云環(huán)境下虛擬機安全監(jiān)控技術研究與實現(xiàn)

黃飛龍 李炯峰 王一苗

（電科云（北京）科技有限公司 北京市 100041）

云計算背景下，使我國信息化技術擴大影響范圍，但是由于電子產品的種類、數(shù)量的持續(xù)增多，對虛擬機安全監(jiān)控技術水平的提升產生一定的困擾，還需要相關部門與人員加大對虛擬機安全監(jiān)控技術的研究力度，詳細分析與掌握虛擬機安全監(jiān)控系統(tǒng)的組成結構，明確各結構的具體功能，再利用現(xiàn)代化科學技術對其的優(yōu)化與創(chuàng)新，不斷擴大虛擬機安全監(jiān)控功能，對各類信息數(shù)據的搜集、整理、儲存、分析等，提升整體工作效率與質量。而從虛擬機安全角度分析，依然會受到眾多因素的影響與威脅，無法確保虛擬機安全監(jiān)控系統(tǒng)的穩(wěn)定性與安全性。那么針對虛擬機安全監(jiān)控的安全性，還需結合實際情況全面分析，制定完善的管理制度與安全措施，從而增強虛擬機監(jiān)控系統(tǒng)的安全性與穩(wěn)定性。

1 云計算技術分析

云計算，主要是通過與互聯(lián)網的融合應用，為各系統(tǒng)提供虛擬化的服務，選擇虛擬互動模式對各類信息數(shù)據的交流、傳遞、共享等，突出云計算的重要作用與價值。換一種說法，云計算是一種虛擬的計算機資源池，以此為重要基礎，為各種硬件提供重要資源，用戶只需要根據自身的要求對其進行簡單的操作，就可以通過互聯(lián)網獲取到相應的虛擬數(shù)據，提高信息數(shù)據資源利用率[1]。

而云計算所包括的關鍵技術主要包括三方面，分別是分布式計算技術、分布式存儲技術、云監(jiān)測技術。

（1）分布式計算技術，是對某應用計算步驟的分解，更方便用戶對信息數(shù)據的理解，把一個整體劃分成若干個小體，使信息數(shù)據的計算更方便。而分布式計算技術最大的優(yōu)勢，就是能夠節(jié)約計算時間，提高信息數(shù)據的計算效率。

（2）分布式存儲技術，是對各企業(yè)磁盤空間的科學整合，把一些比較分散的信息數(shù)據進行搜集、整理、分類、儲存等。該技術最大的優(yōu)勢就是對分散信息數(shù)據的科學處理，并對數(shù)據類別的分別管理，確保信息數(shù)據的完整性，用戶對各類信息數(shù)據的獲取更方便、快捷。

（3）云監(jiān)測技術，主要是以虛擬化云存儲平臺為基礎，對各用戶信息數(shù)據的集中或分布處理，是對用戶信息數(shù)據的隱私保護，確保各類信息數(shù)據應用的安全性。而與其他兩項技術不同的是，云監(jiān)測技術的外部監(jiān)控，需要應用到安全監(jiān)控程序，可有效防止病毒、惡意軟件的破壞，增強系統(tǒng)的穩(wěn)定性與安全性[2]。

2 云環(huán)境下虛擬機安全監(jiān)控技術研究

針對虛擬機架構的分析，本著主要選擇KVM 為分析案。KVM是虛擬化技術開源產品之一，屬于開放源代碼虛擬機監(jiān)視器，整體應用效率比較高，只需要單個計算機就可以對重點系統(tǒng)的操作。而KVM 虛擬化技術最大的特點，就是不需要高配置硬件，只是單憑多個物理主機就可以對各類信息數(shù)據進行遷移，既體現(xiàn)KVM 的虛擬特點，又確保整體的使用性能。相關人員對KVM 虛擬化技術的操作，虛擬機并未停止工作，但是其內存卻被不斷地復制，用戶對其的應用與操作，只需要在一個系統(tǒng)硬件上安全地操作，然后對其進行虛擬復制，就可以把相關信息數(shù)據遷移到多個虛擬機中。其中最具體特點的就是KVM 與Linux 的開源組合，全面提高信息數(shù)據資源利用率[3]。因此，KVM 虛擬化技術可利用服務器對各類信息數(shù)據的整合，提升虛擬裝置的應用效率。除此之外，KVM 虛擬化技術自身有較強的穩(wěn)定性與安全性，無論是對信息數(shù)據的搜集、整理，還是輸入指令、對信息數(shù)據的儲存等，都可以快速的完成，提高信息數(shù)據資源利用率。

KVM 虛擬化技術的核心組件之一是VMM，主要是在服務器硬件啟動完成后，VMM 會啟動的同時Domain 不斷加載。大部分用戶對Domain 不太了解，Domain 在KVM 虛擬化技術中，主要負責與管理員進行對話，屬于一個接口，并與hypervisor 相互配合，完成用戶的應用需求。當KVM 虛擬化技術啟動完成后，需要對Domain0 特權工作組啟動，在整個虛擬化技術中，屬于首個虛擬工作組，主要的工作內容是對底層物理資源的調用，用戶會在系統(tǒng)內操作，系統(tǒng)會對相關信息數(shù)據的識別，而此時的特權工作組會對底層物理資源進行調用，與此同時，還會把相應的硬件驅動組件進行安裝，為PC 機訪問底層物理資源提供有利條件。

