The invention provides a virus detection system and method based on virtual machine introspection to solve the technical problem of improving the overall security of the virtual system by detecting from the outside of the virtual machine. Virus detection system includes two parts: virus behavior feature library and process behavior tracking data module based on virtual machine introspection tool, which are connected to process behavior analysis module for comparison and detection of the latter. Virus behavior feature library is connected to virus behavior score for automatic analysis of virus samples. Analysis module. The invention monitors the running state of the virtual machine without any modification of the virtual machine system or installation of any software and tools, judges whether the virus program is running according to the behavior of the process in the virtual machine, and shuts down the virtual machine with security threats.
【技术实现步骤摘要】
一种基于虚拟机自省的病毒检测系统及方法
本专利技术涉及信息
,特别地,涉及一种基于虚拟机自省的病毒检测系统及方法。
技术介绍
在过去几十年里,计算机世界经历了巨大的变化。随着计算机应用需求的变化,互联网正在逐渐打破地域的分割成为一个统一的大市场。而随着“云计算”浪潮袭来,可以说信息技术已经逐渐进入了云服务时代。在云环境中,用户不需要再购买高性能的硬件以及功能多样化的软件,只需要接入到云端,利用云提供的各种软件或服务,直接处理并存储数据即可。虚拟化技术作为云计算的核心技术,其发展进步满足了云计算技术的需求,通过对物理资源的虚拟化,不仅使得资源利用率得到提升,更使得资源具有动态性,可以根据用户需求分配,为用户提供弹性的计算资源。但是,虚拟化带来众多性能优势的同时,也产生了更多的安全问题,包括多租户引入的数据安全问题、虚拟化平台自身的安全问题、虚拟机管理即虚拟网络流量相关问题等。传统的防护手段已经不能满足云计算的需求,云服务提供商和客户都继续提高虚拟化系统安全性的有效工具与方法。因此2003年,学者提出了虚拟机自省机制,旨在实现从虚拟机外部实现对虚拟机内部的入侵检测。从概念上来说,虚拟机自省指的是利用虚拟机监视器对硬件资源的管理控制能力以及对虚拟机中敏感指令的截取功能,从特权域查看非特权域的运行状态,在无需对虚拟机进行任何更改或安装任何软件的前提下,获取被监控虚拟机包括内存使用情况、磁盘空间、操作系统日志文件等运行状况的技术。虚拟机监视器可以视作一个轻量级的操作系统,它直接运行在底层硬件之上,为虚拟机提供了操作硬件的各种接口。一方面来说,虚拟机监视器的存在 ...
【技术保护点】
1.一种基于虚拟机自省的病毒检测系统,其特征在于,包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分,它们分别连接至进程行为分析模块,以供后者进行对比检测;其中,病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。
【技术特征摘要】
1.一种基于虚拟机自省的病毒检测系统,其特征在于,包括病毒行为特征库以及基于虚拟机自省工具的进程行为跟踪数据模块两部分,它们分别连接至进程行为分析模块,以供后者进行对比检测;其中,病毒行为特征库连接至对病毒样本进行自动化分析的病毒行为分析模块。2.权利要求1所述系统对应的一种基于虚拟机自省的病毒检测方法,其特征在于,包括步骤:S1.建立病毒样本库,利用病毒行为分析模块对其中的病毒样本进行自动化分析,进而从行为数据中提取构建病毒检测用的病毒行为特征库;S2.基于虚拟机自省工具,从虚拟机监视器层面对非特权域虚拟机内部的过程行为监控,构建过程行为跟踪数据模块;S3.利用过程行为分析模块对过程行为跟踪数据模块与病毒行为特征库进行对比分析,实现对虚拟机内部的病毒检测。3.根据权利要求2所述的病毒检测方法,其特征在于,还包括步骤S4,基于虚拟机监视器对客户虚拟机的干涉功能,对存在安全威胁的虚拟机进行关机操作。4.根据权利要求2所述的病毒检测方法,其特征在于,步骤S1的具体方法是:S1-1.对病毒样本进行行为监控,记录下病毒的行为信息;S1-2.对行为信息进行分类提取,写入到对应的病毒行为特征库文件中。5.根据权利要求4所述的病毒检测方法,其特征在于,步骤S1-1的具体方法是:采用沙盒技术对病毒样本进行自动化分析,通过将病毒投入到虚拟机系统中,并在虚拟机中设置API钩子等监控方式后,实际运行病毒程序,对其进程行为进行自动化的行为跟踪,并记录下行为信息。6.根据权利要求5所述的病毒检测方法,其特征在于,自动化分析的具体方法如下:S1-1-1.向病毒行为分析引擎提交病毒分析任务,进入任务队列,倘若能获取空闲虚拟机,进入步骤S1-1-2,否则阻塞等待;S1-1-2.将病毒样本拷贝到空闲虚拟机的相应共享目录中,创建分析脚本,开启网络监听,启动虚拟机,保存虚拟机此时的内存快照,然后将病毒样本与分析脚本拷贝到虚拟机中,启动分析任务;S1-1-3.利用API钩子函数等监控工具,...
【专利技术属性】
技术研发人员:任江春,
申请(专利权)人:湖南文盾信息技术有限公司,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。