用于虚拟机中的恶意软件检测的方法和系统技术方案

示例实施例涉及用于检测在虚拟计算平台的受监控的虚拟机中持续地执行的恶意软件的存在并对其做出响应的方法、系统和计算机程序产品。该方法包括在内核日志中记录在管理器内核处的I/O请求并且在虚拟机(VM)日志中记录在由管理器管理的VM处的I/O请求。之后，所记录的I/O请求可以被比较以根据在VM日志和内核日志中记录的I/O请求之间的差异来检测恶意软件的证据。

【技术实现步骤摘要】
本专利文档的公开内容的一部分可以包含命令格式和其他计算机语言列表，其全部受到版权保护。版权所有人不反对如在专利和商标局的专利文件或记录中出现的由专利文档或专利公开中的任一种的复制，但除此之外任何情况下均保留所有版权。
本申请涉及恶意软件检测。
技术介绍
恶意软件“malware”包括所谓的高级持续性威胁(APT)，其特征在于以窃取敏感信息和/或获得对计算资源的未授权访问为目的持续性背景执行。检测APT和采取补救动作通常是困难的。包括反病毒应用的传统反恶意软件产品根据用于检测恶意软件的文件签名。已知恶意软件的可执行文件的签名被存储在数据库中，并且检测产品针对具有匹配签名的文件来扫描目标系统。这样的检测技术可以通过创建具有相同或相似的功能但是不同签名的变体(在某种程度上由造假者使用的技术)而被挫败。这些检测技术还可以被通过禁用反病毒软件、将其本身嵌入到操作系统内核中以及其他方法来主动寻求避免检测的恶意软件挫败。在计算上存在朝向基于虚拟机的计算平台的移动，基于虚拟机的计算平台采用执行在物理计算机上的仿真的或“虚拟的”计算机(机器)。虚拟机容易以与物理机器相同的方式受恶意软件的感染，并且传统本文档来自技高网...

【技术保护点】
一种方法，包括：在虚拟机VM日志中记录在VM处的I/O请求；在内核日志中记录在管理所述VM的管理器内核处的I/O请求；比较在所述VM日志和所述内核日志中记录的所述I/O请求；以及根据在所述VM日志和所述内核日志中记录的所述I/O请求之间的差异来检测恶意软件的证据。

【技术特征摘要】
2015.06.30 US 14/755,5171.一种方法，包括：在虚拟机VM日志中记录在VM处的I/O请求；在内核日志中记录在管理所述VM的管理器内核处的I/O请求；比较在所述VM日志和所述内核日志中记录的所述I/O请求；以及根据在所述VM日志和所述内核日志中记录的所述I/O请求之间的差异来检测恶意软件的证据。2.根据权利要求1所述的方法，其中记录I/O请求包括记录以下的一项或多项：时间戳、I/O类型、起始地址、偏移和长度I/O元数据。3.根据权利要求2所述的方法，其中记录I/O请求包括从VM日志元数据和内核日志元数据两者生成签名；以及其中比较在所述VM日志和所述内核日志中记录的所述I/O请求包括比较所述签名。4.根据权利要求2所述的方法，其中比较在所述VM日志和所述内核日志中记录的所述I/O请求包括检查如在所述VM日志和所述内核日志中记录的针对相应I/O的所述时间戳、所述I/O类型、写起始地址、写偏移和写长度中的一项或多项中的差异。5.根据权利要求1所述的方法，其中在VM日志中记录在VM处的I/O请求包括将I/O请求记录到针对所述VM的主引导记录。6.根据权利要求1所述的方法，其中在VM日志中记录在VM处的I/O请求包括将I/O请求记录到针对所述VM的操作系统。7.根据权利要求1所述的方法，其中在内核日志中记录在管理所述VM的管理器内核处的I/O请求包括记录VM引导时间磁盘访问I/O。8.根据权利要求1所述的方法，其中在内核日志中记录在管理
\t所述VM的管理器内核处的I/O请求是由在所述VM中运行的恶意软件不可检测的。9.根据权利要求1所述的方法，还包括：注入I/O以执行特定I/O访问；以及比较所述VM日志和所述内核日志，以探测潜在的恶意软件。10.根据权利要求1所述的方法，还包括提供对恶意软件的所述证据的通知。11.一种系统，包括：虚拟机计算平台，具有管理器并且管理虚拟机VM；VM风险代理，被配置为在VM日志中记录在所述VM处的I/O请求；以及内核风险代理，被配置为在内核日志中记录在管理器内核处的所述I/O请...

【专利技术属性】
技术研发人员：P·德贝克，A·纳坦宗，M·巴克施，
申请(专利权)人：伊姆西公司，
类型：发明
国别省市：美国;US