【技术实现步骤摘要】
基于虚拟机实现的CPU漏洞检测方法及系统
本专利技术涉及计算机
,具体涉及一种基于虚拟机实现的CPU漏洞检测方法及系统。
技术介绍
中央处理器(CentralProcessingUnit,CPU)漏洞无疑属于一种高危漏洞,一旦恶意程序利用CPU漏洞发起攻击,则会对用户的个人设备造成不可估量的负面影响,甚至会造成设备瘫痪等重大问题。在现有技术中,只能通过监控操作系统提供的接口来判断是否存在针对CPU漏洞的攻击行为。例如,当恶意程序试图通过调用操作系统提供的接口发起针对CPU漏洞的攻击行为时,通过在操作系统提供的接口处设置挂钩等监控方式即可监控到该恶意行为并进行拦截。但是,专利技术人在实现本专利技术的过程中发现,现有技术中的上述方式至少存在下述缺陷:只能从操作系统提供的接口这一层面实现恶意行为的拦截操作,一旦恶意程序绕过操作系统提供的接口直接进入到操作系统内部,则会导致严重的后果。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的基于虚拟机...
【技术保护点】
1.一种基于虚拟机实现的CPU漏洞检测方法,包括:/n在预设的虚拟机系统中将第一预设监控代码注入未知进程,所述第一预设监控代码获取与所述未知进程相对应的二进制指令;/n按照预设的二进制转义规则,确定与所述二进制指令相对应的汇编指令;/n通过虚拟机模拟CPU执行所述汇编指令,并根据预设的虚拟漏洞防御规则,检测模拟CPU执行的所述汇编指令是否为与CPU漏洞相关的指令;/n当检测结果为预设结果时,将所述未知进程的进程信息提供给预设的宿主系统,以便在所述预设的宿主系统中将第二预设监控代码注入所述未知进程,并根据预设的宿主漏洞防御规则,检测所述未知进程执行的指令是否为与CPU漏洞相关的指令。/n
【技术特征摘要】
1.一种基于虚拟机实现的CPU漏洞检测方法,包括:
在预设的虚拟机系统中将第一预设监控代码注入未知进程,所述第一预设监控代码获取与所述未知进程相对应的二进制指令;
按照预设的二进制转义规则,确定与所述二进制指令相对应的汇编指令;
通过虚拟机模拟CPU执行所述汇编指令,并根据预设的虚拟漏洞防御规则,检测模拟CPU执行的所述汇编指令是否为与CPU漏洞相关的指令;
当检测结果为预设结果时,将所述未知进程的进程信息提供给预设的宿主系统,以便在所述预设的宿主系统中将第二预设监控代码注入所述未知进程,并根据预设的宿主漏洞防御规则,检测所述未知进程执行的指令是否为与CPU漏洞相关的指令。
2.根据权利要求1所述的方法,其中,所述第一预设监控代码获取与所述未知进程相对应的二进制指令包括:
所述第一预设监控代码监测内存中的内存数据的变化量;
根据所述内存中的内存数据的变化量确定与所述未知进程相对应的二进制指令。
3.根据权利要求1或2所述的方法,其中,所述方法执行之前,进一步包括:
确定二进制指令与汇编指令之间的对应关系,根据所述对应关系设置所述二进制转义规则。
4.根据权利要求1-3任一所述的方法,其中,所述通过虚拟机模拟CPU执行所述汇编指令包括:
通过虚拟机代理CPU执行所述汇编指令,并将执行结果反馈给所述未知进程。
5.根据权利要求1-4任一所述的方法,其中,所述第二预设监控代码用于获取所述未知进程中包含的各个线程以及所述各个线程执行的指令。
6.根据权利要求1-4任一所述的方法,其中,所述预设的虚拟漏洞防御规则和/或预设的宿主漏洞防御规则包括以下中的至少一个:
根据指令频率是否大于预设频率阈值进行防御的规则...
【专利技术属性】
技术研发人员:潘剑锋,彭岩,秦光远,
申请(专利权)人:北京奇虎科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。