[发明专利]一种用于收集和截获计算机内存行为的蜜罐机制及其方法

权利要求书

1.一种用于收集和截获计算机内存行为的蜜罐机制，其特征在于：包括内存虚拟化模块、蜜罐模块、内省模块、控制模块和蜜罐记录模块；

所述内存虚拟化模块用于控制虚拟机内存操作权限，包括二级地址转换功能、和在地址转换过程中的读写及执行权限的控制，在发生违反读、写或执行权限的事件时，将当前CPU的控制流转到蜜罐模块的事件处理函数中，在函数返回后，恢复CPU的正常运行；

所述蜜罐模块由多个可配置的独立蜜罐个体组成，每个蜜罐个体对应操作系统中的一张内存页，即成为蜜罐页；蜜罐模块以蜜罐页为单位，在系统运行时监视多个核中的各个进程对蜜罐区域的精确修改情况，并由位图表示；

所述内省模块在蜜罐模块收集信息的同时，收集相关的进程详细信息和进程当时完整的运行时状态；

所述控制模块提供外部控制接口，并将控制命令信号转发到蜜罐模块对应的控制接口中，用于设置蜜罐模块监视的内存区域，启动、停止和重置蜜罐功能；

所述蜜罐记录模块收集蜜罐模块和內省模块提交的数据，记录每个进入蜜罐进程的完整行为。

2.根据权利要求1所述的一种用于收集和截获计算机内存行为的蜜罐机制，其特征在于：所述蜜罐记录模块由进程记录器组成，所述进程记录器由一个或多个蜜罐记录器组成，每个蜜罐记录器对应一个正在运行的蜜罐页；一个进程记录器中，蜜罐模块中的蜜罐页至多只对应一个蜜罐记录器；不同的进程记录器中，对应相同蜜罐页的蜜罐记录器互相独立记录信息,且各记录器仅在有记录内容时占用内存。

3.一种用于收集和截获计算机内存行为的蜜罐方法，其特征在于：具体步骤如下：

(1)配置阶段，通过控制模块配置蜜罐模块监视的内存区域、即蜜罐区域；

(2)启动阶段，控制模块接收到外部的启动命令后，将启动命令转发到蜜罐模块对应的控制接口中，蜜罐模块使用内存虚拟化模块关闭蜜罐区域的写权限，并捕捉任何试图写入蜜罐区域的进程行为；

(3)运行阶段，蜜罐模块通过内存虚拟化模块持续控制试图写入蜜罐区域的进程对蜜罐的访问，并收集进程对蜜罐区域中内存的修改情况；内省模块收集相关的进程详细信息和进程进入蜜罐时的运行状态；蜜罐记录模块收集并整理蜜罐模块和內省模块不断提交的数据。

(4)停止阶段，控制模块收到外部的停止命令后，将停止命令转发到蜜罐模块对应的控制接口中，蜜罐模块向蜜罐记录模块提交所有数据，并打开蜜罐区域的写权限允许所有读写操作，获取蜜罐记录模块中记录的数据；

(5)重置阶段，控制模块收到外部的重置命令后，将重置命令转发到蜜罐模块对应的控制接口中，蜜罐模块清除已配置的蜜罐，记录蜜罐模块清空所有数据；

(6)当重置完成后，返回步骤(1)，等待重新配置蜜罐模块监视的内存区域。