基于虚拟机的内核漏洞检测进程保护方法及装置制造方法及图纸

本发明专利技术公开了一种基于虚拟机的内核漏洞检测进程保护方法及装置。其中方法包括：获取各检测子进程的相关信息，将各检测子进程的相关信息写入进程过滤名单中；利用挂钩技术，在调用指定API之前，获取当前上下背景文进程的相关信息和操作目标进程的相关信息；判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中，且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中；若是，终止调用所述指定API。利用本发明专利技术，可保护在虚拟机沙箱隔离环境下运行的检测进程的地址空间，防止被沙箱逃逸的恶意样本进程访问，避免机密信息失窃，提升在虚拟机沙箱隔离环境下内核漏洞检测的安全性。

Kernel based vulnerability detection process protection method and device based on virtual machine

The invention discloses a kernel vulnerability detection process protection method and device based on a virtual machine. The method comprises the following steps: obtaining relevant information of the detection process, related information of each detection sub process to write process filter list; using hook technology, before calling the designated API, relevant information and operation target under the background of the process of acquiring the current process; whether the information related to the operation process of target judgment the record in the process of filtering the list, and the information related to the current context the process is not recorded in the process of filtering the list; if the specified API, call termination. The invention can protect the detection process running in the virtual machine sandbox isolation under the environment of the address space, prevent malicious sample process sandbox escape access to confidential information, avoid theft, improve security in the virtual machine sandbox isolation environment kernel vulnerability detection.

【技术实现步骤摘要】
基于虚拟机的内核漏洞检测进程保护方法及装置
本专利技术涉及计算机安全
，具体涉及一种基于虚拟机的内核漏洞检测进程保护方法及装置。
技术介绍
网络恶意行为是指网络系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改、泄露，致使系统不能连续可靠正常地运行，网络服务中断的行为。随着信息化的普及，网络新应用的大量出现，网络恶意代码所表现出的行为也层出不穷，目前最流行的网络恶意行为是网页挂马、盗取帐号、端口扫描、漏洞扫描、ARP(AddressResolutionProtocol，地址解析协议)欺骗、IP(InternetProtocol，因特网协议)劫持、DDOS(DistributedDenialofService，分布式拒绝服务)攻击、溢出攻击、木马攻击等。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。内核作为操作系统的核心，如何检测内核漏洞是安全防护工作的重中之重。现有技术中，黑客在入侵系统时，往往通过提权的方式获得系统的最高权限，从而取得操作系统的控制权。简单来说，提权就是将一个低权限、受限制很多的用户提升到系统中最高权限(如管理员权限)。权限控制是系统安全的基石，也是一切安全软件的基石，一旦这道门槛被突破，任何防御措施都是无效的。因此，如何能够有效地检测内核漏洞，预防黑客通过提权的方式进行系统攻击成为现有技术亟待解决的问题。在内核漏洞检测过程中，如何避免恶意样本进程访问检测进程，破坏检测过程也是一个重要的问题。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的基于虚拟机的内核漏洞检测进程保护方法及装置。根据本专利技术的一个方面，提供了一种基于虚拟机的内核漏洞检测进程保护方法，所述方法在虚拟机沙箱隔离环境下运行，方法包括：获取各检测子进程的相关信息，将各检测子进程的相关信息写入进程过滤名单中；利用挂钩技术，在调用指定API之前，获取当前上下背景文进程的相关信息和操作目标进程的相关信息；判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中，且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中；若是，终止调用所述指定API。根据本专利技术的另一方面，提供了一种基于虚拟机的内核漏洞检测进程保护装置，所述装置在虚拟机沙箱隔离环境下运行，装置包括：写入模块，适于获取各检测子进程的相关信息，将各检测子进程的相关信息写入进程过滤名单中；挂钩处理模块，适于利用挂钩技术，在调用指定API之前，获取当前上下背景文进程的相关信息和操作目标进程的相关信息；判断模块，适于判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中，且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中；终止模块，适于若所述判断模块判断出所述操作目标进程的相关信息记录在所述进程过滤名单中，且所述当前上下背景文进程的相关信息未记录在所述进程过滤名单中，终止调用所述指定API。根据本专利技术提供的基于虚拟机的内核漏洞检测进程保护方法及装置，将各检测子进程的相关信息写入进程过滤名单中，在调用指定API之前，利用挂钩获取当前上下背景文进程的相关信息和操作目标进程的相关信息，通过将当前上下背景文进程的相关信息和操作目标进程的相关信息与进程过滤名单相匹配，判定是否终止调用指定API。利用本专利技术，可保护在虚拟机沙箱隔离环境下运行的检测进程的地址空间，防止被沙箱逃逸的恶意样本进程访问，避免机密信息失窃，提升在虚拟机沙箱隔离环境下内核漏洞检测的安全性。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测方法的流程图；图2示出了根据本专利技术另一个实施例的基于虚拟机的内核漏洞检测方法的流程图；图3示出了根据本专利技术另一个实施例的基于虚拟机的内核漏洞检测方法的流程图；图4示出了根据本专利技术另一个实施例的基于虚拟机的内核漏洞检测方法的流程图；图5示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测进程保护方法的流程图；图6示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测文件保护方法的流程图；图7示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测装置的功能框图；图8示出了根据本专利技术另一个实施例的基于虚拟机的内核漏洞检测装置的功能框图；图9示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测进程保护的功能框图；图10示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测文件保护的功能框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。图1示出了根据本专利技术一个实施例的基于虚拟机的内核漏洞检测方法的流程图。本方法在服务器端虚拟机沙箱隔离环境下运行，用于针对指定的样本文件进行动态的内核漏洞利用检测。如图1所示，该方法包括如下步骤：步骤S101，启动通信代理进程，所述通信代理进程监听指定端口，等待并接收虚拟机外部主机传输的检测包和样本文件，将检测包和样本文件分别存储到检测目录和临时目录下。通信代理进程是负责与虚拟机外部主机进行数据交互、文件传递的进程。当服务端虚拟机操作系统开机时，通信代理进程随之自启动。通信代理进程监听指定端口，等待并接收虚拟机外部主机的相关进程传输的检测包和样本文件。通信代理进程对检测包进行解压操作，将解压得到的文件存储到检测目录下；另外，通信代理进程将样本文件存储到临时目录下。随后，通信代理线程启动检测包中的调度管控进程。步骤S102，启动检测包中的调度管控进程，所述调度管控进程获取样本文件存储路径，识别样本文件类型，根据通用检测配置文件中的配置选项选择检测模式和各检测功能点，以创建针对所述样本文件的目标检测配置文件。在调度管控进程启动之后，调度管控进程获取样本文件存储路径，识别样本文件类型。接着，调度管控进程读取自身关联的通用检测配置文件，根据样本文件类型选择检测模式和各检测功能点，初始化自身各功能，创建针对样本文件的目标检测配置文件。随后，调度管控进程启动辅助检测进程，并将样本文件的存储路径(可为URL)通过参数的方式传递给辅助检测进程。步骤S103，启动辅助检测进程，所述辅助检测进程利用所述目标检测配置文件控制各检测功能点的开关。在辅助检测进程启动之后，辅助检测进程根据目标检测配置文件进行初始化，加载核心检测进程的驱动程序，利用目标检测配置文件控制各检测功能点的开关。步骤S104，启动核心检测进程，所述核心检测进程接收辅助检测进程发送的样本文件的相关信息以及各检测功能点的开关信息本文档来自技高网...

