虚拟机安全性应用程序的事件过滤制造技术

所描述系统及方法允许保护硬件虚拟化系统免遭恶意软件的影响。一些实施例使用混合式事件通知/分析系统，其中在受保护虚拟机VM内执行的第一组件注册为因违反存储器存取权限而触发的处理器异常的处理程序，且其中在所述相应VM外部执行的第二组件注册为VM退出事件的处理程序。所述第一组件根据一组规则而过滤权限违反事件，且仅将被认为与安全性相关的事件通知所述第二组件。所述第二组件分析所通知事件以检测恶意软件。

【技术实现步骤摘要】
【国外来华专利技术】虚拟机安全性应用程序的事件过滤相关申请案本申请案主张于2016年12月19日提出申请的标题为“用于加速虚拟机中的计算机安全性操作的事件过滤器(EventFilterforAcceleratingComputerSecurityOperationsinVirtualMachines)”的第62,436,027号美国临时专利申请案的申请日期的权益，所述美国临时专利申请案的全部内容以引用的方式并入本文中。
技术介绍
本专利技术涉及计算机安全性系统及方法，且明确地说，涉及用于保护虚拟机免受恶意软件攻击的系统及方法。恶意软件(也被称为恶意软件(malware))在世界范围内影响大量计算机系统。在其许多形式(例如计算机病毒、隐匿程序(rootkit)、间谍软件及勒索软件)中，恶意软件给数百万计算机用户呈现严重风险，使其易受数据及敏感信息丢失、身份盗用及生产力损失以及其它侵害。计算机安全性软件可用于保护计算机系统免遭恶意软件的影响。硬件虚拟化技术使得能够形成以许多方式表现为物理计算机系统的模拟计算机环境(通常称为虚拟机(VM))。在例如服务器合并及基础设施即服务(也俗称“云计算”)的典型应用程序中，数个本文档来自技高网...

【技术保护点】
1.一种主机系统，其包括硬件处理器及存储器，所述硬件处理器经配置以执行虚拟机VM、事件过滤器及自检引擎，所述事件过滤器在所述VM内执行，所述自检引擎在所述VM外部执行，所述硬件处理器进一步经配置以：响应于检测到在所述VM内执行的软件实体以违反存储器存取权限的方式存取存储器位置的尝试而产生第一异常；响应于所述第一异常，从执行所述软件实体切换到执行所述事件过滤器；及响应于第二异常，从执行所述事件过滤器切换到执行所述自检引擎，其中所述事件过滤器经配置以：响应于所述第一异常，根据事件资格准则而确定所述尝试是否有资格被通知给所述自检引擎；响应于确定所述尝试是否有资格被通知，当所述尝试有资格时，致使所述处...

【技术特征摘要】
【国外来华专利技术】2016.12.19 US 62/436,027;2017.12.18 US 15/845,0601.一种主机系统，其包括硬件处理器及存储器，所述硬件处理器经配置以执行虚拟机VM、事件过滤器及自检引擎，所述事件过滤器在所述VM内执行，所述自检引擎在所述VM外部执行，所述硬件处理器进一步经配置以：响应于检测到在所述VM内执行的软件实体以违反存储器存取权限的方式存取存储器位置的尝试而产生第一异常；响应于所述第一异常，从执行所述软件实体切换到执行所述事件过滤器；及响应于第二异常，从执行所述事件过滤器切换到执行所述自检引擎，其中所述事件过滤器经配置以：响应于所述第一异常，根据事件资格准则而确定所述尝试是否有资格被通知给所述自检引擎；响应于确定所述尝试是否有资格被通知，当所述尝试有资格时，致使所述处理器产生所述第二异常；及响应于确定所述尝试是否有资格被通知，当所述尝试没有资格时，阻止所述处理器产生所述第二异常，且替代地，致使所述处理器重新开始执行所述软件实体，且其中所述自检引擎经配置以确定所述尝试是否为恶意的。2.根据权利要求1所述的主机系统，其中确定所述尝试是否有资格被通知包括：确定存储器页的区段是否存储受保护对象的一部分，所述区段由所述存储器位置指示；响应于确定所述区段是否存储所述受保护对象的所述部分，当所述区段存储所述受保护对象的所述部分时，确定所述尝试有资格；及响应于确定所述区段是否存储所述受保护对象的所述部分，当所述区段不存储所述受保护对象的所述部分时，确定所述尝试没有资格。3.根据权利要求2所述的主机系统，其中所述存储器页进一步存储不受保护对象的一部分。4.根据权利要求2所述的主机系统，其中所述受保护对象包括所述硬件处理器用来执行所述VM的存储器地址转换的页表。5.根据权利要求3所述的主机系统，其中确定所述尝试是否有资格被通知进一步包括：确定所述尝试是否包括盖写所述页表的页表条目的控制位的值的尝试。6.根据权利要求3所述的主机系统，其中确定所述尝试是否有资格被通知进一步包括：确定所述尝试是否包括盖写所述页表的页表条目的地址字段的内容的尝试。7.根据权利要求1所述的主机系统，其中确定所述尝试是否为恶意包括：采用所述自检引擎来确定所述尝试是否由在所述虚拟机内执行的操作系统的组件执行；及作为响应，当所述尝试由所述操作系统的所述组件执行时，确定所述尝试并非恶意的。8.一种保护主机系统免受计算机安全性威胁的方法，其中所述主机系统包括硬件处理器及存储器，所述硬件处理器经配置以执行虚拟机VM、事件过滤器及自检引擎，所述事件过滤器在所述VM内执行，所述自检引擎在所述VM外部执行，所述方法包括：将所述硬件处理器配置成响应于检测到在所述VM内执行的软件实体以违反存储器存取权限的方式存取存储器位置的尝试而产生第一异常；将所述硬件处理器配置成响应于所述第一异常而从执行所述软件实体切换到执行所述事件过滤器；将所述硬件处理器配置成响应于第二异常而从执行所述事件过滤器切换到执行所述自检引擎；响应于所述第一异常，采用所述事件过滤器来根据事件资格准则而确定所述尝试是否有资格被通知给所述自检引擎；响应于确定所述尝试是否有资格被通知，当所述尝试有资格时，致使所述处理器产生所述第二异常；响应于确定所述尝试是否有资格被通知，当所述尝试没有资格时，阻止所述处理器产生所述第二异常，且替代地，致使所述处理器重新开始执行所述软件实体；及响应于所述第二异常，采用所述自检引擎来确定所述尝试是否为恶意的。9.根据权利要求8所述的方法，其中确定所述尝试是否有资格被...

【专利技术属性】
技术研发人员：安德烈弗拉德·卢察什，
申请(专利权)人：比特梵德知识产权管理有限公司，
类型：发明
国别省市：塞浦路斯,CY