基于虚拟机自省的威胁情报响应与处置方法及系统技术方案

本发明专利技术涉及一种基于虚拟机自省的威胁情报响应与处置方法及系统，将威胁检测与响应模块部署在被检测虚拟机之外的特权虚拟机上；利用虚拟机自省技术获取进行网络通信的被检测虚拟机中的端口号‑传输层网络协议‑进程对应关系；捕获并解析虚拟机通信的网络数据包；利用网络威胁情报数据库判断数据包是否有威胁，如有威胁则给出威胁警告，并利用获得的对应关系定位和威胁源通信的虚拟机进程，进而对进程或端口等进行阻断。本发明专利技术通过把威胁检测与响应模块部署在被检测虚拟机外部，有效地保护了检测和响应模块，同时可以完成进程级别的网络威胁检测和响应，且不对现有的云架构做任何改动，可以方便地应用于云服务提供商的服务器上。

【技术实现步骤摘要】
基于虚拟机自省的威胁情报响应与处置方法及系统
本专利技术属于信息
，尤其是一种基于虚拟机自省的威胁情报响应与处置方法及系统。
技术介绍
随着云计算的快速发展，针对企业服务器虚拟机的网络攻击越来越多，给云计算服务厂商和用户都带来了巨大的损失。为了检测网络威胁并作出响应，降低网络攻击带来的危害，现阶段常用的方法有以下两种：在虚拟机中安装安全防护软件；在局域网上部署安全防护软件。这些方式在一定程度上维护了虚拟机系统的安全，但并不完善，主要表现在以下方面：(1)把安全防护软件安装在虚拟机中，对每一个虚拟机都要安装软件并配置安全策略，维护成本高；(2)把安全防护软件安装在虚拟机中，由于运行在要保护的系统中，安全软件可能受到攻击，安全性差；(3)把安全防护软件部署在局域网上，只能得到操作系统级别的威胁信息，防护效能差。虚拟机自省技术是一种在虚拟机外部监测虚拟机运行状态的技术，从2003年提出以来，虚拟机自省得到了国内外学者的研究。近些年来，不仅出现了各式各样的原型系统，还涌现出诸如LibVMI等优秀的开发工具包，基于虚拟机自省的应用也越来越多。
技术实现思路
本专利技术的目的在于克服现有技术的本文档来自技高网...

【技术保护点】
一种基于虚拟机自省的威胁情报响应与处置方法，包括以下步骤：1)在被检测虚拟机之外的特权虚拟机获取进行网络通信的被检测虚拟机中的端口号‑传输层网络协议‑进程对应关系；2)捕获并解析被检测虚拟机通信的网络数据包；3)利用网络威胁情报数据库判断网络数据包是否有威胁；4)当判断结果为有威胁时，利用所述对应关系，定位和威胁源通信的虚拟机进程，进而对进程或端口进行阻断。

【技术特征摘要】
1.一种基于虚拟机自省的威胁情报响应与处置方法，包括以下步骤：1)在被检测虚拟机之外的特权虚拟机获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系；2)捕获并解析被检测虚拟机通信的网络数据包；3)利用网络威胁情报数据库判断网络数据包是否有威胁；4)当判断结果为有威胁时，利用所述对应关系，定位和威胁源通信的虚拟机进程，进而对进程或端口进行阻断。2.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法，其特征在于，通过下述步骤获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系:读取被检测虚拟机的内存，利用被检测虚拟机内核的数据结构知识还原内存信息，得到被检测虚拟机内核的运行时数据；遍历每一个进程的文件描述符，找到其中的socket文件，进一步找到其中进行网络通信的socket，读取其端口号和传输层网络协议。3.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法，其特征在于，按照设定的自省时间间隔重复获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系的过程，更新进程打开的端口号和对应的传输层网络协议。4.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法，其特征在于，通过下述步骤解析所述网络数据包:抓取网络数据包，并定义数据链路层、网络层和传输层协议报头结构；对数据包进行解析，得到网络层和传输层协议报头包含的信息。5.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置...

【专利技术属性】
技术研发人员：于爱民，郭云龙，马建刚，赵力欣，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11