CloudStack恶意隐藏进程监测框架设计

摘要

在CloudStack等云平台中缺少提高虚拟机安全性的插件或功能.针对该问题,基于Xen虚拟机监视器提出一种CloudStack恶意隐藏进程监测框架.通过安装在特权虚拟机中的监控前端请求监测目标虚拟机中的进程,利用守护进程经事件通道将该请求转发给Xen虚拟机监视器,并采用事件注册/捕获模块在客户虚拟机中注册事件钩子.在监听到目标虚拟机中内核发生CR3转换事件后,将事件通知至监控响应模块,使用虚拟机自省技术获得客户虚拟机中的内存数据并进行语义还原,通过共享内存机制将相关进程数据传递到监控前端.实验结果表明,该框架能够准确发现目标虚拟机内部的恶意隐藏进程,并获得相关的资源占用信息.