基于硬件虛擬化的虛擬機文件完整性監控

趙 成，陳興蜀，金 鑫

(四川大學 計算機學院，成都 610065)

(*通信作者電子郵箱chenxsh@scu.edu.cn)

基于硬件虛擬化的虛擬機文件完整性監控

趙 成，陳興蜀*，金 鑫

(四川大學 計算機學院，成都 610065)

(*通信作者電子郵箱chenxsh@scu.edu.cn)

為保護虛擬機敏感文件的完整性，針對外部監控中基于指令監控方式性能消耗大、兼容性低和靈活性差等缺點，提出一種基于硬件虛擬化的文件完整性監控(OFM)系統。該系統以基于內核的虛擬機(KVM)作為虛擬機監視器，可動態實時地配置敏感文件訪問監控策略；OFM可修改虛擬機系統調用表項以透明攔截文件操作相關系統調用，以監控策略為依據判定虛擬機進程操作文件的合法性，并對非法進程進行處理。在虛擬機中采用性能測試軟件Unixbench進行仿真，其中OFM在文件監控方面優于基于指令的監控方式，且不影響虛擬機其他類型系統調用。實驗結果表明，OFM可以有效地監控虛擬機文件的完整性，具有更好的兼容性、靈活性和更低的性能損耗。

敏感文件；完整性；系統調用；硬件虛擬化；基于內核的虛擬機

0 引言

隨著計算機硬件及其技術的發展，云計算在科研、商用領域都得到了廣泛的應用。美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)發布的《完全虛擬化安全指南》[1]指出，云平臺虛擬機與主機一樣，都面臨著惡意軟件的威脅，如計算機病毒、木馬等。由于敏感文件保存著用戶的機密數據或系統重要配置信息，因此惡意軟件對敏感文件的非法操作可能影響系統正常執行，泄露或篡改敏感信息，如《2015年7月計算機病毒疫情分析》[2]中列舉的新型木馬變種Trojan_Agent.WMU、Trojan_Zbot.LFM等。因此，監控系統敏感文件完整性，對于盡早發現惡意代碼的攻擊、保護隱私數據免遭惡意泄露或篡改具有重要作用。

目前，針對虛擬機內文件完整性監控方法，學術界有著多方面的研究。TripWire[3]和I3FS[4]都是用于檢測主機文件完整性的工具，分別運行在用戶態、內核態，通過度量文件的哈希值驗證文件的完整性；Xen-FIT[5]和文獻[6]的系統均基于Xen實現，通過在虛擬機中安裝監控代理可實時檢測虛擬機文件完整性。上述方法的不足是：1)鉤子地址和代理模塊依賴于目標虛擬機版本，通用性差；2)鉤子函數和代理模塊同樣可能被虛擬機中的惡意軟件攻擊而失效。FSGuard[7]、XMonitor[8]、RFIM[9]通過在Hypervisor中透明地捕獲虛擬機系統調用指令(int 0x80或syseter)以監控文件操作相關系統調用，驗證虛擬機中文件的完整性，這種方法避免了虛擬機監控代理被惡意攻擊的威脅，但與文件操作無關的系統調用同樣會陷入到Hypervisor中而帶來不必要的性能損耗。XenAccess[10]提供了虛擬機文件完整性校驗的監控接口，但不包含功能性模塊，只能實時監控目錄或文件的創建和刪除，無法提供對文件完整性的保護。

針對上述研究內容存在的不足，本文提出基于硬件虛擬化的虛擬機文件完整性監控方法，并實現了原型系統OFM(Out-of-box File Monitoring)。OFM在虛擬機外部實現，只需修改虛擬機文件操作相關系統調用表項，就能透明地捕獲并分析虛擬機進程對敏感文件的操作；同時，通過管理和配置接口可以動態實時地配置敏感文件訪問監控策略，無需重啟云平臺或虛擬機；OFM根據監控策略對虛擬機進程的文件操作進行分析，并處理非法文件操作的進程。OFM避免了虛擬機內部惡意軟件的威脅，具有比現有方法更低的性能消耗，可動態配置的監控策略具有良好的可擴展性和靈活性，并可有效保護虛擬機文件完整性。

