本发明专利技术公开了一种检测虚拟机逃逸的方法及装置,涉及互联网技术领域,主要目的在于能够在不影响虚拟机与宿主机之间正常的共享与交互的基础上,有效的检测出虚拟机逃逸行为。本发明专利技术的方法包括:获取虚拟机流向宿主机的异常数据信息;通过预设的行为特征信息库对所述异常数据信息进行检测;当检测到所述异常数据信息为恶意行为的数据信息时,将所述恶意行为的数据信息进行拦截;当检测到所述异常数据信息为非恶意行为的数据信息时,将所述非恶意行为的数据信息传递至宿主机。本发明专利技术主要用于虚拟机运行环境下的安全检测。
【技术实现步骤摘要】
本专利技术涉及互联网
,特别是涉及一种检测虚拟机逃逸的方法及装置。
技术介绍
虚拟机是一种特殊的软件,它可以在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件。在计算机科学中,虚拟机是可以像真实机器一样运行程序的计算机的软件实现。虚拟机能够分享宿主机的各种资源并提供隔离,在正常的虚拟机运行环境中,一个程序运行在虚拟机里,无法影响其他虚拟机和宿主机。但是,由于技术的限制和虚拟化软件的一些程序漏洞,在虚拟机被恶意攻陷后,虚拟机里运行的程序能够通过这些漏洞绕过底层运行环境,从而利用宿主机执行具有宿主机特权的操作,这种技术叫做虚拟机逃逸技术。当宿主机内某个虚拟机发生逃逸后,该逃逸的虚拟机能够拥有宿主机的特权进行各种操作,将使宿主机和整个虚拟环境下所有虚拟机的安全性受到威胁。因此,如何防止虚拟机逃逸行为的发生,并且不会影响虚拟机与宿主机之间正常的共享与交互,成为目前亟待解决的技术问题。
技术实现思路
有鉴于此,本专利技术提出了一种检测虚拟机逃逸的方法及装置,主要目的在于在不影响虚拟机与宿主机之间正常的共享与交互的基础上,能够有效的检测出虚拟机逃逸行为。依据本专利技术的第一个方面,本专利技术提供了一种检测虚拟机逃逸的方法,包括:获取虚拟机流向宿主机的异常数据信息;通过预设的行为特征信息库对所述异常数据信息进行检测;当检测所述异常数据信息为恶意行为的数据信息时,将所述恶意行为的数据信息进行拦截;当检测所述异常数据信息为非恶意行为的数据信息时,将所述非恶意行为的数据信息传递至宿主机。依据本专利技术的第二个方面,本专利技术提供了一种检测虚拟机逃逸的装置,包括:获取单元,用于获取虚拟机流向宿主机的异常数据信息;检测单元,用于通过预设的行为特征信息库对所述异常数据信息进行检测;拦截单元,用于当检测所述异常数据信息为恶意行为的数据信息时,将所述恶意行为的数据信息进行拦截;传递单元,用于当检测所述异常数据信息为非恶意行为的数据信息时,将所述非恶意行为的数据信息传递至宿主机。借由上述技术方案,本专利技术实施例提供的一种检测虚拟机逃逸的方法及装置,通过将虚拟机流向宿主机的异常数据信息与预设的行为特征信息库进行比对,来检测虚拟机流向宿主机的异常数据信息是否对应恶意行为;由于虚拟机正常情况下只在自己的虚拟环境下进行相关操作,当有数据信息从虚拟机流入宿主机时,会存在虚拟机逃逸行为发生的可能。因此,当检测到所述异常数据信息对应恶意行为时,需要将对应恶意行为的数据信息进行拦截,防止其进入宿主机后利用宿主机的特权进行操作;当检测到所述异常数据信息对应非恶意行为时,将对应非恶意行为的数据信息传递至宿主机,以便实现虚拟机和宿主机之间正常的信息共享和交互。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例提供的一种检测虚拟机逃逸的方法的流程图;图2示出了本专利技术实施例提供的一种检测虚拟机逃逸的装置的组成框图;图3示出了本专利技术实施例提供的一种检测虚拟机逃逸的装置的组成框图。具体实施方式下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。虚拟化指的是将一个物理计算机划分为一个或多个完全孤立的“虚拟机”。虚拟机提供的环境,看起来就像是独立并存的数个计算机,而实际上是在一个物理主机上模拟运行的。在理想环境下,一个物理机内的虚拟机之间并不允许互相交流,但是由于技术的限制和虚拟化软件的一些程序漏洞,在虚拟机里运行的数据信息能够通过这些漏洞绕过底层,从而流向宿主机进行运行,当这些逃逸的数据信息为对应恶意行为的数据信息时,会对宿主机和其他虚拟机的运行造成危害,但是当逃逸的数据信息为虚拟机与宿主机之间正常的信息共享和交互时,就无需对这些数据信息进行处理。基于上述原因,本专利技术实施例提供了一种检测虚拟机逃逸的方法,能够在不影响虚拟机与宿主机之间正常的共享与交互的基础上,有效的检测出虚拟机逃逸行为。如图1所示,该方法包括:101、获取虚拟机流向宿主机的异常数据信息。