• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    一種虛擬機器監控方法,應用於虛擬機器監控系統中。虛擬機器監控方法包含下列步驟:於虛擬機器監控系統之虛擬層中擷取複數虛擬機器其中之一所傳送之超級呼叫,其中超級呼叫用以建立來源虛擬機器以及目的虛擬機器間之通道。擷取虛擬層中之中央管控虛擬機器代碼資訊。依據中央管控虛擬機器代碼資訊及對應超級呼叫之通道建立資訊判斷通道之類型。當通道為不透過虛擬機器中之中央管控虛擬機器所建立之私有通道時,使安全監控模組監控私有通道。
    公开号:TW201312346A
    申请号:TW100133035
    申请日:2011-09-14
    公开日:2013-03-16
    发明作者:Zhi-Wei Chen;Chia-Wei Tien;Chin-Wei Tien;Chih-Hung Lin
    申请人:Inst Information Industry;
    IPC主号:G06F21-00
    专利说明:
    虛擬機器監控方法、系統及儲存其之電腦可讀取紀錄媒體
    本揭示內容是有關於一種資訊監控技術,且特別是有關於一種虛擬機器監控方法、系統及儲存其電腦可讀取紀錄媒體。
    在現代電腦技術的進步下,軟體常常無法對過多的硬體資源做有效的利用。藉由在硬體上建立虛擬環境以執行數個虛擬機器,將可以使硬體資源獲得最有效的利用。
    在虛擬環境的虛擬機器中,常會設置一個中央管控的虛擬機器,以將虛擬機器資源進行集中管理。虛擬機器間的溝通需要經過中央管控的虛擬機器進行。因此,在習知的技術中,要判斷系統是否有異常的資料傳輸,只需要對中央管控的虛擬機器進行監控即可。然而為了加速虛擬機器間的溝通,在新近的技術中也允許虛擬機器間在不透過中央管控的虛擬機器的情形下,直接建立私有的通道。因此,習知的監控技術,將難以對這樣的私有通道進行監控,容易產生資訊安全上的漏洞。
    因此,如何設計一個新的虛擬機器監控方法、系統及儲存其電腦可讀取紀錄媒體,以克服上述之問題,乃為此一業界亟待解決的問題。
    因此,本揭示內容之一態樣是在提供一種虛擬機器監控系統,包含:虛擬層(hypervisor)、複數虛擬機器、安全監控模組以及超級呼叫(hypercall)攔截模組。虛擬機器藉由虛擬層存取至少一實體運算裝置之硬體資源,其中虛擬機器包含中央管控虛擬機器,以對虛擬機器進行管控。超級呼叫攔截模組位於虛擬層中,以擷取虛擬層中之中央管控虛擬機器代碼資訊以及擷取虛擬機器其中之一所傳送之超級呼叫,其中超級呼叫用以建立來源虛擬機器以及目的虛擬機器間之通道,超級呼叫攔截模組進一步依據中央管控虛擬機器代碼資訊及對應超級呼叫之通道建立資訊判斷根據通道之類型,以於通道為不透過中央管控虛擬機器所建立之私有通道時,使安全監控模組監控私有通道。
    依據本揭示內容一實施例,其中通道建立資訊包含對應來源虛擬機器之來源虛擬機器代碼以及對應目的虛擬機器之目的虛擬機器代碼。中央管控虛擬機器代碼資訊包含中央管控虛擬機器之中央管控虛擬機器代碼,超級呼叫攔截模組擷取中央管控虛擬機器代碼資訊,俾判斷來源虛擬機器代碼以及目的虛擬機器代碼是否包含中央管控虛擬機器代碼,以判斷通道之類型。當來源虛擬機器代碼以及目的虛擬機器代碼不包含中央管控虛擬機器代碼,超級呼叫攔截模組判斷通道之類型為私有通道。當來源虛擬機器代碼以及目的虛擬機器代碼其中之一為中央管控虛擬機器代碼,超級呼叫攔截模組判斷通道之類型為中央管控通道。
    依據本揭示內容另一實施例,通道為虛擬層之共享記憶體(share memory)。
    依據本揭示內容又一實施例,中央管控虛擬機器代碼資訊係藉由核心地圖(kernel map)查詢。
    依據本揭示內容再一實施例,當通道之類型為私有通道時,超級呼叫攔截模組將超級呼叫發佈至目的虛擬機器以及安全監控模組,俾使安全監控模組存取私有通道之資訊。超級呼叫攔截模組更用以於接收到目的虛擬機器以及安全監控模組分別傳送之清除訊號後,使來源虛擬機器關閉私有通道。
    本揭示內容之一態樣是在提供一種虛擬機器監控方法,應用於虛擬機器監控系統中。虛擬機器監控方法包含下列步驟:於虛擬機器監控系統之虛擬層中擷取複數虛擬機器其中之一所傳送之超級呼叫,其中超級呼叫用以建立來源虛擬機器以及目的虛擬機器間之通道。擷取虛擬層中之中央管控虛擬機器代碼資訊。依據中央管控虛擬機器代碼資訊及對應超級呼叫之通道建立資訊判斷通道之類型。當通道為不透過虛擬機器中之中央管控虛擬機器所建立之私有通道時,使安全監控模組監控私有通道。
