[发明专利]一种虚拟机恶意行为检测方法和系统

权利要求书

1.一种虚拟机恶意行为检测方法，其中，该方法包括：

监视目标虚拟机内进程的创建和退出事件，维护一个记录所述目标虚拟机内实际运行进程的可信进程列表；通过遍历记录有目标虚拟机中的进程信息的相关数据结构，获得记录目标虚拟机内的进程的一个或多个不可信进程列表；通过比较可信进程列表和不可信进程列表，判断出目标虚拟机中的隐藏进程；

截获进出目标虚拟机的数据包，根据所截获的数据包，确定目标虚拟机中的当前活动的网络连接及其所属的进程；在目标虚拟机的外部重构所述当前活动的网络连接及其所属进程的相关信息；通过分析重构的所述相关信息确定目标虚拟机中的寄生进程。

2.如权利要求1所述的方法，其中，

在Xen内核层监视目标虚拟机内的进程创建和进程退出事件，并通知管理域Domain 0层；

在Domain 0层根据进程创建和进程退出事件的通知维护所述可信进程列表，以及获得一个或多个不可信进程列表，通过比较可信进程列表和不可信进程列表判断出目标虚拟机中的隐藏进程；

在Domain 0层的虚拟网桥处截获进出目标虚拟机的数据包；

在Domain 0层重构所述当前活动的网络连接及其所属进程的相关信息，以及通过分析重构的所述相关信息确定目标虚拟机中的寄生进程。

3.如权利要求1或2所述的方法，其中，所述在目标虚拟机的外部重构所述当前活动的网络连接及其所属进程的相关信息包括：

通过调用Libvmi库提供的相关接口函数以及配置文件机制，获取所述当前活动的网络连接及其所属进程的相关信息。

4.如权利要求1或2所述的方法，其中，所述在目标虚拟机的外部重构所述当前活动的网络连接及其所属进程的相关信息包括：

获取目标虚拟机的内存中的目标进程的相关内容，具体为：使用Libvmi映射所述目标虚拟机的该目标进程对应的内存地址空间到Domain 0的内存地址空间，从而为Volatility框架提供地址空间支持；生成基于所述Volatility框架的用于对运行时的目标虚拟机内存进行分析读取的脚本；所述脚本通过映射后的Domain 0的内存地址空间获取目标进程的相关内容。

5.如权利要求2所述的方法，其中，实现Xen内核层和Domain 0层之间的通信包括：

基于Xen内核提供的__HYPERVISOR_domctl超级调用以及Xen内核为每个操作定义用于参数传递的数据结构的机制，在Xen内核中添加实现Domain 0和Xen内核之间关于进程创建和进程退出事件的通信操作以及相应的参数传递数据结构；

Xen内核层和Domain 0层基于添加的所述通信操作以及相应的参数传递数据结构进行通信。

6.如权利要求2所述的方法，其中，该方法进一步包括：设置消息队列；

截获进出目标虚拟机的数据包并进行处理后，将处理结果数据放入所述消息队列；

从所述消息队列提取数据，根据提取的数据进行处理，包括：确定目标虚拟机中的当前活动的网络连接及其所属的进程，在目标虚拟机的外部重构所述当前活动的网络连接及其所属进程的相关信息，以及通过分析重构的所述相关信息确定目标虚拟机中的寄生进程。

7.如权利要求6所述的方法，其中，

所述截获进出目标虚拟机的数据包并进行处理后，将处理结果数据放入所述消息队列包括：由第一组生产者协程截获进出目标虚拟机的数据包，提取连接摘要信息放入第一任务队列中；由第一组消费者协程从第一任务队列中获取链接摘要信息，完成相关处理后，将处理结果数据发送到所述消息队列中；

和/或，

所述从所述消息队列提取数据，根据提取的数据进行处理包括：由第二组生产者协程监视所述消息队列，从中获取数据放入第二任务队列中；由第二组消费者协程从第二任务队列中获取数据并进行处理。