本发明专利技术提供一种基于行为识别的虚拟机安全监控方法,设置一系列的虚拟机及相关程序运行过程行为关键监测点、虚拟机资源状态临界鉴别点,进而设定相应的特征参数规范。在此基础上对虚拟机及相关资源进行监测,当发现虚拟机及虚拟机应用程序的行为或虚拟机相关资源状态发生异常时,即发出异常告警。虚拟机运行环境的底层操作系统或监控系统,可根据这些异常告警信息采取相应的防护措施,从而有效地保护虚拟机和虚拟化系统运行安全。
【技术实现步骤摘要】
本专利技术属于虚拟机安全
,特别涉及基于行为特征识别的安全监控方法。通过对虚拟机行为、以及相关资源状态的监测,发现进程活动及资源状态异常,进而实现对虚拟机的安全保护,具体地说是一种基于行为识别的虚拟机安全监控方法。
技术介绍
虚拟化作为当今热点技术之一,已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。然而由于在虚拟机实现及运行环境等方面的存在的不可避免的漏洞、后门和BUG,导致一系列的虚拟化安全问题,如虚拟机溢出、虚拟机异常迁移、病毒黑客攻击、病毒扫描风暴等等,这些问题严重困扰着云计算和互联网应用的信息安全 。现有的虚拟机安全保护手段,主要分为两类,一类是采用传统的外部防护技术,如防火墙、安全网关、IDS/IPS、杀毒软件等;另一类是基于操作系统及其内核的监控防护,包括虚拟机启动监视、虚拟机注册表监控、虚拟机文件系统监控、虚拟机管理等。前一类方法尽管较为成熟,但由于虚拟机到物理层面映射的安全边界模糊化,因而难以实现高效应用。后一类方法正处于发展阶段,目前还很不完善,许多因虚拟化而引起的安全风险机理和防护措施正在研究当中。
技术实现思路
本专利技术的目的是通过对虚拟机行为、虚拟机应用进程行为、以及相关资源状态的监测,发现进程活动和资源状态异常,进而实现对虚拟机的安全保护。 提供一种基于行为识别的虚拟机安全监控方法。本专利技术的目的是按以下方式实现的,内容步骤如下:1)虚拟机及相关程序行为关键监测点的定义与设置:进程在关键监测点的操作,关键点设置包括:虚拟机内敏感数据/文件访问点;出虚拟机边界点;入虚拟机边界点;与底层层主操作系统或其他虚拟机/程序的共享数据临界点;对底层操作系统和资源包括CPU、存储、网络、数据库;操作访问的接口;虚拟机迁移源边界点;虚拟迁移宿主边界点;2)虚拟机相关资源状态临界监测点的定义与设置,包括如下内容:资源状态越过临界点即会引起虚拟机或虚拟化系统运行异常,临界点设置包括:虚拟机对应的物理资源临界点包括:CPU、存储、网络;虚拟机权限临界点;虚拟机本身在底层操作系统中的数据存储区边界;应用进程在虚拟机中的数据存储区边界和虚拟机I/O参数临界值;3)关键点和临界点特征参数规范,基于第1、第2条内容中所述关键点和临界点的设置,给行为关键监测点和资源临界监测点的特征参数设定规范值,是所有关键点和临界点及其特征参数规范值,即构成关键点和临界点特征规范库;4)独立于底层操作系统的带外监控方式,是直接在硬件虚拟资源层上构建监控实体的运行环境,监控实体与被监测的虚拟机和应用程序相隔离。本专利技术的目的有益效果是:虚拟机、虚拟机中的应用程序、虚拟机运行环境及第三方软件、虚拟机相关资源中,都不可避免地存在各种漏洞BUG,这些漏洞和BUG都会引起虚拟机运行异常,诸如虚拟机之间的渗透、临界区溢出、虚拟机逃逸 、病毒木马和黑客对虚拟机的检测与攻击等,给虚拟化系统带来安全威胁。采用本专利技术方法,通过对虚拟机进程行为以及相关资源状态的监测,发现虚拟机行为异常和相关资源状态异常,为云计算平台及各类虚拟化系统中的虚拟机提供有效的运行安全安全监测,进而实现相应的安全防护。附图说明附图1是基于行为识别的虚拟机安全监控方法的实施方案示意图。具体实施方式参照说明书附图对本专利技术的方法作以下详细地说明。设置一系列的虚拟机及相关程序运行过程行为关键监测点(简称关键点)、虚拟机资源状态的临界鉴别点(简称临界点),并对这些关键点和临界点的特征参数设定规范值,在此基础上对虚拟机及相关资源进行行为监测,当发现虚拟机、虚拟机操作系统或应用程序在关键点和临界点的操作行为不符合特征规范时,即发出异常告警。 虚拟机运行环境之底层公共操作系统或监控系统,可以根据基于本专利技术获得的异常告警采取相应的防护措施,保证系统运行安全。本专利技术主要创新点在于:1、虚拟机及相关程序行为关键监测点(参见图1),其特征为进程在关键监测点的操作,可能对虚拟机或虚拟化系统存在较大安全风 。