    依據本揭示內容一實施例,其中通道建立資訊包含對應來源虛擬機器之來源虛擬機器代碼以及對應目的虛擬機器之目的虛擬機器代碼。中央管控虛擬機器代碼資訊包含中央管控虛擬機器之中央管控虛擬機器代碼,依據中央管控虛擬機器代碼資訊判斷通道之類型之步驟更包含判斷來源虛擬機器代碼以及目的虛擬機器代碼是否包含中央管控虛擬機器代碼,以判斷通道之類型。當來源虛擬機器代碼以及目的虛擬機器代碼不包含中央管控虛擬機器代碼,通道之類型為私有通道。當來源虛擬機器代碼以及目的虛擬機器代碼其中之一為中央管控虛擬機器代碼,通道之類型為中央管控通道。
    依據本揭示內容另一實施例,通道為虛擬層之共享記憶體。
    依據本揭示內容又一實施例,中央管控虛擬機器代碼資訊係藉由核心地圖查詢。
    依據本揭示內容再一實施例,當通道之類型為私有通道時,使安全監控模組監控私有通道之步驟更包含:將超級呼叫發佈至目的虛擬機器以及安全監控模組以及使安全監控模組存取私有通道之資訊。
    依據本揭示內容更具有之一實施例,虛擬機器監控方法更包含:判斷目的虛擬機器以及安全監控模組是否分別傳送清除訊號以及當目的虛擬機器以及安全監控模組分別傳送清除訊號,使來源虛擬機器關閉私有通道。
    本揭示內容之一態樣是在提供一種電腦可讀取紀錄媒體,儲存一電腦程式,用以執行一種虛擬機器監控方法,其中虛擬機器監控方法包含:於虛擬機器監控系統之虛擬層中擷取複數虛擬機器其中之一所傳送之超級呼叫,其中超級呼叫用以建立來源虛擬機器以及目的虛擬機器間之通道。擷取虛擬層中之中央管控虛擬機器代碼資訊。依據中央管控虛擬機器代碼資訊及對應超級呼叫之通道建立資訊判斷通道之類型。當通道為不透過虛擬機器中之中央管控虛擬機器所建立之私有通道時,使安全監控模組監控私有通道。
    依據本揭示內容一實施例,其中通道建立資訊包含對應來源虛擬機器之來源虛擬機器代碼以及對應目的虛擬機器之目的虛擬機器代碼。中央管控虛擬機器代碼資訊包含中央管控虛擬機器之中央管控虛擬機器代碼,依據中央管控虛擬機器代碼資訊判斷通道之類型之步驟更包含判斷來源虛擬機器代碼以及目的虛擬機器代碼是否包含中央管控虛擬機器代碼,以判斷通道之類型。當來源虛擬機器代碼以及目的虛擬機器代碼不包含中央管控虛擬機器代碼,通道之類型為私有通道。當來源虛擬機器代碼以及目的虛擬機器代碼其中之一為中央管控虛擬機器代碼,通道之類型為中央管控通道。
    依據本揭示內容另一實施例,通道為虛擬層之共享記憶體。
    依據本揭示內容又一實施例,中央管控虛擬機器代碼資訊係藉由核心地圖查詢。
    依據本揭示內容再一實施例,當通道之類型為私有通道時,使安全監控模組監控私有通道之步驟更包含:將超級呼叫發佈至目的虛擬機器以及安全監控模組以及使安全監控模組存取私有通道之資訊。
    依據本揭示內容更具有之一實施例,虛擬機器監控方法更包含:判斷目的虛擬機器以及安全監控模組是否分別傳送清除訊號以及當目的虛擬機器以及安全監控模組分別傳送清除訊號,使來源虛擬機器關閉私有通道。
    應用本揭示內容之優點係在於藉由擷取用以建立來源虛擬機器以及目的虛擬機器間之通道的超級呼叫,並於判斷為此通道為一私有通道時進行監控,可以偵測虛擬機器間未經過中央控管虛擬機器的溝通行為,避免資安漏洞,而輕易地達到上述之目的。
    請參照第1圖。第1圖為本揭示內容一實施例中,虛擬機器監控系統1之方塊圖。虛擬機器監控系統1包含:虛擬層(hypervisor)10、複數虛擬機器120、122及124、安全監控模組14以及超級呼叫(hypercall)攔截模組16。
    虛擬機器監控系統1是建立於實體運算裝置18上的虛擬環境,以藉由虛擬環境技術在虛擬層10上虛擬出數個虛擬機器,可以達到同時對實體運算裝置18的硬體資源進行存取的功效。舉例來說,虛擬機器監控系統1可建立於一個個人電腦中,並藉由虛擬環境技術在虛擬層10上虛擬出各執行不同的作業系統的數個虛擬機器。因此,在現代電腦硬體技術愈來愈進步的情形下,虛擬機器將可使硬體資源獲得最大的使用率。於不同實施例中,虛擬機器之數目可依需求調整,不為第1圖中繪示所限。
    虛擬機器各包含一個虛擬機器代碼。於一實施例中,虛擬機器代碼是以網域(domain)編碼表示。舉例來說,虛擬機器122之虛擬機器代碼可為網域1(domain 1),而虛擬機器124之虛擬機器代碼可為網域2(domain 2)。於本實施例中,虛擬機器120為一個中央管控虛擬機器。中央管控虛擬機器在不同之實施例中,可以是虛擬機器代碼為網域0(domain 0)的管控虛擬機器,或是具有其他虛擬機器代碼之一驅動網域(driver domain)虛擬機器,以對其他虛擬機器122、124間的溝通進行管控。
