基于虚拟机的威胁检测方法及系统技术方案

本发明专利技术公开了一种基于虚拟机的威胁检测方法及系统，其中，该方法包括：虚拟机检测模块将在虚拟机环境中获取到的与威胁检测过程相关的数据信息封装为序列化数据；将所述序列化数据缓存至预设的内存空间，在预设寄存器中存储所述预设的内存空间的空间地址；虚拟机检测模块通过虚拟机调用指令触发虚拟机退出事件，以使宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以获取并处理所述预设的内存空间中存储的序列化数据。该方式能够防止因虚拟机环境受到攻击所导致的安全隐患，从而提升安全性。提升安全性。提升安全性。

【技术实现步骤摘要】
基于虚拟机的威胁检测方法及系统


[0001]本专利技术涉及计算机
，具体涉及一种基于虚拟机的威胁检测方法及系统。

技术介绍

[0002]虚拟机(Virtual Machine，简称VM)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在现有技术中，能够利用虚拟机实现恶意行为的检测，从而检测出威胁源。例如，可以通过虚拟机技术构建沙箱环境，以便在沙箱环境中进行安全检测。
[0003]但是，专利技术人在实现本专利技术的过程中发现，现有技术中的上述方式至少存在下述缺陷：在基于虚拟机的安全检测方法中，只能通过设置在虚拟机内部的安全检测模块实现检测功能，一旦虚拟机环境因各种外部原因而出现异常，则会导致安全检测模块无法正常运行，从而对安全检测功能造成影响。