主要包括:虚拟机内敏感数据/文件访问点、出虚拟机边界点、入虚拟机边界点、与底层主操作系统或其他虚拟机和程序的共享数据临界点、对底层操作系统和资源(CPU、存储、网络、数据库等)操作访问的接口、虚拟机迁移源边界点、虚拟迁移宿主边界点;2、虚拟机相关资源的状态临界点设置(参见图1),其特征为资源状态越过临界点即会引起虚拟机或虚拟化系统运行异常,主要包括:虚拟机对应的物理资源临界点(CPU、存储、网络)、虚拟机权限临界点、虚拟机本身在底层操作系统中的数据存储区边界、应用进程在虚拟机中的数据存储区边界、虚拟机I/O参数临界值;3、关键点和临界点特征参数规范:由一系列关键点和临界点的行为特征参数及其规范值组成;独立于底层操作系统的带外监控方式:在本专利技术方法的实现方式上,为防止行为监测被基于操作系统内核的高级攻击者欺骗,可直接在硬件虚拟资源层上运行监控实体,与应用程序相隔离,防止被应用层的病毒木马或来自网络的黑客直接攻击。 实施例图1给出了本专利技术的一个参考实现方案,主要涉及监测功能实体,包括虚拟机运行监控引擎和行为特征规范库、虚拟机、虚拟资源及底层操作系统Host-OS。其中,虚圆圈代表行为关键监测点和资源状态临界鉴别点,带箭头的线表示虚拟机进程内部的关键访问以及虚拟机之间的访问,带箭头的线表示虚拟机与底层资源/操作系统的访问包括虚拟机迁移。底层主操作系统Host-OS之下的硬件包括:服务器、存储设备、网络等未画出。该专利技术实现方案的实现步骤如下:1)构建虚拟机运行监控引擎该引擎能够扫描监视虚拟机运行过程中的在各种关键点和临界点的行为,并将扫描结果与虚拟机行为和资源状态的特征规范进行比较分析,如果发现异常则发出告警; 2)设置关键点/临界点,构建行为规范库包括虚拟机行为特征规范和资源状态特征规范二类,其主要包括的内容参见
技术实现思路
部分的第1条、第2条;具体构建内容示范如下:示范1:虚拟机权限临界点 虚拟机操作系统权限最大值; 虚拟机操作系统与底层主操作系统的数据共享边界; 虚拟机管理器对虚拟机设置的范围边界; 虚拟机输入输出控制参数赋值范围; …………示范2:虚拟机内敏感数据/文件访问关键点 虚拟机对主要堆栈的操作(特别是栈顶和栈底); 进程对注册表等敏感数据或文件的修改; 控制命令对驱动程序参数的修改; 远程调用涉及修改虚拟机访问数据地址空间的操作;………… 3)建立监控实体(虚拟机运行监控引擎和行为特征规范库)的运行环境 最好直接在硬件层或虚拟硬件资源层上建立监控实体的独立运行环境,实现与虚拟机及虚拟机中应用程序的隔离运行,这本文档来自技高网...
【技术保护点】
一种基于行为识别的虚拟机安全监控方法, 其特征在于虚拟机运行环境之底层公共操作系统或监控系统,是基于明获得的异常告警采取相应的防护措施,保证系统运行安全,包括如下内容:设置一系列的虚拟机及相关程序运行过程行为关键监测点,简称关键点;虚拟机资源状态的临界鉴别点,简称临界点,并对这些关键点和临界点的特征参数设定规范值,在此基础上对虚拟机及相关资源进行行为监测,当发现虚拟机、虚拟机操作系统或应用程序在关键点和临界点的操作行为不符合特征规范时,即发出异常告警,其中: 虚拟机及相关程序行为关键监测点的操作对虚拟机或虚拟化系统存在的较大安全风险,包括:虚拟机内敏感数据/文件访问点;出虚拟机边界点;入虚拟机边界点;与底层主操作系统或其他虚拟机和程序的共享数据临界点;对底层操作系统和资源包括:CPU、存储、网络、数据库操作访问的接口;虚拟机迁移源边界点;虚拟迁移宿主边界点; 虚拟机相关资源的状态临界点设置,资源状态越过临界点即会引起虚拟机或虚拟化系统运行异常,包括:虚拟机对应的物理资源临界点包括:CPU、存储、网络;虚拟机权限临界点;虚拟机本身在底层操作系统中的数据存储区边界;应用进程在虚拟机中的数据存储区边界;虚拟机I/O参数临界值; 关键点和临界点特征参数规范:由一系列关键点和临界点的行为特征参数及其规范值组成;独立于底层操作系统的带外监控方式,为防止行为监测被基于操作系统内核的高级攻击者欺骗,直接在硬件虚拟资源层上运行监控实体,与应用程序相隔离,防止被应用层的病毒木马或来自网络的黑客直接攻击。...
【技术特征摘要】
1.一种基于行为识别的虚拟机安全监控方法, 其特征在于虚拟机运行环境之底层公共操作系统或监控系统,是基于明获得的异常告警采取相应的防护措施,保证系统运行安全,包括如下内容:
设置一系列的虚拟机及相关程序运行过程行为关键监测点,简称关键点;虚拟机资源状态的临界鉴别点,简称临界点,并对这些关键点和临界点的特征参数设定规范值,在此基础上对虚拟机及相关资源进行行为监测,当发现虚拟机、虚拟机操作系统或应用程序在关键点和临界点的操作行为不符合特征规范时,即发出异常告警,其中:
虚拟机及相关程序行为关键监测点的操作对虚拟机或虚拟化系统存在的较大安全风险,包括:虚拟机内敏感数据/文件访问点;出虚拟机边界点;入虚拟机边界点;与底层主操作系统或其他虚拟机和程序的共享数据临界点;...
【专利技术属性】
技术研发人员:苗再良,
申请(专利权)人:浪潮通信信息系统有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。