    虛擬機器122、124間常見的的溝通方式,是透過中央管控虛擬機器120所進行。亦即,虛擬機器122、124間進行溝通時,是在虛擬層10中建立一個共享記憶體,並經由中央管控虛擬機器120來對共享記憶體進行資料的傳輸。因此,藉由這樣的中央管控通道,其傳輸的資料均會經由中央管控虛擬機器120的轉發。在這樣的情形下,安全監控模組14可直接在中央管控虛擬機器120進行資料的攔截,以監控是否有危及資訊安全的事情發生。需注意的是,上述之安全監控模組14於一實施例中,可為一獨立於中央管控虛擬機器120之安全監控虛擬機器。於其他實施例中,安全監控模組14亦可設置於中央管控虛擬機器120之中,而不需獨立設置。
    然而,不透過中央管控虛擬機器120而直接藉由超級呼叫所建立在虛擬機器122、124間的私有通道,雖然可以加快虛擬機器122、124間的資料傳遞,但也使得安全監控模組14無法藉由在中央管控虛擬機器120進行資料攔截的方式來監控,因此容易造成資訊安全上的漏洞。
    本揭示內容之虛擬機器監控系統1中的超級呼叫攔截模組16位於虛擬層10,可用以擷取虛擬機器其中之一所傳送之超級呼叫。舉例來說,虛擬機器122在欲與虛擬機器124進行溝通時,將藉由第1圖中所繪示之實線路徑傳送超級呼叫至虛擬層10中。於本實施例中,超級呼叫之來源為虛擬機器122,而目的則是虛擬機器124。在虛擬層10中,將產生對應此超級呼叫的通道建立資訊(未繪示)。於一實施例中,通道建立資訊包含事件(event)相關資料結構及網域相關資料結構,分別記錄有來源虛擬機器代碼及目的虛擬機器代碼。
    請參照表1。表1為本揭示內容一實施例中,通道建立資訊中的事件相關資料結構及網域相關資料結構之內容。其中,參數「domain *remote_dom」即對應至來源虛擬機器代碼,而參數「current->domain」即對應至目的虛擬機器代碼。因此,位於虛擬層10中的超級呼叫攔截模組16將可根據通道建立資訊擷取來源虛擬機器代碼以及目的虛擬機器代碼。於本實施例中,來源虛擬機器代碼即為網域1,而目的虛擬機器代碼即為網域2。
    需注意的是,於其他實施例中,來源虛擬機器代碼及目的虛擬機器代碼亦可能以其他的型式儲存,不為本實施例中的實施方式所限。
    超級呼叫攔截模組16進一步可擷取虛擬層10中之中央管控虛擬機器代碼資訊(未繪示)。於一實施例中,中央管控虛擬機器代碼資訊是記錄於核心地圖(kernel map)中,因此可藉由查詢核心地圖得知虛擬機器代碼資訊。於一實施例中,中央管控虛擬機器代碼資訊即為中央管控虛擬機器之虛擬機器代碼(於本實施例中為網域0)。因此,在將來源虛擬機器代碼及目的虛擬機器代碼與虛擬機器代碼資訊中的中央管控虛擬機器代碼相比對後,可以得知來源虛擬機器與目的虛擬機器是否其中一者為中央管控虛擬機器120。
    如其中一者為中央管控虛擬機器120,超級呼叫攔截模組16將判斷據此超級呼叫所建立的通道為中央管控通道。根據前述,由於來源虛擬機器代碼為網域1,而目的虛擬機器代碼為網域2,均非中央管控虛擬機器120之中央管控虛擬機器代碼。因此,超級呼叫攔截模組16將判斷據此超級呼叫所建立的通道為不透過中央管控虛擬機器120所建立之私有通道。
    超級呼叫攔截模組16進一步將超級呼叫發佈至目的虛擬機器124及安全監控模組14。超級呼叫將接著於虛擬層10中建立共享記憶體100,以建立虛擬機器122與虛擬機器124溝通的通道。此時,目的虛擬機器124及安全監控模組14將均具有對共享記憶體100進行存取的權限。安全監控模組14將可對虛擬機器122與虛擬機器124經由私有通道所傳輸的資料,即第1圖中以虛線繪示之部份進行監控。
    於一實施例中,超級呼叫攔截模組16將擷取目的虛擬機器124在處理完來源虛擬機器122的要求後,傳送至虛擬層10中欲關閉私有通道的清除訊號(未繪示)。而安全監控模組14在讀取完共享記憶體100的資料後,也將傳送其對應的清除訊號至超級呼叫攔截模組16。超級呼叫攔截模組16將在均接收到來自目的虛擬機器124及安全監控模組14的清除訊號後,才將清除訊號傳送至來源虛擬機器122,使來源虛擬機器122將共享記憶體100移除以關閉私有通道,以避免此私有通道在安全監控模組14尚未存取完即為目的虛擬機器124的清除訊號所清除。
    因此,本揭示內容之虛擬機器監控系統1藉由超級呼叫攔截模組16之設置,可以在擷取虛擬機器代碼資訊以及用以建立通道之超級呼叫後進一步根據其對應的通道建立資訊判斷此通道是否為私有通道,並在判斷為私有通道後,使安全監控模組14具有存取通道的權限,以進行資安監控。
    請參照第2圖。第2圖為本揭示內容一實施例中,一種虛擬機器監控方法200之流程圖。虛擬機器監控方法可應用於如第1圖所示之虛擬機器監控系統1中。此虛擬機器監控方法可實作為一電腦程式,並儲存於一電腦可讀取記錄媒體中,而使電腦讀取此記錄媒體後執行即時地點推薦方法。電腦可讀取記錄媒體可為唯讀記憶體、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟悉此技藝者可輕易思及具有相同功能之電腦可讀取紀錄媒體。