1 OFM系統設計

基于內核的虛擬機(Kernel-based Virtual Machine, KVM)[11]是基于硬件虛擬化技術實現的一個Linux內核模塊，負責將宿主機底層硬件資源抽象成虛擬資源，并分配給虛擬機使用。KVM擁有特權級高、隔離性強和透明性好等特征，因此，在虛擬機運行過程中，KVM能夠捕獲虛擬機中的特定事件(敏感指令、中斷或I/O)等，獲取其內部語義，而虛擬機卻無法感知到KVM的存在。硬件虛擬化需要Intel VT[12]或AMD-V[13]技術的支持，提供了Root和Non-Root兩種運行模式，KVM運行在Root模式，而虛擬機運行于Non-Root模式。虛擬機陷入KVM的過程稱為VM Exit，而由KVM返回虛擬機的過程稱為VM Entry。

OFM是基于事件觸發的主動監控框架，采用KVM作為VMM，總體架構如圖1所示。OFM實現了一種與虛擬機相隔離的文件完整性監控方法，能夠動態設置所要保護的文件及其監控策略，保護其免受惡意代碼的惡意攻擊，如竊取或篡改敏感數據等。

圖1 OFM系統架構

在原型系統OFM中，捕獲模塊負責捕獲虛擬機進程調用文件操作相關系統調用，通過虛擬機自省 (Virtual Machine Introspection，VMI)獲取虛擬機內部語義信息，并將獲取的信息傳遞到分析處理模塊。分析處理模塊接收捕獲傳遞的虛擬機文件操作信息，讀取策略庫中文件操作監控策略，進行分析，將非法的操作信息寫入日志。策略庫存儲虛擬機敏感文件監控策略，可以根據需要為具有權限的系統管理員提供管理和配置接口，進行實時動態的配置。策略庫可以以數據庫、文件等形式存在，完成監控策略配置后立即生效，無需重啟云平臺或虛擬機。日志存儲虛擬機敏感文件的非法操作；同時，日志同樣可以提供接口、離線分析等功能。

2 OFM系統設計

2.1 系統調用監控原理

如圖2所示，在X86架構下，任意版本操作系統進程執行對文件的操作時，都需要調用應用層庫函數提供的接口函數。接口函數則通過系統調用陷入指令(int、sysenter或syscall)調用內核層的系統調用服務程序，并利用EAX、EBX等寄存器傳遞參數信息，其中EAX存儲系統調用號。當用戶層程序切換進入內核層后，操作系統內核讀取參數信息，根據系統調用號在系統調用表中進行索引，讀取系統調用表項中存儲的文件操作相關系統調用處理程序地址，跳轉并執行。執行完畢后，通過系統調用返回指令(iret、sysexit或sysreturn)返回執行結果并恢復進程上下文，繼續執行用戶空間進程。

圖2 系統調用原理

2.2 OFM實現原理

2.2.1 虛擬機page fault異常捕獲

虛擬機控制結構(Virtual Machine Control Structure, VMCS)由KVM維護，負責保存虛擬機和宿主機發生切換時的硬件上下文環境，同時可以指定虛擬機發生陷入的特定事件。在操作系統中，訪問非法地址引發系統產生page fault異常，而不同類型的page fault異常產生不同的error_code類型。為了能夠在KVM中捕獲虛擬機產生的特定類型page fault異常，需要對VMCS進行如下配置：

1)將VMCS中EXCEPTION_BITMAP字段的PF_VECTOR位置1，使捕獲模塊可以捕獲虛擬機中發生的page fault異常。

2)在VMCS中將PAGE_FAULT_ERROR_CODE_MASK字段和PAGE_FAULT_ERROR_CODE_MATCH字段的值填充為特定值，使虛擬機中滿足式(1)的page fault異常類型才會發生VM Exit陷入KVM中，可以避免其他類型的page fault異常陷入KVM帶來的不必要的性能損耗。

PFEC&PFEC_MSAK=PFEC_MATCH

(1)

