[发明专利]基于虚拟机的内核漏洞检测方法及装置

说明书

本发明公开了一种基于虚拟机的内核漏洞检测方法及装置。其中方法包括：加载驱动程序；接收用户层进程发送的样本文件的相关信息以及各检测功能点的开关信息；根据各检测功能点的开关信息开启内核层行为监控总控开关；当系统创建新进程时，将新进程添加到进程创建记录名单中；对所述新进程的内核层各操作行为进行检测；根据检测结果生成日志文件，将日志文件存储到日志目录下。本发明将内核漏洞的检测与外部隔离，为可疑样本提供了一个封闭的检测环境，即使可疑样本确实存在漏洞，也不会对服务器侧造成损害，提供了一种安全且高效地内核漏洞检测机制。

技术领域

本发明涉及计算机安全技术领域，具体涉及一种基于虚拟机的内核漏洞检测方法及装置。

背景技术

网络恶意行为是指网络系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改、泄露，致使系统不能连续可靠正常地运行，网络服务中断的行为。随着信息化的普及，网络新应用的大量出现，网络恶意代码所表现出的行为也层出不穷，目前最流行的网络恶意行为是网页挂马、盗取帐号、端口扫描、漏洞扫描、ARP(Address ResolutionProtocol，地址解析协议)欺骗、IP(Internet Protocol，因特网协议)劫持、DDOS(Distributed Denial of Service，分布式拒绝服务)攻击、溢出攻击、木马攻击等。

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。内核作为操作系统的核心，如何检测内核漏洞是安全防护工作的重中之重。现有技术中，黑客在入侵系统时，往往通过提权的方式获得系统的最高权限，从而取得操作系统的控制权。简单来说，提权就是将一个低权限、受限制很多的用户提升到系统中最高权限(如管理员权限)。权限控制是系统安全的基石，也是一切安全软件的基石，一旦这道门槛被突破，任何防御措施都是无效的。因此，如何能够有效地检测内核漏洞，预防黑客通过提权的方式进行系统攻击成为现有技术亟待解决的问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于虚拟机的内核漏洞检测方法及装置。

根据本发明的一个方面，提供了一种基于虚拟机的内核漏洞检测方法，所述方法在虚拟机沙箱隔离环境下运行，方法包括：

加载驱动程序；

接收用户层进程发送的样本文件的相关信息以及各检测功能点的开关信息；

根据各检测功能点的开关信息开启内核层行为监控总控开关；

当系统创建新进程时，将新进程添加到进程创建记录名单中；

对所述新进程的内核层各操作行为进行检测；

根据检测结果生成日志文件，将日志文件存储到日志目录下。

根据本发明的另一方面，提供了一种基于虚拟机的内核漏洞检测装置，所述装置在虚拟机沙箱隔离环境下运行，装置包括：

加载模块，适于加载驱动程序；

接收模块，适于接收用户层进程发送的样本文件的相关信息以及各检测功能点的开关信息；

启动模块，适于根据各检测功能点的开关信息开启内核层行为监控总控开关；

添加模块，适于当系统创建新进程时，将新进程添加到进程创建记录名单中；

检测模块，适于对所述新进程的内核层各操作行为进行检测；

日志存储模块，适于根据检测结果生成日志文件，将日志文件存储到日志目录下。