    虛擬機器監控方法200包含下列步驟:於步驟201,藉由虛擬機器監控系統1之超級呼叫攔截模組16,在虛擬層10中擷取複數虛擬機器120、122及124其中之一所傳送之超級呼叫,其中超級呼叫用以建立來源虛擬機器以及目的虛擬機器間之通道。
    於步驟202,超級呼叫攔截模組16擷取虛擬層10中的虛擬機器代碼資訊。接著於步驟203,超級呼叫攔截模組16依據虛擬機器代碼資訊及對應超級呼叫之通道建立資訊判斷通道是否為私有通道。舉例來說,上述之虛擬機器中,虛擬機器120為一個中央管控虛擬機器120。在通道建立資訊中將記錄有來源虛擬機器代碼以及目的虛擬機器代碼,而透過前述之核心地圖,則可得知中央管控虛擬機器120的代碼。因此,超級呼叫攔截模組16可據以判斷來源虛擬機器代碼以及目的虛擬機器代碼是否其中一者為中央管控虛擬機器120之代碼。
    如果兩者其中之一為中央管控虛擬機器120的代碼,則將於步驟204判斷據此超級呼叫所建立者為中央管控通道,安全監控模組14將藉由中央管控虛擬機器120監控。如果兩者均不為中央管控虛擬機器120的代碼,則將於步驟205判斷據此超級呼叫所建立者為私有通道,且超級呼叫攔截模組16將使安全監控模組14監控私有通道。於一實施例中,超級呼叫攔截模組16是藉由將超級呼叫發佈至安全監控模組14及目的虛擬機器,以使安全監控模組14及目的虛擬機器均對於此私有通道具有存取的權限。因此安全監控模組14將可對於私有通道內的資訊進行監控。
    接著於步驟206,超級呼叫攔截模組16判斷是否接收到目的虛擬機器及安全監控模組14的清除訊號。如果至少其中之一的清除訊號尚未接收到,則超級呼叫攔截模組16將回到步驟206繼續等待。如果兩者的清除訊號均已接收到,則將於步驟207中使來源虛擬機器關閉此私有通道。
    雖然本揭示內容已以實施方式揭露如上,然其並非用以限定本揭示內容,任何熟習此技藝者,在不脫離本揭示內容之精神和範圍內,當可作各種之更動與潤飾,因此本揭示內容之保護範圍當視後附之申請專利範圍所界定者為準。
    1...虛擬機器監控系統
    10...虛擬層
    100...共享記憶體
    120、122、124...虛擬機器
    14...安全監控模組
    16...超級呼叫攔截模組
    18...實體運算裝置
    200...虛擬機器監控方法
    201-207...步驟
    為讓本揭示內容之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下:
    第1圖為本揭示內容一實施例中,虛擬機器監控系統之方塊圖;以及
    第2圖為本揭示內容一實施例中,一種虛擬機器監控方法之流程圖。
    200...虛擬機器監控方法
    201-207...步驟
    权利要求:
    Claims (27)
    [1] 一種虛擬機器監控系統,包含:一虛擬層(hypervisor);複數虛擬機器,藉由該虛擬層存取至少一實體運算裝置之一硬體資源,其中該等虛擬機器包含一中央管控虛擬機器,以對該等虛擬機器進行管控;一安全監控模組;以及一超級呼叫(hypercall)攔截模組,位於該虛擬層中,以擷取該虛擬層中之一中央管控虛擬機器代碼資訊以及擷取該等虛擬機器其中之一所傳送之一超級呼叫,其中該超級呼叫用以建立一來源虛擬機器以及一目的虛擬機器間之一通道,該超級呼叫攔截模組進一步依據該中央管控虛擬機器代碼資訊及對應該超級呼叫之一通道建立資訊判斷根據該通道之類型,以於該通道為不透過該中央管控虛擬機器所建立之一私有通道時,使該安全監控模組監控該私有通道。
    [2] 如請求項1所述之虛擬機器監控系統,其中該通道建立資訊包含對應該來源虛擬機器之一來源虛擬機器代碼以及對應該目的虛擬機器之一目的虛擬機器代碼。
    [3] 如請求項2所述之虛擬機器監控系統,其中該中央管控虛擬機器代碼資訊包含該中央管控虛擬機器之一中央管控虛擬機器代碼,該超級呼叫攔截模組擷取該中央管控虛擬機器代碼資訊,俾判斷該來源虛擬機器代碼以及該目的虛擬機器代碼是否包含該中央管控虛擬機器代碼,以判斷該通道之類型。
    [4] 如請求項3所述之虛擬機器監控系統,當該來源虛擬機器代碼以及該目的虛擬機器代碼不包含該中央管控虛擬機器代碼,該超級呼叫攔截模組判斷該通道之類型係為該私有通道。
    [5] 如請求項3所述之虛擬機器監控系統,當該來源虛擬機器代碼以及該目的虛擬機器代碼其中之一為該中央管控虛擬機器代碼,該超級呼叫攔截模組判斷該通道之類型係為一中央管控通道。
    [6] 如請求項1所述之虛擬機器監控系統,該通道為該虛擬層之一共享記憶體(share memory)。