其中：PFEC表示虛擬機中不同類型pagefault異常對應的errorcode，陷入KVM后保存在VMCS的VM_EXIT_INTR_ERROR_CODE字段；PFEC_MASK表示PAGE_FAULT_ERROR_CODE_MASK字段中的內容，設置為0x1F；PFEC_MATCH表示PAGE_FAULT_ERROR_CODE_MATCH中的內容，設置為0x10。

2.2.2 虛擬機文件操作相關系統調用攔截

本文將虛擬機系統調用表中與文件操作有關的表項分別填充為一個唯一的非法地址，當虛擬機進程調用此系統調用時，將因訪問非法地址產生pagefault異常，被OFM捕獲模塊捕獲，并讀取參數信息，進行分析，具體過程如下：

1)在虛擬機啟動加載內核至虛擬機內核空間完畢后，根據式(2)，利用VMI機制修改虛擬機系統調用表中文件操作相關的表項為唯一的非法地址標識，并在策略庫中保存原地址。

2)當虛擬機調用這些系統調用時，將由于訪問非法地址而發生pagefault異常，并陷入到KVM的捕獲模塊。

3)捕獲模塊讀取虛擬機EIP寄存器中存儲的非法地址，根據式(2)判定系統調用類型，隨后讀取虛擬機EAX、EBX、ECX等寄存器中存儲的系統調用參數，并利用參數，使用KVM提供的函數kvm_read_guest_virt_system()獲取具體的參數內容，主要包括文件名稱和操作方式等。

4)捕獲模塊讀取虛擬機ESP寄存器中保存的棧指針，獲取虛擬機內核棧頂存儲的thread_info結構體，根據thread_info結構體中的進程描述符指針，進一步利用kvm_read_guest_virt_system()讀取虛擬機當前進程描述符，從中獲取虛擬機當前進程名稱。

5)捕獲模塊將獲取的進程名稱、文件名稱和操作方式傳遞到分析處理模塊，分析處理模塊結合策略庫中的敏感文件監控策略，進行進一步的處理。

Entry(SysCallTblAddr+N*AddrSize)=ErrBaseAddr-N

(2)

式(2)表示將系統調用表中需要被攔截系統調用對應的表項修改為非法地址，每個表項對應一個唯一的非法地址。Entry表示系統調用表中需要被攔截的系統調用對應的表項；SysCallTblAddr表示系統調用表基地址；N為被攔截系統調用的系統調用號；AddrSize表示地址寬度；ErrBaseAddr為非法地址基值，如本文針對32位虛擬機取0xFFFFFFFF。對于不同的系統調用表項，由于ErrBaseAddr取值相同而N不同，可以保證填充的非法地址的唯一性。

2.2.3 虛擬機文件完整性保護方法

為了保護虛擬機敏感文件的完整性，KVM中分析處理模塊對虛擬機當前進程操作敏感文件的行為進行分析與處理，流程如下：

1)分析處理模塊接收捕獲模塊的參數信息后，讀取策略庫中的監控策略，判斷當前進程對敏感文件的訪問權限。

2)若訪問權限為允許，則直接放行；若訪問權限為禁止，則將虛擬機EAX、EBX、ECX等寄存器修改為非法值，并將此非法操作信息寫入日志文件。

3)取出策略庫中對應的虛擬機系統調用處理程序原地址，裝入虛擬機EIP寄存器，通過VMEntry恢復虛擬機正常執行流程。

OFM截獲系統調用分析與處理時刻，是虛擬機中進程利用調用門進入內核空間時刻，此時并未對文件進行實際訪問。因此，通過修改虛擬機寄存器中系統調用的參數，可以使虛擬機系統調用函數直接返回一個錯誤值，避免敏感文件的非法操作及敏感文件內容的泄露。

2.3 監控策略

在原型系統OFM中，策略庫由宿主機進行維護。策略庫可以以數據庫、文件等形式存在，存儲虛擬機敏感文件監控策略。同時，可以根據實際需要，預留配置和管理接口，具有權限的管理員可通過接口動態實時地更新策略，并且更新完成后立即生效，無需重啟云平臺或者虛擬機。

