上确实是指依托VMM来实施。3 VMI的实现方式 VMI的实现方式要紧有四种，第一种是基于主机的VMI，这种方式是在虚拟平台上的VM中置入监视代理如图2（a）所示。这种方式的特点是需要在目标VM内核之上运行与一般应用相似的监视程序实施VMI，即在虚拟平台上的VM中置入监视代理。由于直接运行在被监视虚拟机内部，因此它容易被解决者解决，易被旁路或被操纵。可是它的最大的优势是语义精准，因为在本机实施因此效率高。这种VMI实现方式并未应用到虚拟化技术的优势，虚拟化技术的应用能够实现平安的要求，而这种方式在被监控虚拟机中增加一个监控程序，来取得被

15、监视虚拟机的信息，包括内存表，注册表，等等，这是低级的VMI应用，实现简单。可是这种方式下那个监控程序可能会被歹意软件窜改，有专门大的平安隐患。第二种是内核驱动方式实施VMI如图2（b）所示，将VMI以驱动方式置于目标VM的内核中，比第一种方式加倍靠得住。但仍有可能被解决者操纵，因为仍然是位于目标VM中，与一般操作系统类似，并未利用虚拟化平台的优势。这种实现方式是第一种的改良，必然程度上提高了平安性能。可是由于实现监视功能的代理程序仍然在被监视主机内部，因此仍是有可能被歹意软件窜改。第三种方式是基于trap、断点或rollback方式实施VMI，类似于利用钩子函数，只只是捕捉钩子是在hyper

16、visor层，如此利用虚拟化平台的特点，由于虚拟化技术对ring级的利用，使运行于上层VM中的解决程序无法对底层VMM实施操纵，使解决者解决难度增加。如图2（c）所示。这种VMI实现方式通过添加Hooks挂钩到VMM上，使在VMM中的自省库通过挂钩函数取得被监视虚拟机的状态。由于VMM这层治理权限的操纵，平安性能取得很实际的提高。最后一种方式如图2(d)所示，不需要在VMM之外做监控代理，直接由VMM实施。该方式的益处很明显，平安性能是最高的。不足的地方在于其监控能力：由于未在VM中放置任何代理，尽管VMM能够对VM进行完全操纵，但操纵粒度不行把握。这种实现方式被称为VMI技术实现的最终方式，

17、这种方式VMI仅仅与VMM提供的接口有关，关于被监视虚拟机的状态检测中，利用接口取得信息，可是在被监视主机中没有相呼应的功能点，获取信息的粒度就不行把握，需要额外在VMM接话柄现中加以规定。而且由于VMI技术实施在VMM基础上，VMM取得的虚拟机运行状态信息与直接应用操作系统提供的效劳取得的信息语义之间存在一个映射解析的进程，这确实是语义鸿沟的问题。 图2（a）基于主机的虚拟机自省 图2（b）基于内核驱动的虚拟机自省(a) Host-based vmi Fig. 2(b)Kernal-drive based vmi 图2（c）基于断点的虚拟机自省 图2（d）基于VMM的虚拟机自省 Fig. 2

18、(c) Trap/inspect based vmi Fig. 2(d) VMM based vmi4 VMI技术研究现状随着VMI技术研究的开展，研究人员在网络平安中的不同领域研究VMI技术。.LiveWire是基于VMI的入侵检测架构。以往的入侵检测系统的设计有两种选择，一种是基于主机的IDS (intrusion detection system)，入侵检测系统在主机内部，它能够对主机运行情形有一个比较好的了解，关于检测处置容易实现，可是容易受到解决。一种是基于网络的IDS，入侵检测系统在网络中，耐解决，可是不能较好的了解主机的运行情形，实现复杂。为了解决那个问题，综合两种设计的优缺点，

19、提出了利用VMM（虚拟机治理器）的入侵检测架构。将入侵检测系统从被监视主机中分离出来，利用虚拟化平台优势提供了壮大的隔离，使得耐解决性能提高，可是关于被监视主机的运行情形仍然有一个比较好的了解。将入侵检测系统部署安装在一个平安的虚拟机中，被监视主机系统安装在另一个虚拟机中，利用虚拟化平台的隔离性，将其与受要挟系统隔离开，难于解决。在对被监视主机的监视中，利用VMI技术，仍然专门好的把握被监视主机的运行情形。这就结合了基于主机的IDS和基于网络的IDS的优势。 图3 基于虚拟机自省的入侵检测系统结构 VMI-Based IDS Architecture基于VMI的入侵检测系统的结构：右边是运行被