【技术保护点】
一种基于虚拟机的内核漏洞检测进程保护方法，所述方法在虚拟机沙箱隔离环境下运行，方法包括：获取各检测子进程的相关信息，将各检测子进程的相关信息写入进程过滤名单中；利用挂钩技术，在调用指定API之前，获取当前上下背景文进程的相关信息和操作目标进程的相关信息；判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中，且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中；若是，终止调用所述指定API。

【技术特征摘要】
1.一种基于虚拟机的内核漏洞检测进程保护方法，所述方法在虚拟机沙箱隔离环境下运行，方法包括：获取各检测子进程的相关信息，将各检测子进程的相关信息写入进程过滤名单中；利用挂钩技术，在调用指定API之前，获取当前上下背景文进程的相关信息和操作目标进程的相关信息；判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中，且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中；若是，终止调用所述指定API。2.根据权利要求1所述的方法，所述相关信息具体为EPROCESS结构地址。3.根据权利要求1或2所述的方法，在所述获取各检测子进程的相关信息之前，所述方法还包括：接收用户层进程发送的各检测子进程的进程ID。4.根据权利要求3所述的方法，所述接收用户层进程发送的各检测子进程的进程ID具体为：接收用户层进程通过IO控制码发送的各检测子进程的进程ID。5.根据权利要求1所述的方法，所述方法还包括：若判断出所述操作目标进程的相关信息未记录在所述进程过滤名单中，或者，所述当前上下背景文进程的相关信息记录在所述进程过滤名单中，则继续调用所述指定API，向调用者返回所述指定API的返回值。6.一种基于虚拟机的内核漏洞检测进程保护装置，所述装置在虚拟机沙箱隔离环境下运行...

【专利技术属性】
技术研发人员：李琦，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11