【技术实现步骤摘要】
虚拟机恶意软件行为检测方法及系统
本专利技术实施例属于计算机安全
,更具体地,涉及一种虚拟机恶意软件行为检测方法及系统。
技术介绍
随着虚拟化技术的发展,很多物理资源包括计算、网络和存储等得到了充分利用,随之而来的安全问题引起广泛关注。其中,非常重要的安全隐患是虚拟机上可能存在恶意软件。恶意软件的典型代表是内核Rootkit。内核Rootkit大多数存在于内存中,具有隐蔽性和破坏性,通过HOOK或者修改部分数据结构来隐藏自己在系统中的踪迹,极少在硬件资源如磁盘上遗留痕迹,然后通过各种网络连接向系统外部的攻击者提供受害机器的隐私信息。为了检测虚拟机上的恶意软件,很有必要布置安全软件,如入侵检测系统。传统的安全软件通常布置代理在虚拟机内部,与虚拟机系统具有同等特权,容易被攻击和欺骗;并且由于虚拟化环境中虚拟机数量庞大,要在每一台虚拟机中部署代理将消耗大量的硬件资源和人力资源,同时不便于软件的更新和维护。目前,一般使用虚拟机自省技术实现的安全软件,该安全软件基于虚拟机监视器将安全工具部署在虚拟机外部,与虚拟机充分隔离,从而保证安全性,同时基于虚拟机监视器可以做到对...
【技术保护点】
1.一种虚拟机恶意软件行为检测方法,其特征在于,包括:基于目标虚拟机所在宿主机的虚拟机监视器与所述目标虚拟机进行交互,利用虚拟机自省方法获取所述目标虚拟机的内部状态信息;根据内存取证框架中的软件基础结构知识库对所述内部状态信息进行重构,获取所述内部状态信息的高级数据结构;根据所述高级数据结构,对所述目标虚拟机中的恶意软件行为进行检测。
【技术特征摘要】
1.一种虚拟机恶意软件行为检测方法,其特征在于,包括:基于目标虚拟机所在宿主机的虚拟机监视器与所述目标虚拟机进行交互,利用虚拟机自省方法获取所述目标虚拟机的内部状态信息;根据内存取证框架中的软件基础结构知识库对所述内部状态信息进行重构,获取所述内部状态信息的高级数据结构;根据所述高级数据结构,对所述目标虚拟机中的恶意软件行为进行检测。2.根据权利要求1所述的方法,其特征在于,基于目标虚拟机所在宿主机的虚拟机监视器与所述目标虚拟机进行交互,利用虚拟机自省方法获取所述目标虚拟机的内部状态信息的步骤具体包括:基于所述目标虚拟机所在宿主机的Hypervisor层与所述目标虚拟机进行交互,利用虚拟机自省方法获取所述目标虚拟机的内部状态信息。3.根据权利要求2所述的方法,其特征在于,基于所述目标虚拟机所在宿主机的Hypervisor层与所述目标虚拟机进行交互,利用虚拟机自省方法获取所述目标虚拟机的内部状态信息的步骤具体包括:根据所述目标虚拟机的内核符号文件,通过地址空间插件链接所述目标虚拟机所在宿主机上的自省库函数;使用所述自省库函数与所述目标虚拟机所在宿主机的Hypervisor层进行通信,读取所述目标虚拟机的CR3地址;根据所述CR3地址,获取所述目标虚拟机的三级页表,对所述三级页表进行查询,获取所述目标虚拟机的内部状态信息。4.根据权利要求1-3任一所述的方法,其特征在于,所述目标虚拟机为Linux平台或Windows平台;当所述目标虚拟机为Linux平台时,所述目标虚拟机的系统为Ubuntu或CentOS。5.根据权利要求4所述的方法,其特征在于,当所述目标虚拟机为Linux平台时,根据所述高级数据结构,对所述目标虚拟机中的恶意软件行为进行检测的步骤具体包括:将所述目标虚拟机中各种加载状态下模块链表的高级数据结构进行对比,检测所述目标虚拟机中是否存在隐藏模块;根据与所述目标虚拟机的网络相关的高级数据结构,检测所述目标虚拟机是否存在异常网络连...
【专利技术属性】
技术研发人员:涂碧波,谭曦,张坤,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。