IaaS云环境下轻量级虚拟机进程追踪系统和方法

摘要

本发明公开了IaaS云环境下轻量级虚拟机进程追踪系统和方法。所述追踪系统经由虚拟化平台从目标虚拟机外部实时追踪其内部进程，将进程追踪器分为进程追踪器后端和进程追踪器前端。在进程追踪启动前，预先构建进程追踪器后端进程信息库静态库。进程追踪开始后，在云平台虚拟化平台内部启动进程追踪器前端物理内存定位模块监视目标虚拟机内部事件，将从外部获得的硬件级字节信息还原为虚拟机内部的行为和事件特征，快速构建进程高级语义视图，实时捕获虚拟机内进程以及进程之间的关联关系。本发明无需在线解析操作系统内核，处理效率高，系统负荷小；当被监视虚拟机被入侵时，可保持对虚拟机的有效监控。

主权项

IaaS云环境下轻量级虚拟机进程追踪系统，包括进程监视终端和进程追踪器，所述进程监视终端通过有线或无线和云平台连接，其特征在于：所述进程监视终端，包括通信模块和进程显示模块；所述进程追踪器，包括进程追踪器前端和进程追踪器后端，功能上相互依存，实现上相互独立；所述进程追踪器前端，嵌入到虚拟化平台内部，包括进程物理内存定位模块和进程高级语义视图构建模块；所述进程追踪器后端，包括进程信息静态获取模块和进程信息静态库；所述进程物理内存定位模块，用于在进程追踪任务启动之后，通过客户虚拟机的内核栈指针，定位当前进程控制块在所述客户虚拟机所依托宿主实体机的物理内存地址；所述进程高级语义视图构建模块，用于根据所述进程物理内存定位模块获得的实体机物理内存地址，参照所述进程追踪器后端的进程信息静态库，解析物理内存，构建进程高级语义视图，还原所述客户虚拟机内部进程的语义内容；所述进程信息静态获取模块，用于在所述进程追踪器前端启动之前执行并完成，解析客户虚拟机使用的操作系统的内核数据结构和进程控制块PCB，获取描述进程的具体信息，并生成进程信息静态库，提供进程信息访问接口，所述描述进程的具体信息包括进程表示符、处理器状态、进程调度、进程控制；所述进程信息静态库，用于接收来自所述进程追踪器前端传递的进程语义信息调用请求，并将请求处理结果向所述进程追踪器前端回复；所述通信模块，用于向所述进程追踪器前端发出启动、挂起和停止的请求；接收所述进程追踪器前端返回的进程高级语义视图信息；所述进程显示模块，用于显示所述进程追踪器前端返回的进程高级语义视图信息。