    [7] 如請求項1所述之虛擬機器監控系統,其中該虛擬機器代碼資訊係藉由一核心地圖(kernel map)查詢。
    [8] 如請求項1所述之虛擬機器監控系統,其中當該通道之類型係為該私有通道時,該超級呼叫攔截模組將該超級呼叫發佈至該目的虛擬機器以及該安全監控模組,俾使該安全監控模組存取該私有通道之資訊。
    [9] 如請求項8所述之虛擬機器監控系統,該超級呼叫攔截模組更用以於接收到該目的虛擬機器以及該安全監控模組分別傳送之一清除訊號後,使該來源虛擬機器關閉該私有通道。
    [10] 一種虛擬機器監控方法,應用於一虛擬機器監控系統中,該虛擬機器監控方法包含下列步驟:於該虛擬機器監控系統之一虛擬層中擷取複數虛擬機器其中之一所傳送之一超級呼叫,其中該超級呼叫用以建立一來源虛擬機器以及一目的虛擬機器間之一通道;擷取該虛擬層中之一中央管控虛擬機器代碼資訊;依據該中央管控虛擬機器代碼資訊及對應該超級呼叫之一通道建立資訊判斷該通道之類型;以及當該通道為不透過該等虛擬機器中之一中央管控虛擬機器所建立之一私有通道時,使一安全監控模組監控該私有通道。
    [11] 如請求項10所述之虛擬機器監控方法,其中該通道建立資訊包含對應該來源虛擬機器之一來源虛擬機器代碼以及對應該目的虛擬機器之一目的虛擬機器代碼。
    [12] 如請求項11所述之虛擬機器監控方法,其中該中央管控虛擬機器代碼資訊包含該中央管控虛擬機器之一中央管控虛擬機器代碼,依據該中央管控虛擬機器代碼資訊及該超級呼叫之該通道建立資訊判斷該通道之類型之步驟更包含判斷該來源虛擬機器代碼以及該目的虛擬機器代碼是否包含該中央管控虛擬機器代碼,以判斷該通道之類型。
    [13] 如請求項12所述之虛擬機器監控方法,當該來源虛擬機器代碼以及該目的虛擬機器代碼不包含該中央管控虛擬機器代碼,該通道之類型係為該私有通道。
    [14] 如請求項12所述之虛擬機器監控方法,當該來源虛擬機器代碼以及該目的虛擬機器代碼其中之一為該中央管控虛擬機器代碼,該通道之類型係為一中央管控通道。
    [15] 如請求項10所述之虛擬機器監控方法,該通道為該虛擬層之一共享記憶體。
    [16] 如請求項10所述之虛擬機器監控方法,其中該中央管控虛擬機器代碼資訊係藉由一核心地圖查詢。
    [17] 如請求項10所述之虛擬機器監控方法,其中當該通道之類型係為該私有通道時,使該安全監控模組監控該私有通道之步驟更包含:將該超級呼叫發佈至該目的虛擬機器以及該安全監控模組;以及使該安全監控模組存取該私有通道之資訊。
    [18] 如請求項17所述之虛擬機器監控方法,更包含:判斷該目的虛擬機器以及該安全監控模組是否分別傳送一清除訊號;以及當該目的虛擬機器以及該安全監控模組分別傳送該清除訊號,使該來源虛擬機器關閉該私有通道。
    [19] 一種電腦可讀取紀錄媒體,儲存一電腦程式,用以執行一種虛擬機器監控方法,其中該虛擬機器監控方法包含:於一虛擬機器監控系統之一虛擬層中擷取複數虛擬機器其中之一所傳送之一超級呼叫,其中該超級呼叫用以建立一來源虛擬機器以及一目的虛擬機器間之一通道;擷取該虛擬層中之一中央管控虛擬機器代碼資訊;依據該中央管控虛擬機器代碼資訊及對應該超級呼叫之一通道建立資訊判斷該通道之類型;以及當該通道為不透過該等虛擬機器中之一中央管控虛擬機器所建立之一私有通道時,使一安全監控模組監控該私有通道。
    [20] 如請求項19所述之電腦可讀取紀錄媒體,其中該超級呼叫包含一通道建立資訊,該通道建立資訊包含對應該來源虛擬機器之一來源虛擬機器代碼以及對應該目的虛擬機器之一目的虛擬機器代碼。
    [21] 如請求項20所述之電腦可讀取紀錄媒體,其中該中央管控虛擬機器代碼資訊包含該中央管控虛擬機器之一中央管控虛擬機器代碼,依據該中央管控虛擬機器代碼資訊及該超級呼叫之該通道建立資訊判斷該通道之類型之步驟更包含判斷該來源虛擬機器代碼以及該目的虛擬機器代碼是否包含該中央管控虛擬機器代碼,以判斷該通道之類型。
    [22] 如請求項21所述之電腦可讀取紀錄媒體,當該來源虛擬機器代碼以及該目的虛擬機器代碼不包含該中央管控虛擬機器代碼,該通道之類型係為該私有通道。
    [23] 如請求項21所述之電腦可讀取紀錄媒體,當該來源虛擬機器代碼以及該目的虛擬機器代碼其中之一為該中央管控虛擬機器代碼,該通道之類型係為一中央管控通道。
    [24] 如請求項19所述之電腦可讀取紀錄媒體,該通道為該虛擬層之一共享記憶體。
    [25] 如請求項19所述之電腦可讀取紀錄媒體,其中該中央管控虛擬機器代碼資訊係藉由一核心地圖查詢。
    [26] 如請求項19所述之電腦可讀取紀錄媒體,其中當該通道之類型係為該私有通道時,使該安全監控模組監控該私有通道之步驟更包含:將該超級呼叫發佈至該目的虛擬機器以及該安全監控模組;以及使該安全監控模組存取該私有通道之資訊。
