一种基于虚拟机自省的病毒检测系统及方法技术方案

本发明专利技术提供了一种基于虚拟机自省的病毒检测系统及方法，以解决从虚拟机外部进行检测提高虚拟化系统整体安全性的技术问题。病毒检测系统包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分，它们分别连接至进程行为分析模块，以供后者进行对比检测；其中，病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。本发明专利技术在不需要对虚拟机系统进行任何修改或安装任何软件与工具的前提下，监控虚拟机内部的运行状态，并根据虚拟机内进程的行为判断是否有病毒程序在运行，并对存在安全威胁的虚拟机进行关机等操作。

A virus detection system and method based on virtual machine introspection

The invention provides a virus detection system and method based on virtual machine introspection to solve the technical problem of improving the overall security of the virtual system by detecting from the outside of the virtual machine. Virus detection system includes two parts: virus behavior feature library and process behavior tracking data module based on virtual machine introspection tool, which are connected to process behavior analysis module for comparison and detection of the latter. Virus behavior feature library is connected to virus behavior score for automatic analysis of virus samples. Analysis module. The invention monitors the running state of the virtual machine without any modification of the virtual machine system or installation of any software and tools, judges whether the virus program is running according to the behavior of the process in the virtual machine, and shuts down the virtual machine with security threats.