20、监视主机的虚拟机，左侧的是基于VMI的入侵检测系统的要紧部份。操作系统接口库通过说明VMM输出的硬件状态对虚拟机提供操作系统级别的了解。策略引擎由一个一般的框架和一个策略模块组成，前者用于成立策略，后者实施具体的入侵检测策略。虚拟机监视器提供给分离的IDS和被监视虚拟机一个一起的底层，而且许诺IDS检测虚拟机的状态。VMM还许诺IDS干与用户操作系统或用户应用程序和虚拟硬件之间的彼此作用。VMI技术在LiveWire中实现是利用的VMM提供的接口，在操作系统中通过设置陷阱/断点进入VMM级别进行操作。一样的，Psyco-Virt和IntroVirt也是利用虚拟化技术和VMI技术结合基于主机和基

21、于网络的入侵检测系统的优势，研究的基于VMI的入侵检测系统。这几种入侵检测策略中VMI技术的应用在于取得被监视主机的状态，都充分利用VMI技术实现的第三种方式，在系统中设置断点的方式实施VMI。这种方式利用了虚拟化平台的隔离性优势，利用VMM的特权操作，在VMI概念提出后的前期研究中被普遍采纳。.VMWall是利用虚拟机结合VMI技术实现的防火墙。以往的网络防火墙采取的是粗糙的策略，不能专门好的观看被监视主机的状态，可是平安性比较高，能够避免被窜改。而基于主机的防火墙具有良好的细粒度策略，对被监视主机的状态拥有专门好的观看，可是不能避免被窜改。VMWall利用虚拟化平台的隔离性，将防火墙实施在

22、平安的虚拟机中，利用VMI技术监视其他虚拟机，对被监视虚拟机的状态拥有专门好的把握。VMWall是基于虚拟化的防火墙，第一防窜改已经能够实现。将防火墙移到一个平安的虚拟机中，与受要挟的系统通过虚拟机的隔离进行分开，保证了必然的平安，达到防窜改。用户系统所在的VM中IP/port与通信进行之间的联系要用VMI来解决，它通过直接的内存检查，Xen提供低级API许诺dom0映射domU的任意作为共享内存的内存页。VMwall利用XenAccess的API映射dom0内的domU内核的原始内存页。然后，它成立更高层次的内存抽象，如总结构和链接的数据类型，利用已知的客户机操作系统的内核编码语义从原始的内

23、存页的内容取得信息。VMWall利用高层次的抽象来确信执行在客户虚拟机中的应用程序如何利用网络资源。.VMWather应用VMI技术进行防歹意软件系统的研究，将防歹意软件系统爱惜在一个平安的虚拟机中（in-the-box），这利用了虚拟化技术的隔离性；利用VMI技术在被监视虚拟机外部进行监视（out-the-box）。同时采纳了用户视图投影技术解决了VMI技术中产生的语义鸿沟问题。VMWather将防歹意软件系统与被监视的虚拟机分离开，使得虚拟机内部的歹意软件进程很难干扰VMWather的活动。它利用虚拟机自省取得低级（虚拟机治理器级）的虚拟机状态，而不依托虚拟机中的任何设备，这确实是VMWa

24、ther的非入侵性。虚拟机治理器提供了虚拟机治理器级别的虚拟机状态的抽象，通过虚拟机自省取得的虚拟机状态有注册表、内存和磁盘。开源的虚拟机治理器许诺完全访问低级虚拟机状态和事件，它通常会授予一个独占访问权限，以确保状态的一致性。因此VMWather利用虚拟机自省取得虚拟机状态就有两种解决方案，一种方式是通过当前系统备份软件,即利用卷影拷贝效劳的访问锁定的文件，确实是说能够复制锁定的文件， VMwatcher访问复制的文件取得VM状态；另一个方式确实是修改操作系统内核来开发设备驱动,这种方式许诺VMwatcher直接通过设备驱动程序读取锁定的文件。而VMWatcher要实现非入侵性就可不能去修改

25、锁定的文件。因此VMWather会采纳第一种方式，它充分利用libxc库，通过xc_map_foreign_range()那个API映射其物理内存,来访问虚拟机的地址空间，然后通过映射的内存读取相应的内容。能够看到从VMWall开始的对VMI技术的研究应用中，VMI的实现方式转变成第四种实现方式，即基于VMM的实现方式。因为VMM的高特权性，与底层物理硬件紧密结合性高，VMM治理着运行虚拟化平台中运行的虚拟机，通过这种方式实施VMI，能够一方面充分利用虚拟化平台隔离性的优势，又利用VMM平安的优势。因此这种实现方式在后续研究中被普遍采纳。.在可信运算机研究中，Terra在每一个隔离的虚拟机中利

26、用一个可信的VMM作为防窜改的硬件平台的一部份，Terra许诺不同平安需求的应用程序运行在一般的硬件上，Terra上的应用程序就像运行在独立的，专用的，防窜改的硬件平台上，利用VMI进行监控。Terra将一个个应用程序放在单独的虚拟机中，这些单独虚拟机被称为“封锁的盒子“，通过在硬件平台上的驱动程序、虚拟机治理器高特权访问性，对虚拟机状态进行获取，从而识别这些虚拟机中的软件状态，而这些独立的应用程序互不干扰，保证了平安性。.Revirt通过VMI技术对系统日记文件进行观看，并具有回放能力，关于系统事件的重现超级重要。XenLog一样利用VMI技术对系统日记文件进行查看，取得系统运行进程中产生的