    [27] 如請求項26所述之電腦可讀取紀錄媒體,該虛擬機器監控方法更包含:判斷該目的虛擬機器以及該安全監控模組是否分別傳送一清除訊號;以及當該目的虛擬機器以及該安全監控模組分別傳送該清除訊號,使該來源虛擬機器關閉該私有通道。
    类似技术:
    公开号 | 公开日 | 专利标题
    TWI451245B|2014-09-01|虛擬機器監控方法、系統及儲存其之電腦可讀取紀錄媒體
    US10055580B2|2018-08-21|Technologies for multi-factor security analysis and runtime control
    US9098325B2|2015-08-04|Persistent volume at an offset of a virtual block device of a storage server
    CN108829350B|2020-02-21|基于区块链的数据迁移方法和装置
    KR101378270B1|2014-03-25|Sas 확장기를 포함하는 저장 시스템에서 데이터 판독을 가능하게 하기 위한 방법, 시스템 및 sas 확장기 디바이스
    WO2015188579A1|2015-12-17|分布式虚拟防火墙装置、方法及防火墙控制器
    US20080215728A1|2008-09-04|Computer Management System and Computer Management Method
    US20160277425A1|2016-09-22|Network interface devices with remote storage control
    CN103984536B|2017-07-14|一种云计算平台中的 i/o 请求计数系统及其方法
    US8843676B2|2014-09-23|Optimizing an operating system I/O operation that pertains to a specific program and file
    US10552089B2|2020-02-04|Data processing for managing local and distributed storage systems by scheduling information corresponding to data write requests
    US20080115127A1|2008-05-15|Apparatus and method for carrying out information processing by virtualization
    US10397353B2|2019-08-27|Context enriched distributed logging services for workloads in a datacenter
    CN108133143B|2020-02-28|一种面向云桌面应用环境的数据防泄漏方法及系统
    US20150020167A1|2015-01-15|System and method for managing files
    US9032484B2|2015-05-12|Access control in a hybrid environment
    CN109729050B|2022-02-08|一种网络访问监控方法及装置
    US9178892B2|2015-11-03|System and method for managing access to computer resources
    WO2019037521A1|2019-02-28|安全检测的方法、装置、系统以及服务器
    US10628591B2|2020-04-21|Method for fast and efficient discovery of data assets
    US20170270129A1|2017-09-21|Application server, cloud device, storage medium access monitoring method, and computer-readable storage medium having computer program stored thereon
    US11005890B2|2021-05-11|Secure software defined storage
    TWI715011B|2021-01-01|資料保護裝置及方法
