(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114116138A(43)申请公布日2022.03.01(21)申请号202111570987.7G06F9/50(2006.01)(22)申请日2021.12.21(71)申请人电子科技大学广东电子信息工程研究院地址523000广东省东莞市松山湖高新技术产业开发区总部二路17号(72)发明人詹东阳叶麟余翔湛张宇刘立坤于海宁方滨兴刘妙玲吕文娟(74)专利代理机构天津市北洋有限责任专利代理事务所12201代理人潘俊达郭宝煊(51)Int.Cl.G06F9/455(2006.01)G06F9/48(2006.01)权利要求书1页说明书4页附图1页(54)发明名称一种虚拟机内核结构体自动化迁移方法(57)摘要本发明属于虚拟机的技术领域，具体涉及一种虚拟机内核结构体自动化迁移方法，包括步骤一、内存分配模块在目标虚拟机内核内存空间中分配一块受保护的内存区域，然后获取该内存区域的地址；步骤二、内存迁移模块将原始内核结构体复制到受保护的内存区域中；步骤三、修改所有相关的指针，使它们指向新的地址，释放原始内核结构体的内存空间。本发明能够在域外将被监控的内核结构体迁移到单独的内存中，然后监控新的内存区域，从而解决了误触发问题。CN114116138ACN114116138A权利要求书1/1页1.一种虚拟机内核结构体自动化迁移方法，其特征在于，包括：步骤一、内存分配模块在目标虚拟机内核内存空间中分配一块受保护的内存区域，然后获取该内存区域的地址；步骤二、内存迁移模块将原始内核结构体复制到受保护的内存区域中；步骤三、修改所有相关的指针，使它们指向新的地址，释放原始内核结构体的内存空间。2.如权利要求1所述的一种虚拟机内核结构体自动化迁移方法，其特征在于，所述步骤一中，分配一块受保护的内存区域，包括：利用系统调用注入技术自动化分配内核内存区域，在Linux操作系统中，使用MMAP和MUNMAP分配和释放内核内存空间。3.如权利要求1所述的一种虚拟机内核结构体自动化迁移方法，其特征在于，还包括：将文件系统创建的dentry结构体都放在哈希表dentry_cache中。4.如权利要求3所述的一种虚拟机内核结构体自动化迁移方法，其特征在于：所述指针包括指向dentry结构体的外部指针、指向dentry结构体内部地址的内部指针、指向下一个/上一个dentry结构体的内部指针。5.如权利要求3所述的一种虚拟机内核结构体自动化迁移方法，其特征在于：所述dentry结构体为双向链表连接。6.如权利要求4所述的一种虚拟机内核结构体自动化迁移方法，其特征在于，还包括：完成dentry迁移后，系统将原始dentry结构体的引用计数设置为0，并将原始dentry结构体添加到LRU链表中。2CN114116138A说明书1/4页一种虚拟机内核结构体自动化迁移方法技术领域[0001]本发明属于虚拟机的技术领域，具体涉及一种虚拟机内核结构体自动化迁移方法。背景技术[0002]保护关键文件(如系统配置文件和用户隐私数据包括密码、信用卡信息等)对于可控云非常重要。很多攻击是通过越权访问系统关键文件完成的，如通过修改Linux系统下的/dev/mem文件篡改内核。建立针对关键核心文件的实时监控系统非常必要，因为这些文件一旦被篡改往往会立刻导致不良后果。为了保护关键文件，传统的域内监控系统面临着安全性的风险。而基于虚拟机自省技术的文件监控由于虚拟机管理层具有更高的权限和更强的隔离性，能够更加安全、透明地实现文件监控。基于虚拟机自省的实时文件监控相较于轮询式监控更加适用于监控关键核心文件，能够满足实时监控需求。目前，实时文件监控系统往往是监控虚拟机中某几个与文件访问相关的系统操作，每当发生文件操作时先要检查这次操作是否与被监控的关键文件有关，如果有关则会检查是否符合安全规则。这类监控方法可以被定义为基于操作的监控方法。文件操作在虚拟机中是一种高频率的操作，而其中与被监控的关键文件有关的操作只占一小部分。因此，基于操作的方法对虚拟机造成了很大的性能开销，难以直接应用于商业云计算环境中。[0003]CFWatcher通过监听dentry结构体对应的内存页面捕获虚拟机中的文件访问操作，但是由于dentry结构体大小远小于内存页面大小，因此同一页面中其他内容的变动会触发监控，造成监控的误触发。为了解决这个问CFWatcher通过监听dentry结构体对应的内存页面捕获虚拟机中的文件访问操作，但是由于dentry结构体大小远小于内存页面大小，因此同一页面中其他内容的变动会触发监控，造成监控的误触发。发明内容[0004]本发明的目的在于：针对现有技术的不足，提供一种虚拟机内核结构体自动化迁移方法，能够在域外将被监控的内核