有特權工作組，系統(tǒng)中還包括非特權工作組，與特權工作組特點相比較，非特權工作組最大的特點就是對虛擬機內各類信息數(shù)據的傳遞，對用戶對信息數(shù)據資源操作、應用興趣的監(jiān)控，嚴格控制用戶對信息數(shù)據應用的規(guī)范性[4]。但是，非特權工作組的缺點是，不能對底層物理資源訪問，如果系統(tǒng)根據用戶應用要求的識別，需要對底層物理資源進行訪問，系統(tǒng)還是會識別到相應的軟件中，對硬件設備進行訪問。

那么硬件虛擬工作組，對KVM 虛擬化技術硬件性能有巨大的影響，根據虛擬機系統(tǒng)實際運行情況分析，可根據具體要求，使系統(tǒng)內的代碼會在相關軟件的操作下進行整改，再與Hypervisor 虛擬機監(jiān)控器共同配合，確保虛擬機內各項活動的規(guī)范性操作。

3 云環(huán)境下虛擬機安全監(jiān)控技術實現(xiàn)

針對云環(huán)境下虛擬機安全監(jiān)控技術實現(xiàn)的分析，我們主要從兩方面分析，一方面是前端組件，另一方面是后端組件。

那么前端組件，絕不就是Linux 開源系統(tǒng)，而是與Linux 開源系統(tǒng)相似，用戶對該系統(tǒng)的應用，能夠在虛擬技術的支持下，獲取到相關的信息數(shù)據。那么有的用戶因自身需求，需要對虛擬物理內存進行檢測或計算，由于部分用戶對Linux 開源系統(tǒng)、虛擬系統(tǒng)、虛擬技術等了解的比較片面，無任務Linux 開源系統(tǒng)無法對虛擬物理內存進行檢測或計算，其實，基于云計算條件下，虛擬技術完全實現(xiàn)此項工作。只需要把虛擬機中的內省技術應用到SMT 虛擬組裝中，就可以加強對網絡系統(tǒng)的保護，避免惡意軟件、病毒對系統(tǒng)的入侵。那么虛擬機安全監(jiān)控會根據系統(tǒng)給出的檢測數(shù)據詳細分析，對虛擬機內核數(shù)據結構的讀取，可使虛擬機內的信息數(shù)據高度還原[5]。例如：對Linux 操作系統(tǒng)內核源碼的操作，就可以對計算機網絡中內核數(shù)據結構的語義進行讀取。但是，考慮到虛擬機自身的安全性，還需利用SMT 虛擬組裝技術，對其前端組件、后端組件進行分離處理，確保虛擬機安全監(jiān)控中具備可移植系統(tǒng)。通過對SMT 虛擬組裝技術的綜合應用，可使系統(tǒng)高效率地獲取到眾多信息數(shù)據。從虛擬機安全監(jiān)控系統(tǒng)的前端組件角度分析，其所包含的軟件比較多，無論是文件監(jiān)測，還是模塊監(jiān)測，甚至是進程監(jiān)測等等，都有不同的工作內容，在系統(tǒng)中會根據系統(tǒng)所發(fā)出的指令進行操作，注重對各類信息數(shù)據的搜集、整理、分析、儲存等，重點是可對各類信息數(shù)據進行深度挖掘，使各類信息數(shù)據更好地發(fā)揮出自身的重要價值，提升虛擬機安全監(jiān)控系統(tǒng)信息資源利用率。

而另一方面是后端組件，簡單的說，就是對虛擬機監(jiān)控系統(tǒng)語義信息的解析，后端組件最大的優(yōu)勢就是可以在斷網的情況下繼續(xù)對虛擬機內核信息數(shù)據的解析。而在有網的情況下，可以自動生成系統(tǒng)內核靜態(tài)庫，針對信息數(shù)據的類別不同，形成不同進程模塊訪問函數(shù)。后端組件實施是以前端組件工作為基礎前提，通過對信息數(shù)據的解析，再傳輸?shù)角岸私M件中供其應用。

從后端組件構成的內核靜態(tài)庫角度分析，其所包括的內容呈現(xiàn)多樣化的特點，如：各種模塊、進程、信息數(shù)據內容等。而對內核靜態(tài)庫的應用，需要全面掌握其應用原理，主要是由鏈接庫文件所實現(xiàn)的，再借助信息數(shù)據共享庫，對相同代碼的重復使用，最后，把經過編制的新文件存儲在公共位置中，用戶可根據自身的需要，對不同信息數(shù)據的虛擬獲取，滿足每位用戶的應用需求，提高用戶應用滿意度。那么對內核靜態(tài)庫的創(chuàng)建，對相關工作人員提出更高的要求，對云計算技術、虛擬機安全監(jiān)控系統(tǒng)原理等全面掌握，能夠對其綜合分析，制定出完善的建設方案。首先，要獲取到虛擬機內核源代碼，然后，對代碼的復制，儲存到kernel 文件中，再對Makefile 文件修改，并與kernel 目錄進行對比翻譯，最后，把完成的目標文件復制到前端組件中，從而完成對內核靜態(tài)庫的創(chuàng)建。