【技术实现步骤摘要】
一种基于虚拟机自省的病毒检测系统及方法
本专利技术涉及信息
，特别地，涉及一种基于虚拟机自省的病毒检测系统及方法。
技术介绍
在过去几十年里，计算机世界经历了巨大的变化。随着计算机应用需求的变化，互联网正在逐渐打破地域的分割成为一个统一的大市场。而随着“云计算”浪潮袭来，可以说信息技术已经逐渐进入了云服务时代。在云环境中，用户不需要再购买高性能的硬件以及功能多样化的软件，只需要接入到云端，利用云提供的各种软件或服务，直接处理并存储数据即可。虚拟化技术作为云计算的核心技术，其发展进步满足了云计算技术的需求，通过对物理资源的虚拟化，不仅使得资源利用率得到提升，更使得资源具有动态性，可以根据用户需求分配，为用户提供弹性的计算资源。但是，虚拟化带来众多性能优势的同时，也产生了更多的安全问题，包括多租户引入的数据安全问题、虚拟化平台自身的安全问题、虚拟机管理即虚拟网络流量相关问题等。传统的防护手段已经不能满足云计算的需求，云服务提供商和客户都继续提高虚拟化系统安全性的有效工具与方法。因此2003年，学者提出了虚拟机自省机制，旨在实现从虚拟机外部实现对虚拟机内部的入侵检测。从概念上来说，虚拟机自省指的是利用虚拟机监视器对硬件资源的管理控制能力以及对虚拟机中敏感指令的截取功能，从特权域查看非特权域的运行状态，在无需对虚拟机进行任何更改或安装任何软件的前提下，获取被监控虚拟机包括内存使用情况、磁盘空间、操作系统日志文件等运行状况的技术。虚拟机监视器可以视作一个轻量级的操作系统，它直接运行在底层硬件之上，为虚拟机提供了操作硬件的各种接口。一方面来说，虚拟机监视器的存在使得对虚拟主机的集中管理更加方便；而另一方面，虚拟机监视器为多台虚拟主机的运行环境提供了彻底的隔离以充分保障它们的安全。虚拟机监视器的这种特性可以为其上搭载的操作系统提供更加严密的安全防护。从实现角度来说，虚拟机自省技术就是通过在特权域中设置分析检测功能的策略引擎，通过与虚拟机监视器交互获得普通的主机虚拟硬件状态，策略引擎对其进行分析并获得被监控主机目前的工作状态等信息。现在主流的虚拟机自省实现方式主要有四种：1.基于主机代理的虚拟机自省技术这种方式是通过在虚拟机中置入监视代理来实现对目标虚拟机的监控。基于的方式特点在于需要在虚拟机内部运行代理程序，这些程序与主机上的一般进程无异，主要用于监视系统行为。这种方式的优点在于语义精确且效率高，缺点在于容易被攻击者攻击，可靠性较低。2.基于内核驱动的虚拟机自省技术这种方式是将虚拟机自省的驱动放置在客户操作系统内核中，通过驱动与代理的交互获得系统内部的行为信息。3.基于断点的虚拟机自省技术这种方式是通过在虚拟机中设置API钩子函数实现，但与传统方式不同的是，虚拟机自省中代理捕获钩子是在hypervisor层。由于虚拟化技术对ring级的使用，使得来自非特权域的普通虚拟机中的攻击无法触及到底层的虚拟机监视器，更无法对硬件平台进行操作，从而增加了攻击者的攻击难度。4.基于虚拟机监视器的虚拟机自省技术这种方式是直接从虚拟机监视器层对虚拟机内部进行监视，这种方式不需要在虚拟机监视器之外做监控代理，也是最贴近虚拟机自省原理的一种方法，安全性很高，也最能体现虚拟机自省技术的优势。随着研究的不断开展深入，虚拟机自省技术在网络安全的不同领域上都取得了不少研究成果，包括Lares、Liveware等在内的一批具有代表性的虚拟机自省系统或工具。当前与虚拟机技术相关的研究主要有两个重点。第一是从强化虚拟机监视器功能的角度来保障虚拟机系统本身的安全性，虚拟机监视器作为系统核心，一旦遭到入侵或破坏，整个系统都会陷入入侵的危害之中；第二是与现有的安全工具结合，一方面利用现有的安全工具丰富虚拟化自省的应用范围，另一方面利用虚拟化技术的隔离性和良好的监控性能强化安全工具的功能。
技术实现思路
本专利技术目的在于提供一种基于虚拟机自省的病毒检测系统及方法，以解决从虚拟机外部进行检测提高虚拟化系统整体安全性的技术问题。为实现上述目的，本专利技术提供了一种基于虚拟机自省的病毒检测系统，包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分，它们分别连接至进程行为分析模块，以供后者进行对比检测；其中，病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。本专利技术还提供了上述系统对应的一种基于虚拟机自省的病毒检测方法，包括步骤：S1.建立病毒样本库，利用病毒行为分析模块对其中的病毒样本进行自动化分析，进而从行为数据中提取构建病毒检测用的病毒行为特征库；S2.基于虚拟机自省工具，从虚拟机监视器层面对非特权域虚拟机内部的过程行为监控，构建过程行为跟踪数据模块；S3.利用过程行为分析模块对过程行为跟踪数据模块与病毒行为特征库进行对比分析，实现对虚拟机内部的病毒检测。作为优选的技术方案之一，所述病毒检测方法还包括步骤S4，基于虚拟机监视器对客户虚拟机的干涉功能，对存在安全威胁的虚拟机进行关机等操作。作为优选的技术方案之一，步骤S1的具体方法是：S1-1.对病毒样本进行行为监控，记录下病毒的行为信息；S1-2.对行为信息进行分类提取，写入到对应的病毒行为特征库文件中。作为进一步优选的技术方案之一，步骤S1-1的具体方法是：采用沙盒技术对病毒样本进行自动化分析，通过将病毒投入到虚拟机系统中，并在虚拟机中设置API钩子等监控方式后，实际运行病毒程序，对其进程行为进行自动化的行为跟踪，并记录下行为信息。作为更进一步优选的技术方案之一，自动化分析的具体方法如下：S1-1-1.向病毒行为分析引擎提交病毒分析任务，进入任务队列，倘若能获取空闲虚拟机，进入步骤S1-1-2，否则阻塞等待；S1-1-2.将病毒样本拷贝到空闲虚拟机的相应共享目录中，创建分析脚本，开启网络监听，启动虚拟机，保存虚拟机此时的内存快照，然后将病毒样本与分析脚本拷贝到虚拟机中，启动分析任务；S1-1-3.利用API钩子函数等监控工具，自动记录病毒样本的行为数据；S1-1-4.病毒运行结束或系统运行到达预设限定时间时，停止任务执行并将分析所得的行为数据输出，虚拟机恢复到任务执行前的内存状态，任务执行结束。自动化分析的关键在于建立对病毒样本的自动化分析系统，由于病毒样本库需要涵盖多种类的病毒样本，因此自动分析系统的工作效率与准确性是决定病毒检测性能的决定性因素。作为进一步优选的技术方案之一，步骤S1-2的具体方法是：对步骤S1-1输出的病毒样本各自的行为数据进行统一化的分析归类，提取出病毒行为中特定的恶意行为并将之分类写入到病毒行为特征库文件中，这一系列病毒行为特征库文件即为进行病毒检测时的判定标准。作为进一步优选的技术方案之一，步骤S1-2的具体方法如下：S1-2-1.将获取到的病毒样本行为日志中记录的病毒行为进行分类，按照其行为目的等分为：进程注入、进程创建、注册表写入、进程注入、启动系统服务、网络操作等多种行为；S1-2-2.对正常可执行程序行为进行分析，作为与病毒行为进行对比分析的参照；S1-2-3.将正常可执行程序与病毒程序的行为进行分类对比，将病毒行为安装威胁度分为特种病毒识别、极度可疑行为、轻度可疑行为、不可疑行为四个类别，将属于特种病毒识别与极度可疑行为类的行为及其参数分本文档来自技高网...