在宿主机内构建虚拟机时,需要利用宿主机的各种资源为每个虚拟机分配供其单独使用的资源,如内存资源、中央处理器(Central Processing Unit,简称CPU)资源,硬盘资源等。宿主机内构建的每个虚拟机都可以在自身的运行环境下进行数据操作。其中,宿主机拥有最高的权限,各个虚拟机之间的运行互不干扰。当某个虚拟机内的数据信息逃出该虚拟机的运行环境流入宿主机后,这样的漏洞会被利用,从而利用宿主机的特权执行恶意操作,给宿主机和其他虚拟机造成危害。因此,当出现虚拟机内的数据信息流入宿主机时,这些数据信息通常被认为具有潜在的危险,很可能是包含某些病毒、木马等的恶意数据信息。本专利技术实施例对从虚拟机内流向宿主机内的数据信息统称为异常数据信息,为了判断虚拟机运行环境下是否出现真正的虚拟机逃逸行为,本专利技术实施例需要执行步骤101获取虚拟机流向宿主机的异常数据信息。102、通过预设的行为特征信息库对所述异常数据信息进行检测。当在步骤101中获取到虚拟机流向宿主机的异常数据信息之后,就需要确定所述异常数据信息是否安全,也就是确定其是否为对应恶意行为的数据信息。当某些数据信息对应的操作为执行恶意行为时,其操作结果或者执行的恶意行为都会具有一些特征,本专利技术实施例称为行为特征信息,恶意行为产生的行为特征信息与正常行为产生的行为特征信息通常不相同。因此,通过检测虚拟机流向宿主机的异常数据信息对应的操作所产生的行为特征信息是否安全,就可以确定从虚拟机流向宿主机的异常数据信息是否安全。为了检测所述异常数据信息对应的操作所产生的行为特征信息是否安全,本专利技术实施例提供了预设的行为特征信息库,该行为特征信息库中记录了已知的各种恶意行为产生的行为特征信息,通过将所述异常数据信息对应的操作产生的行为特征信息在预设的行为特征信息库中进行比对,就可以确定所述异常数据信息是否为对应恶意行为的数据信息。103、当检测所述异常数据信息为恶意行为的数据信息时,将所述恶意行为的数据信息进行拦截。当通过步骤102检测到所述异常数据信息为对应恶意行为的数据信息时,本专利技术实施例需要将对应恶意行为的异常数据信息进行拦截,避免其流入宿主机后利用宿主机的特权执行恶意行为,从而危害宿主机及其他虚拟机的安全。104、当检测所述异常数据信息为非恶意行为的数据信息时,将所述非恶意行为的数据信息传递至宿主机。当通过步骤102检测到所述异常数据信息为对应非恶意行为的数据信息时,可以认为对应非恶意行为的异常数据信息是虚拟机与宿主机之间正常的信息共享和交互,从而无需对该异常数据信息本文档来自技高网...
【技术保护点】
一种检测虚拟机逃逸的方法,其特征在于,所述方法包括:获取虚拟机流向宿主机的异常数据信息;通过预设的行为特征信息库对所述异常数据信息进行检测;当检测所述异常数据信息为恶意行为的数据信息时,将所述恶意行为的数据信息进行拦截;当检测所述异常数据信息为非恶意行为的数据信息时,将所述非恶意行为的数据信息传递至宿主机。
【技术特征摘要】
1.一种检测虚拟机逃逸的方法,其特征在于,所述方法包括:获取虚拟机流向宿主机的异常数据信息;通过预设的行为特征信息库对所述异常数据信息进行检测;当检测所述异常数据信息为恶意行为的数据信息时,将所述恶意行为的数据信息进行拦截;当检测所述异常数据信息为非恶意行为的数据信息时,将所述非恶意行为的数据信息传递至宿主机。2.根据权利要求1所述的方法,其特征在于,所述获取虚拟机流向宿主机的异常数据信息包括:通过钩子程序Hook截获虚拟机流向宿主机的异常数据信息;或者,通过访问虚拟机控制结构中记录有异常数据信息的页表来获取虚拟机流向宿主机的异常数据信息。3.根据权利要求1所述的方法,其特征在于,所述通过预设的行为特征信息库对所述异常数据信息进行检测包括:在预设地址的空间内模拟所述异常数据信息对应的操作,所述预设地址的空间与宿主机内核空间相隔离;将操作结果对应的行为特征信息在预设的行为特征信息库中进行比对,检测所述异常数据信息是否为恶意行为的数据信息。4.根据权利要求3所述的方法,其特征在于,所述在预设地址的空间内模拟所述异常数据信息对应的操作包括:读取所述异常数据信息中记录的数据信息类型及初始指针地址;将所述初始指针地址更改为检测指针地址;根据所述检测指针地址跳转到预设地址的空间内,执行所述数据信息类型对应的操作。5.根据权利要求3或4所述的方法,其特征在于,将所述恶意行为的数据信息进行拦截之后,所述方法还包括:将拦截的恶意行为的数据信息返回给所述虚拟机;或者,将拦截的恶意行为的数据信息在预设地址的空间内进行销...
【专利技术属性】
技术研发人员:栾建海,汤迪斌,李常坤,杜少博,谭元蕊,
申请(专利权)人:北京奇虎科技有限公司,北京奇安信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。