本文給出虛擬機敏感文件監控策略的一種參考格式：

SysCallNumProNameSenFilNameSenFilOpOpAuth

其中：SysCallNum表示虛擬機被攔截系統調用對應的系統調用號；ProName表示虛擬機進程名；SenFilName表示虛擬機中的敏感文件名；SenFilOp表示虛擬機中進程對敏感文件的操作；OpAuth表示虛擬機進程對敏感文件操作的權限，由策略制定者規定，如允許、禁止等。

3 測試與分析

本章描述原型系統OFM的功能測試和性能測試結果。如表1，本文攔截了虛擬機中文件操作相關的系統調用，監控虛擬機進程對敏感文件的操作，并建立了支持不同系統調用指令的虛擬機進行測試，驗證虛擬機文件完整性監控功能。

表1 OFM截獲系統調用類型

實驗環境：主機硬件配置為戴爾OptiPlex9020；處理器為IntelCorei5-4570 @1.86GHz，4核；內存為12GBDDR3 1 600MHz；宿主機為CentOS6.5，內核版本3.10.1，KVM版本3.10.1，QEMU版本1.7.1；虛擬機性能測試工具為unixbench-5.1.2。

3.1 功能測試

以支持sysenter指令的32位Linux虛擬機為例，測試原型系統OFM的功能。虛擬機配置：操作系統CentOS6.5，內核版本為2.6.32，內存1GB，VCPU數量1個。實驗的目的是為了驗證OFM是否可以保護虛擬機敏感文件不受非法破壞，過程如下。

在虛擬機的根目錄下創建文本文件test.txt作為被保護的測試文件。通過監控策略配置端口，在策略庫中添加控制策略如下：

1)5 test1 /test.txt open allow：虛擬機進程test1對虛擬機文件/test.txt的open操作是允許的；

2)5 test2 /test.txt open forbid：表示虛擬機進程test2對虛擬機文件/test.txt的open操作是禁止的。

為驗證策略的有效性，虛擬機進程test1與test2的可執行文件由同一源程序生成。測試程序如下：

#include #include #includeintmain(void) {intfd;fd=open("/test.txt",O_RDWR);if(fd<0) {printf("NoFile ");return0;

}

printf("YesFile ");

return0;

}

為方便測試結果顯示，OFM將虛擬機測試過程顯示在虛擬機終端，虛擬機進程對敏感文件訪問信息顯示在宿主機終端，測試結果如圖3和圖4。

根據圖3中虛擬機測試過程所示，當使用源文件test.c生成可行性文件test1和test2后運行，進程test1可以對文件/test.txt進行正常訪問，而進程test2則無法找到該文件，其原因是OFM在KVM中捕獲兩個進程對文件的訪問，并根據監控策略，分別進行了處理，捕獲內容如圖4所示。通過實驗結果可以看到，OFM可以有效監控虛擬機進程對敏感文件的操作信息，同時對虛擬機敏感文件的非法操作可有效禁止，保護了虛擬機文件完整性。

圖3 虛擬機測試過程

圖4 宿主機監控信息

3.2 性能測試

本文分別建立sysenter、int和syscall指令的Linux虛擬機，并使用Unix類操作系統微觀基準測試工具Unixbench測試OFM的性能，評分越高代表性能越好。測試內容主要包括以下幾個方面：CPU性能測試、磁盤I/O性能測試、系統調用性能測試和shell測試。

如圖5～7所示，OFM能夠在支持sysenter、int和syscall指令的虛擬機正常工作，說明OFM具有較好的兼容性。在CPU性能測試方面，浮點數操作項測試浮點數操作速度，其性能幾乎不變；在磁盤I/O性能測試方面，文件拷貝項性能下降明顯，主要原因是OFM攔截了讀寫文件相關的系統調用，并在KVM中引入了額外的處理流程，而在極端的測試環境下文件操作是極為頻繁的；在系統調用性能測試中，Excel執行和系統調用項分別利用每秒鐘Execl系統調用和getpid系統調用的執行次數測試系統調用性能，兩個系統調用均未被OFM攔截，但Excel系統調用涉及到文件操作，所以Excel執行項會出現少量的性能損耗，而系統調用項性能基本不變；最后，Unixbench的shell腳本項可以測試并發執行若干腳本模擬真實運行環境，其性能消耗很小。