    JP6909218B2|2021-07-28|ラック内のノードのための分散型オペレーティング・システム機能
    US10284586B1|2019-05-07|Data loss prevention techniques for applications with save to web functionality
    同族专利:
    公开号 | 公开日
    CN102999716B|2016-01-06|
    US8650567B2|2014-02-11|
    TWI451245B|2014-09-01|
    CN102999716A|2013-03-27|
    US20130067470A1|2013-03-14|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    US7996836B1|2006-12-29|2011-08-09|Symantec Corporation|Using a hypervisor to provide computer security|
    US7797748B2|2007-12-12|2010-09-14|Vmware, Inc.|On-access anti-virus mechanism for virtual machine architecture|
    US8104083B1|2008-03-31|2012-01-24|Symantec Corporation|Virtual machine file system content protection system and method|
    CN101290586B|2008-06-06|2011-07-20|华中科技大学|基于优先中国墙策略的虚拟机隐形流控制方法|
    US8429675B1|2008-06-13|2013-04-23|Netapp, Inc.|Virtual machine communication|
    CN101452397B|2008-11-27|2012-08-22|上海交通大学|虚拟化环境中的强制访问控制方法及装置|
    US8387046B1|2009-03-26|2013-02-26|Symantec Corporation|Security driver for hypervisors and operating systems of virtualized datacenters|
    US8352941B1|2009-06-29|2013-01-08|Emc Corporation|Scalable and secure high-level storage access for cloud computing platforms|
    US20110113426A1|2009-11-09|2011-05-12|Hsiang-Tsung Kung|Apparatuses for switching the running of a virtual machine between multiple computer devices belonging to the same computer platform and the associated switching methods|
    US8869144B2|2009-12-14|2014-10-21|Citrix Systems, Inc.|Managing forwarding of input events in a virtualization environment to prevent keylogging attacks|
    WO2011143103A2|2010-05-10|2011-11-17|Citrix Systems, Inc.|Redirection of information from secure virtual machines to unsecure virtual machines|
    CN101923507B|2010-07-30|2012-09-26|华中科技大学|基于驱动的虚拟机通用监控系统|
    US9191454B2|2011-06-27|2015-11-17|Microsoft Technology Licensing, Llc|Host enabled management channel|CN102726027B|2011-12-28|2014-05-21|华为技术有限公司|虚拟机全盘加密下预启动时的密钥传输方法和设备|