【技术保护点】
1.一种基于虚拟机自省的病毒检测系统，其特征在于，包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分，它们分别连接至进程行为分析模块，以供后者进行对比检测；其中，病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。

【技术特征摘要】
1.一种基于虚拟机自省的病毒检测系统，其特征在于，包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分，它们分别连接至进程行为分析模块，以供后者进行对比检测；其中，病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。2.权利要求1所述系统对应的一种基于虚拟机自省的病毒检测方法，其特征在于，包括步骤：S1.建立病毒样本库，利用病毒行为分析模块对其中的病毒样本进行自动化分析，进而从行为数据中提取构建病毒检测用的病毒行为特征库；S2.基于虚拟机自省工具，从虚拟机监视器层面对非特权域虚拟机内部的过程行为监控，构建过程行为跟踪数据模块；S3.利用过程行为分析模块对过程行为跟踪数据模块与病毒行为特征库进行对比分析，实现对虚拟机内部的病毒检测。3.根据权利要求2所述的病毒检测方法，其特征在于，还包括步骤S4，基于虚拟机监视器对客户虚拟机的干涉功能，对存在安全威胁的虚拟机进行关机操作。4.根据权利要求2所述的病毒检测方法，其特征在于，步骤S1的具体方法是：S1-1.对病毒样本进行行为监控，记录下病毒的行为信息；S1-2.对行为信息进行分类提取，写入到对应的病毒行为特征库文件中。5.根据权利要求4所述的病毒检测方法，其特征在于，步骤S1-1的具体方法是：采用沙盒技术对病毒样本进行自动化分析，通过将病毒投入到虚拟机系统中，并在虚拟机中设置API钩子等监控方式后，实际运行病毒程序，对其进程行为进行自动化的行为跟踪，并记录下行为信息。6.根据权利要求5所述的病毒检测方法，其特征在于，自动化分析的具体方法如下：S1-1-1.向病毒行为分析引擎提交病毒分析任务，进入任务队列，倘若能获取空闲虚拟机，进入步骤S1-1-2，否则阻塞等待；S1-1-2.将病毒样本拷贝到空闲虚拟机的相应共享目录中，创建分析脚本，开启网络监听，启动虚拟机，保存虚拟机此时的内存快照，然后将病毒样本与分析脚本拷贝到虚拟机中，启动分析任务；S1-1-3.利用API钩子函数等监控工具，...

【专利技术属性】
技术研发人员：任江春，
申请(专利权)人：湖南文盾信息技术有限公司，
类型：发明
国别省市：湖南,43