27、一系列信息。Assertion Checker对内存和注册表进行监视，取得相关信息，对系统进行监控。在国内，基于虚拟化技术的歹意软件行为分析的研究中，提出了一种基于硬件辅助虚拟化技术的歹意软件行为分析系统THVA。THVA充分利用虚拟机治理器关于虚拟机的系统操纵权优势，实现虚拟机自省来监视虚拟机中的歹意软件行为。在THVA研究中的虚拟机自省模块，实现方式是通过访问FS寄放器取得用户操作系统内部活动进程的映像文件名，取得 进程的起始点和终止点。FS寄放器中寄存的是指向处置器操纵区的基址指针，通过基址指针访问处置器操纵区的数据结构，其中包括了当前进程的数据结构，从而取得进程的映像文件名，访问文件取

28、得虚拟机中的系统状态。国内关于虚拟机自省的另一方面是虚拟机监控器的研究。提出一种以轻量虚拟机监控器作为可信集的平安架构-Cherub架构。Cherub利用主流处置器的平安扩展指令和硬件辅助虚拟化技术实现虚拟机自省，在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种平安目标。研究人员也对基于虚拟化的监控进行综述研究，虚拟机自省技术成为一种新的虚拟化监控实现方式。. XenAccess研究利用Xen的治理程序成立从特权域查看非特权域内存的函数库，它是Xen的一个自省库，基于Xen提供的libxc和libblktap库来实现。它封装了Xen虚拟机治理器提供的一系列

29、接口，为在Xen上进行内存自省提供了函数库，实现对目标虚拟机内存的查看。开发者能够很方便的利用Xenaccess提供的函数，无需从头对虚拟机自省（那个地址指内存自省）进行从头实现。为了保证XenAccess正常工作需要对代码库进行地址转换(例如,物理和机械地址之间)，Xen能够提供这种转换支持。VMI技术的研究除在学术研究中取得普遍的开展，在实际的平安产品中也取得了应用。例如国内的瞻博网络vGW虚拟网关是一种全面的虚拟化平安解决方案，利用VMI（虚拟机自省）这种冲破性的方式，这种似于从hypervisor对虚拟机和虚拟环境进行的“X光”检查。利用VMI能够搜集基于Windows和Linux的虚

30、拟机、虚拟网络平安性和虚拟环境配置方面的信息，而无需利用代理。歹意软件躲过平安代理或使平安代理失效是一种典型的平安问题，已经困扰平安行业数十年之久而且尚未解决。vGW不仅将VMI作为其平安策略概念和实施机制的一部份，而且还结合利用VMI和防病毒特性，以创新的方式利用hypervisor对虚拟机进行全面的“X光”检查，让歹意软件无处可藏。对新的虚拟机进行扫描，若是它达不到合规性要求就会被隔离。这些方法还适用于那些“状态”发生转变的虚拟机，因为这些转变可能会降低该虚拟机的平安性（如防病毒爱惜功能被关闭）。事实上这种应用中，VMI的实现方式仍然是最为普遍的基于VMM的实现方式。通过比较分析咱们能够看

31、出现有的VMI技术研究中要紧的实现方式是基于断点/trap和基于VMM的实现方式。正是由于这两种方式利用了虚拟化技术的优势，从平安角度考虑实现VMI技术，因此应用普遍。例如Lares和SIM，被监控的系统运行在目标虚拟机中,平安工具部署在一个隔离的虚拟域(平安域)中。这种架构支持在虚拟机的客户操作系统的任何位置部署钩子函数,这些钩子函数能够拦截某些事件,例如进程创建、文件读写等。当事件发生时钩子函数主动地陷入到虚拟机治理器中，将虚拟机中发生的事件传递到治理域的平安驱动。平安工具执行某种平安策略,然后将响应发送到平安驱动,从而对虚拟机中的事件采取响应方法。这确实是VMI实现方式的第三种基于tra

32、p/inspect、断点或rollback方式实施VMI。而Livewire、VMwatcher、VMWall都是在目标虚拟机外部,由位于平安域的平安工具依照某种策略对其进行检测。监控点部署在虚拟机治理器中,虚拟机治理器是平安域中的平安工具和目标虚拟机之间通信的桥梁.这是第四种实现方式基于VMM的实现方式。如表1所示，不同VMI系统对应的实现方式。表1 VMI系统对应的实现方式Table1 Implementation Type of VMI Systems实现方式LaresSIMLivewireVMWatcherVMWallTHVACherubhost-basedkernal-drive basedtrap/inspect basedVMM based5 VMI面临的问题语义鸿沟由于VMI技术实施在VMM基础上，VMM取得的虚拟机运行状态数据是“文件”这种语义级别的，与直接应用操作系统提供的效劳取得的“内存地址”这种语义