    US8694781B1|2012-03-30|2014-04-08|Emc Corporation|Techniques for providing hardware security module operability|
    KR101448060B1|2012-11-30|2014-10-15|한국전자통신연구원|가상 머신을 이용한 암호화 장치 및 방법|
    US8918868B2|2013-01-15|2014-12-23|Netronome Systems, Incorporated|Compartmentalization of the user network interface to a device|
    KR102033009B1|2013-09-13|2019-10-16|한국전자통신연구원|가상 물리 시스템 및 그의 가상 머신 모니터링 방법|
    US9824225B1|2013-09-20|2017-11-21|EMC IP Holding Company LLC|Protecting virtual machines processing sensitive information|
    US9727357B2|2013-10-01|2017-08-08|International Business Machines Corporation|Failover detection and treatment in checkpoint systems|
    US20170269841A1|2013-12-20|2017-09-21|Empire Technology Development Llc|Data storage in degraded solid state memory|
    TWI515599B|2014-03-17|2016-01-01|Chunghwa Telecom Co Ltd|Computer program products and methods for monitoring and defending security|
    RU2580030C2|2014-04-18|2016-04-10|Закрытое акционерное общество "Лаборатория Касперского"|Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети|
    RU2568282C2|2014-04-18|2015-11-20|Закрытое акционерное общество "Лаборатория Касперского"|Система и способ обеспечения отказоустойчивости антивирусной защиты, реализуемой в виртуальной среде|
    WO2016105232A1|2014-12-25|2016-06-30|Siemens Aktiengesellschaft|Increasing the level of security for micro-hypervisor based virtualization platforms|
    US10348500B2|2016-05-05|2019-07-09|Adventium Enterprises, Llc|Key material management|
    CN106020997B|2016-05-13|2019-07-16|北京红山世纪科技有限公司|一种用于虚拟机间数据传输的方法和系统|
    CN109951527B|2019-02-20|2020-08-25|华东师范大学|面向虚拟化系统的hypervisor完整性检测方法|
    法律状态:
    优先权:
    申请号 | 申请日 | 专利标题
    TW100133035A|TWI451245B|2011-09-14|2011-09-14|虛擬機器監控方法、系統及儲存其之電腦可讀取紀錄媒體|TW100133035A| TWI451245B|2011-09-14|2011-09-14|虛擬機器監控方法、系統及儲存其之電腦可讀取紀錄媒體|
    CN201110327132.1A| CN102999716B|2011-09-14|2011-10-19|虚拟机器监控系统及方法|
    US13/287,650| US8650567B2|2011-09-14|2011-11-02|Virtual machine monitoring method, system and computer readable storage medium|
    [返回顶部]