4 云環(huán)境下虛擬機安全監(jiān)控系統(tǒng)的規(guī)劃

基于云環(huán)境背景下，對虛擬機的安全監(jiān)控系統(tǒng)建設，所考慮的影響因素比較多，不僅要確保系統(tǒng)自身的功能性，而且還需要對各軟件、配件的安裝，需要考慮到虛擬機的實際應用情況，對其安全監(jiān)控系統(tǒng)的重新規(guī)劃與部署，針對虛擬機所出現(xiàn)的安全問題、性能問題等詳細分析，并制定完善的管理制度與實施方案，全面落實到各項工作環(huán)節(jié)中。尤其是對虛擬機安全監(jiān)控系統(tǒng)生命周期的初始規(guī)劃，不僅要考慮到系統(tǒng)的安全性，而且還需要控制整體的成本費用，避免對后期的應用提供有利條件，確保虛擬機安全監(jiān)控系統(tǒng)規(guī)劃的科學性與合理性。

在虛擬機安全系統(tǒng)規(guī)劃設計前，還需要相關工作人員結合其實際情況全面分析，同時，對相關工作人員自身的專業(yè)技術水平與綜合能力提出嚴格的要求，在規(guī)劃設計前，需要制定完善的實施方案，明確虛擬機安全系統(tǒng)規(guī)劃設計的核心，明確各項環(huán)節(jié)的實施流程，虛擬機長遠應用的角度全面分析，增強虛擬機的功能性能與安全性。在虛擬機安全系統(tǒng)規(guī)劃階段，最主要的核心工作之一就是對虛擬機系統(tǒng)安全策略的制定，簡單的說，就是對虛擬機安全新虛擬化形式的應用，明確系統(tǒng)內容的各項程序，各程序在應用過程中所產生的信息數(shù)據被詳細地記錄在系統(tǒng)中。而對虛擬機安全系統(tǒng)的管理、組織策略的更新，依然需要引起相關工作人員的重視，詳細分析虛擬化在使用過程中物理系統(tǒng)的安全性、各項影響因素等。如果虛擬機是在不同安全級別的狀態(tài)下應用，那么還需要加大對該狀態(tài)安全保護力度。而虛擬機安全系統(tǒng)的安全包括正面、負面，還需要在系統(tǒng)規(guī)劃與功能設計的過程中，對哪些可以應用的，哪些需要禁止等內容明確地標記與設計，結合我國目前虛擬機信息化技術與云計算技術的融合情況分析，相關部門與人員加大對其的創(chuàng)新、科研力度，積極引進與應用現(xiàn)時代科技技術，對原有技術、系統(tǒng)的完善，從而促進其穩(wěn)定發(fā)展。為虛擬機安全系統(tǒng)后續(xù)應用提供有利條件。

而對云計算技術的應用，主要是因為云計算技術自身的優(yōu)勢與特點，擴大了云計算技術的應用范圍，使其在各領域中都充分發(fā)揮著重要的作用與價值，提出自動的優(yōu)勢、特點，也是各領域對其應用的主要原因之一。那么在虛擬機安全問題方面對云計算技術的應用，可為虛擬機的應用提供主要的技術指導，無論是對虛擬機安全系統(tǒng)的研發(fā)，還是對影響虛擬機安全系統(tǒng)的因素等，都可利用云計算技術對其的合理解決，整體的技術、管理、運維等手段都能滿足虛擬機系統(tǒng)要求，注重對虛擬機各生命周期的管理，加強對其各層次的嚴密防護，可確保虛擬機安全系統(tǒng)的安全性與穩(wěn)定性，滿足虛擬機的應用與發(fā)展需求。

5 結語

綜上所述，基于云環(huán)境下，為確保虛擬機安全監(jiān)控系統(tǒng)的安全性，還需要結合其系統(tǒng)結構詳細分析，對信息化技術的應用，突出云計算的特點與優(yōu)勢，通過系統(tǒng)內部組成結構，滿足用戶應用需求，各系統(tǒng)結構之間的配合運行，全面提高整體的運行效率與資源利用。同時，系統(tǒng)還加大對各類信息數(shù)據的保護，確保虛擬機安全系統(tǒng)的安全性與穩(wěn)定性，可對分散信息數(shù)據的搜集、整理、分類儲存、解析等，對惡意軟件、病毒的防御，注重虛擬機安全監(jiān)控系統(tǒng)各個層次組的安全防護，從而保障虛擬機安全監(jiān)控系統(tǒng)的穩(wěn)定性與安全性。