圖5 支持sysenter指令的虛擬機性能測試

文獻[14]通過改變系統調用陷入指令正常運行條件，可在VMM中捕獲并分析虛擬機系統調用行為。由于其捕獲原理相同，因此僅以攔截sysenter指令為例，與OFM對比攔截虛擬機文件操作相關系統調用的性能。結果如圖8所示，在CPU性能測試方面，浮點數操作項因不涉及系統調用過程，性能沒有明顯變化。在磁盤I/O性能測試方面，文件拷貝項調用了與文件操作相關的系統調用，因此兩種方法性能消耗明顯，但是由于基于sysenter指令的系統調用攔截方法默認攔截所有系統調用，因此性能消耗更為嚴重。在系統調用性能測試中，Excel執行項通過Excel系統調用完成測試，涉及到部分文件操作，而系統調用項則單純利用getpid系統調用測試，通過對比可以看出，本文方法只會產生少量的性能消耗，而攔截sysenter指令方法由于攔截全部系統調用，因此性能損耗更高；最后，在shell腳本測試項中，兩種方法性能損耗都在合理范圍內，但OFM更小。通過對比可以看出，OFM相比基于指令的虛擬機文件操作相關系統調用攔截分析方法，在提升靈活性的同時，也降低了虛擬機中不必要系統調用陷入帶來的額外的性能損失。

圖6 支持int指令的虛擬機性能測試

圖7 支持syscall指令的虛擬機性能測試

圖8 性能對比結果

4 結語

本文通過在KVM中修改虛擬機系統調用表，截獲了虛擬機中與文件操作有關的系統調用，實現了對虛擬機文件完整性的監控。與現有方法相比，本文方法具有更好的兼容性、靈活性，且性能損耗更低。但本文方法也存在如下不足：1)需要人工獲取虛擬機系統調用表的位置；2)策略定義不夠完善，處理過程也較為單一。下一步的研究工作就是針對以上不足進行研究，提高獲取虛擬機內部數據的透明性，并對異常進程進行限制。

)

[1] 王惠蒞,楊晨,楊建軍.美國NIST云計算安全標準跟蹤及研究[J].信息技術與標準化,2012(6):51-54.(WANGHL,YANGC,YANGJJ.ResearchoncloudscomputingsecuritystandardsofNIST[J].InformationTechnology&Standardization, 2012(6): 51-54.

[2] 張蘊菁, 劉威.2015 年7月計算機病毒疫情分析[J].信息網絡安全, 2015(9): 292-292.(ZHANGYJ,LIUW.AnalysisofcomputervirusepidemicsituationinJuly, 2015 [J].NetinfoSecurity, 2015(9): 292-292.)

[3]KIMGH,SPAFFORDEH.Thedesignandimplementationoftripwire:afilesystemintegritychecker[C]//CCS’94:Proceedingsofthe2ndACMConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 1999: 18-29.

[4] PATIL S, KASHYAP A, SIVATHANU G, et al.FS: an in-kernel integrity checker and intrusion detection file system[C]// LISA ’04: Proceedings of the 18th USENIX Conference on System Administration.Berkeley, CA: USENIX Association, 2004: 67-78.

[5] QUYNH N A, TAKEFUJI Y.A novel approach for a file-system integrity monitor tool of Xen virtual machine [C]// ASIACCS ’07: Proceedings of the 2nd ACM Symposium on Information, Computer and Communications Security.New York: ACM, 2007:194-202.

[6] 王照羽.基于Xen硬件虛擬化的磁盤文件操作監控系統[D].西安:西安電子科技大學,2013：5-7.(WANG Z Y.Monitoring system for disk file operations in Xen Full virtualization [J].Xi’an: Xidian University, 2013: 5-7.)