技术实现思路

[0004]鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的基于虚拟机的威胁检测方法及系统。
[0005]根据本专利技术的一个方面，提供了一种基于虚拟机的威胁检测方法，包括：
[0006]虚拟机检测模块将在虚拟机环境中获取到的与威胁检测过程相关的数据信息封装为序列化数据；
[0007]将所述序列化数据缓存至预设的内存空间，在预设寄存器中存储所述预设的内存空间的空间地址；
[0008]虚拟机检测模块通过虚拟机调用指令触发虚拟机退出事件，以使宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以获取并处理所述预设的内存空间中存储的序列化数据。
[0009]根据本专利技术的另一个方面，提供了一种基于虚拟机的威胁检测系统，包括：虚拟机检测模块以及宿主机检测模块；其中，所述虚拟机检测模块进一步包括：
[0010]封装单元，适于将在虚拟机环境中获取到的与威胁检测过程相关的数据信息封装为序列化数据；
[0011]缓存单元，适于将所述序列化数据缓存至预设的内存空间，在预设寄存器中存储所述预设的内存空间的空间地址；
[0012]触发单元，适于通过虚拟机调用指令触发虚拟机退出事件，以使宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以获取并处理所述预设的内存空间中存储的序列化数据。
[0013]根据本专利技术的又一方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，处理器、存储器和通信接口通过通信总线完成相互间的通信；
[0014]存储器用于存放至少一可执行指令，可执行指令使处理器执行上述基于虚拟机的
威胁检测方法对应的操作。
[0015]根据本专利技术的再一方面，提供了一种计算机存储介质，存储介质中存储有至少一可执行指令，可执行指令使处理器执行如上述基于虚拟机的威胁检测方法对应的操作。
[0016]根据本专利技术公开的基于虚拟机的威胁检测方法及系统，虚拟机检测模块将在虚拟机环境中获取到的与威胁检测过程相关的数据信息封装为序列化数据后缓存至预设的内存空间，并通过虚拟机调用指令触发虚拟机退出事件，以使宿主机检测模块能够查询预设的内存空间中存储的序列化数据，从而实现威胁检测。由此可见，通过本专利技术中的方式，使虚拟机检测模块获取到的与威胁检测过程相关的数据信息能够以序列化数据的形式被宿主机检测模块获取，从而使宿主机检测模块能够统一处理来自各个虚拟机检测模块的数据信息。在本专利技术中，通过虚拟机退出事件使宿主机检测模块能够获取到虚拟机检测模块中的检测数据，从而在虚拟机环境因各种外部原因而出现异常时，能够由宿主机检测模块根据已获取到的检测数据进行分析，从而使检测核心代码位于宿主机检测模块中，因此，能够防止因虚拟机环境受到攻击所导致的安全隐患，从而提升安全性。
[0017]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0018]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
[0019]图1示出了本专利技术一个实施例的基于虚拟机的威胁检测方法的流程示意图；
[0020]图2示出了本专利技术另一个实施例的基于虚拟机的威胁检测方法的流程示意图；
[0021]图3示出了本专利技术又一实施例提供的一种基于虚拟机的威胁检测系统的系统结构图；
[0022]图4示出了根据本专利技术实施例的一种电子设备的结构示意图。
具体实施方式
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]图1示出了本专利技术一个实施例的基于虚拟机的威胁检测方法的流程示意图。如图1所示，该方法包括：
[0025]步骤S110：虚拟机检测模块将在虚拟机环境中获取到的与威胁检测过程相关的数据信息封装为序列化数据。
[0026]其中，虚拟机检测模块设置在虚拟机内部，用于在虚拟机环境中获取与威胁检测过程相关的数据信息。具体地，与威胁检测过程相关的数据信息包括多种，例如，包括：与检测过程相关的前置数据信息、与威胁源相关的威胁数据信息等。为了符合虚拟机与宿主机
之间的通信规范，在本专利技术中，需要进一步将获取到的与威胁检测过程相关的数据信息封装为序列化数据。具体封装时，可通过预设的序列化协议进行封装。
[0027]步骤S120：将序列化数据缓存至预设的内存空间，在预设寄存器中存储预设的内存空间的空间地址。
[0028]具体地，虚拟机检测模块将序列化数据缓存至预设的内存空间，并且，为了便于宿主机读取，进一步在预设寄存器中存储该预设的内存空间的空间地址。其中，该预设寄存器可以为EAX/RAX、EBX/RBX等通用寄存器。
[0029]步骤S130：虚拟机检测模块通过虚拟机调用指令触发虚拟机退出事件，以使宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以获取并处理所述预设的内存空间中存储的序列化数据。
[0030]具体地，虚拟机检测模块通过虚拟机调用指令(如VMCALL指令)触发虚拟机退出事件(即VM-EXIT事件)。当虚拟机退出事件被触发后，切换为根模式，从而使虚拟机处理器的控制权临时回到ROOT环境。在ROOT环境中，宿主机检测模块能够查询预设寄存器从而获取并处理预设的内存空间中存储的序列化数据。
[0031]由此可见，通过本专利技术中的方式，使虚拟机检测模块获取到的与威胁检测过程相关的数据信息能够以序列化数据的形式被宿主机检测模块获取，从而使宿主机检测模块能够统一处理来自各个虚拟机检测模块的数据信息。在本专利技术中，通过虚拟机退出本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于虚拟机的威胁检测方法，其中，该方法包括：虚拟机检测模块将在虚拟机环境中获取到的与威胁检测过程相关的数据信息封装为序列化数据；将所述序列化数据缓存至预设的内存空间，在预设寄存器中存储所述预设的内存空间的空间地址；虚拟机检测模块通过虚拟机调用指令触发虚拟机退出事件，以使宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以获取并处理所述预设的内存空间中存储的序列化数据。2.根据权利要求1所述的方法，其中，所述与威胁检测过程相关的数据信息包括：虚拟机检测模块在初始化完成后收集的前置数据信息、和/或虚拟机检测模块获取到的与威胁源相关的威胁数据信息；其中，所述前置数据信息包括以下中的至少一个：操作系统版本信息、关键数据结构定义和成员偏移、关键系统数据或对象地址、关键系统函数地址、以及预设的监控代码块地址。3.根据权利要求1或2所述的方法，其中，所述虚拟机检测模块通过虚拟机调用指令触发虚拟机退出事件包括：虚拟机检测模块根据所述序列化数据的数据类型，确定与所述数据类型相对应的调用号，通过与所述调用号相对应的虚拟机调用指令触发虚拟机退出事件；其中，所述预设寄存器进一步包括多个分别对应于不同的调用号的通用寄存器；则所述宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以获取并处理所述预设的内存空间中存储的序列化数据包括：宿主机检测模块获取与所述虚拟机退出事件相对应的虚拟机调用指令的调用号，查询与获取到的调用号相对应的通用寄存器，以根据该通用寄存器获取并处理所述预设的内存空间中存储的序列化数据。4.根据权利要求1-3任一所述的方法，其中，所述预设的内存空间包括一个或多个连续的内存页，则所述将所述序列化数据缓存至预设的内存空间，在预设寄存器中存储所述预设的内存空间的空间地址包括：将所述序列化数据缓存至预设缓冲区，且所述预设缓冲区位于所述内存页中，在预设寄存器中存储所述内存页中包含的预设缓冲区的线性地址。5.根据权利要求4所述的方法，其中，所述宿主机检测模块根据所述虚拟机退出事件查询所述预设寄存器以...

【专利技术属性】
技术研发人员：李琦，
申请(专利权)人：北京奇虎科技有限公司，
类型：发明
国别省市：