本发明专利技术提供了一种虚拟机进程信息的检测方法及装置,该方法包括:对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获;获取所述IOCTL系统调用的参数,通过预设策略对所述参数进行检测;根据检测结果,确定是否执行所述IOCTL系统调用。该方法通过截获内核驱动程序发起的IOCTL系统调用,并对IOCTL系统调用的参数进行检测,避免了某虚拟机通过IOCTL系统调用攻击或控制虚拟机宿主操作系统,避免了出现虚拟机逃逸的现象。
【技术实现步骤摘要】
本专利技术涉及互联网
,尤其涉及一种虚拟机进程信息的检测方法及装置。
技术介绍
云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成为了构建公有云和企业私有云的技术基础。对于同一物理机上的虚拟机而言,虚拟机与虚拟机之间的隔离都是通过防护软件进行隔离,恶意软件一般会通过防护软件的一些漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的,因此,如何避免虚拟机逃逸成为了亟需解决的问题。
技术实现思路
针对现有技术中存在的上述缺陷,提出了解决上述技术问题的一种虚拟机进程信息的检测方法及装置。第一方面,本专利技术提供了一种虚拟机进程信息的检测装置,包括:截获模块,用于对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获;获取模块,用于获取所述IOCTL系统调用的参数检测模块,用于通过预设策略对所述参数进行检测;确定模块,用于根据检测结果,确定是否执行所述IOCTL系统调用。可选的,所述装置还包括:监听模块,用于监听主机的系统调用;所述截获模块,用于在监听由Qemu-kvm向kvm发起的IOCTL系统调用时,截获所述IOCTL系统调用。可选的,所述装置还包括:监听模块,用于监听主机的系统调用;所述截获模块,用于在监听由Privcmd向xen发起的IOCTL系统调用时,截获所述IOCTL系统调用。可选的,所述根据检测结果,确定是否执行所述IOCTL系统调用,包括:若所述检测结果为合法调用,则执行所述IOCTL系统调用。可选的,所述确定模块,用于:在所述检测结果为非法调用时,阻止所述IOCTL系统调用;发送模块,用于向所述监听主机发送警告信息。可选的,所述发送模块,用于:向所述监听主机以弹窗的形式发送警告信息或以日志的形式发送警告信息。第二方面,本专利技术还提供了一种虚拟机进程信息的检测方法,包括:对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获;获取所述IOCTL系统调用的参数,通过预设策略对所述参数进行检测;根据检测结果,确定是否执行所述IOCTL系统调用。可选的,在对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获之前,所述方法还包括:监听主机的系统调用,若监听由Qemu-kvm向kvm发起的IOCTL系统调用,则截获所述IOCTL系统调用。可选的,在对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获之前,所述方法还包括:监听主机的系统调用,若监听由Privcmd向xen发起的IOCTL系统调用,则截获所述IOCTL系统调用。可选的,所述根据检测结果,确定是否执行所述IOCTL系统调用,包括:若所述检测结果为合法调用,则执行所述IOCTL系统调用。可选的,所述根据检测结果,确定是否执行所述IOCTL系统调用,包括:若所述检测结果为非法调用,则阻止所述IOCTL系统调用,并向所述监听主机发送警告信息。可选的,所述向所述监听主机发送警告信息,包括:向所述监听主机以弹窗的形式发送警告信息或以日志的形式发送警告信息。由上述技术方案可知,本专利技术提供一种虚拟机进程信息的检测方法及装置,通过截获内核驱动程序发起的IOCTL系统调用,并对IOCTL系统调用的参数进行检测,避免了某虚拟机通过IOCTL系统调用攻击或控制虚拟机宿主操作系统,避免了出现虚拟机逃逸的现象。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。图1为本专利技术一实施例提供的一种虚拟机进程信息的检测方法的流程示意图;图2为本专利技术另一实施例提供的一种虚拟机进程信息的检测方法的流程示意图;图3为本专利技术一实施例提供的获取IOCTL系统调用的结构示意图;图4为本专利技术一实施例提供的获取IOCTL系统调用的结构示意图;图5为本专利技术另一实施例提供的一种虚拟机进程信息的检测方法的流程示意图;图6为本专利技术另一实施例提供的获取IOCTL系统调用的结构示意图;图7为本专利技术另一实施例提供的获取IOCTL系统调用的结构示意图;图8为本专利技术一实施例提供的虚拟机进程信息的检测装置的结构示意图;图9为本专利技术另一实施例提供的虚拟机进程信息的检测装置的结构示意图;图10为本专利技术另一实施例提供的虚拟机进程信息的检测装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。图1示出了本专利技术一实施例提供的一种虚拟机进程信息的检测方法的流程示意图,如图1所示,该方法包括以下步骤:101、对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获。本实施例中内核驱动程序发起IOCTL系统调用可以理解为是通过Hook调用ioctl函数。目前,由于虚拟化平台包括xen虚拟化平台和kvm虚拟化平台,本实施例中的虚拟化平台适用于上述两种虚拟化平台。102、获取所述IOCTL系统调用的参数,通过预设策略对所述参数进行检测。上述IOCTL系统调用的参数可以包括读操作、写操作、开启某个程序的操作和关闭某个程序的操作等。103、根据检测结果,确定是否执行所述IOCTL系统调用。上述方法通过截获内核驱动程序发起的IOCTL系统调用,并对IOCTL系统调用的参数进行检测,本文档来自技高网...
【技术保护点】
一种虚拟机进程信息的检测装置,其特征在于,包括:截获模块,用于对虚拟化平台中内核驱动程序发起的IOCTL系统调用进行截获;获取模块,用于获取所述IOCTL系统调用的参数检测模块,用于通过预设策略对所述参数进行检测;确定模块,用于根据检测结果,确定是否执行所述IOCTL系统调用。
【技术特征摘要】
1.一种虚拟机进程信息的检测装置,其特征在于,包括:
截获模块,用于对虚拟化平台中内核驱动程序发起的IOCTL系统
调用进行截获;
获取模块,用于获取所述IOCTL系统调用的参数
检测模块,用于通过预设策略对所述参数进行检测;
确定模块,用于根据检测结果,确定是否执行所述IOCTL系统调
用。
2.根据权利要求1所述的装置,其特征在于,所述装置还包括:
监听模块,用于监听主机的系统调用;
所述截获模块,用于在监听由Qemu-kvm向kvm发起的IOCTL系统
调用时,截获所述IOCTL系统调用。
3.根据权利要求1所述的装置,其特征在于,所述装置还包括:
监听模块,用于监听主机的系统调用;
所述截获模块,用于在监听由Privcmd向xen发起的IOCTL系统调用
时,截获所述IOCTL系统调用。
4.根据权利要求2或3所述的装置,其特征在于,所述根据检测结
果,确定是否执行所述IOCTL系统调用,包括:
若所述检测结果为合法调用,则执行所述IOCTL系统调用。
5.根据权利要求2或3所述的装置,其特征在于,所述确定模块,
用于:在所述检测结果为非法调用时,阻止所述IOCTL系统调用;
发送模块,用于向所述监听主机发送警告...
【专利技术属性】
技术研发人员:汤迪斌,屈梦梦,栾建海,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。