[7] 王鑄,黃濤,文莎.基于虛擬機的文件完整性監控系統[J].中州大學學報, 2009, 26(5):121-123.(WANG Z, HUANG T, WEN S.A file integrity monitoring system based on virtualization[J].Journal of Zhongzhou University, 2009, 26(5):121-123.)

[8] 王婷婷.基于硬件輔助虛擬化的虛擬機監控研究與實現[D].北京:北京郵電大學,2015:3-4.(WANG T T.Research and implementation of virtual machine based on hardware-assisted virtualization [J].Beijing: Beijing University of Posts and Telecommunications, 2015: 3-4.)

[9] JIN H, XIANG G, ZOU D, et al.A guest-transparent file integrity monitoring method in virtualization environment [J].Computers & Mathematics with Applications, 2010, 60(2):256-266.

[10] PAYNE B D, DE A CARBONE M D P, LEE W.Secure and flexible monitoring of virtual machines[C]// ACSAC 2007: Proceedings of the Twenty-Third Annual Computer Security Applications Conference.Washington, DC: IEEE Computer Society, 2007: 385-397.

[11] HABIB I.Virtualization with KVM [J].Linux Journal, 2008(166): Article No.8.

[12] Intel.Intel 64 and IA-32 architectures software developer manuals[EB/OL].[2015- 03- 20].https://software.intel.com/en-us/articles/intel-sdm.

[13] AMD.AMD64 architecture programmer’s manual volume 2: system programming [EB/OL].[2015- 03- 20].http://developer.amd.com/resources/developer-guides-manuals/.

[14] 熊海泉,劉志勇,徐衛志,等.VMM中Guest OS非陷入系統調用指令截獲與識別[J].計算機研究與發展,2014,51(10):2348-2359.(XIONG H Q, LIU Z Y,XU W Z, et al.Interception and identification of guest OS non-trapping system call instruction within VMM [J].Journal of Computer Research and Development, 2014, 51(10): 2348-2359.)

This work is partially supported by the National Natural Science Foundation of China (61272447).

ZHAO Cheng, born in 1991, M.S.candidate.His research interests include cloud computing, virtualization technology.

CHEN Xingshu, born in 1969, Ph.D., professor.Her research interests include cloud computing, big data, information security, trusted computing.

JIN Xin, born in 1976, Ph.D.candidate.His research interests include cloud computing, virtualization technology, trusted computing.

Virtual machine file integrity monitoring based on hardware virtualization

ZHAO Cheng, CHEN Xingshu*, JIN Xin

(CollegeofComputerScience,SichuanUniversity,ChengduSichuan610065,China)

In order to protect the integrity of the Virtual Machine (VM) sensitive files and make up for the shortcomings such as high performance overhead, low compatibility and poor flexibility in out-of-box monitoring based on the instruction monitoring methods, OFM (Out-of-box File Monitoring) based on hardware virtualization was proposed.In OFM, Kernel-based Virtual Machine (KVM) was used as the virtual machine monitor to dynamically configure sensitive file access control strategy in real-time; in addition, OFM could modify the call table entries related to file operations of virtual machine system to determine the legitimacy of the VM process operation files, and deal with the illegal processes.Unixbench was deployed in a virtual machine to test the performance of OFM.The experimental results demonstrate that OFM outperforms to instruction monitoring methods in file monitoring and has no affect on other types of system calls for virtual machines.Meanwhile, OFM can effectively monitor the integrity of the virtual machine files and provide better compatibility, flexibility and lower performance losses.

sensitive file; integrity; system call; hardware virtualization; Kernel-based Virtual Machine (KVM)

2016- 08- 15;

2016- 09- 02。 基金項目:國家自然科學基金資助項目(61272447)。

趙成(1991—),男,河北固安人,碩士研究生,主要研究方向:云計算、虛擬化; 陳興蜀(1969—),女,四川自貢人,教授,博士,主要研究方向:云計算、大數據、信息安全、可信計算; 金鑫(1976—),男,遼寧營口人,博士研究生,主要研究方向:云計算、虛擬化、可信計算。

1001- 9081(2017)02- 0388- 04

10.11772/j.issn.1001- 9081.2017.02.0388

TP

A