[发明专利]一种虚拟机防逃逸装置

权利要求书

1.一种虚拟机防逃逸装置，其特征在于，包括：

内部监控模块，用于从内部对目标虚拟机进行监控；

外部监控模块，用于从外部对目标虚拟机进行监控；

入侵检测模块，用于检测对于目标虚拟机的入侵行为；

完整性保护模块，用于保护数据及传输信息的完整性。

2.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，还包括：

日志记录模块，用于记录宿主机和目标虚拟机的软件信息和硬件信息。

3.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，还包括：

蜜罐模块，用于引诱恶意攻击。

4.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，还包括：

恶意代码检测模块，用于检测恶意代码的存在和行为。

5.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，所述内部监控模块的工作方式为：

向目标虚拟机内部署钩子函数和跳转模块；

通过事先插入目标虚拟机操作系统内核的内存保护模块对钩子函数和跳转模块所占用的内存空间提供安全保护；

通过钩子函数对目标虚拟机中发生的安全事件进行拦截；

通过跳转模块将所述安全事件传递到目标虚拟机外；

使用事先定义的安全策略对所述安全事件做出响应。

6.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，所述入侵检测模块的工作方式为：

借助虚拟机自省技术从外部对目标虚拟机进行入侵检测；

若检测到入侵，则使用事先定义的安全策略对所述入侵做出响应。

7.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，所述完整性保护模块还包含用于对虚拟机监视器提供完整性保护的子模块，该子模块具有不可绕过的内存锁以及受限制的指针索引。

8.根据权利要求1所述的虚拟机防逃逸装置，其特征在于，所述完整性保护模块包括：

周期性文件保护子模块，用于周期性计算文件的哈希值，判断文件是否被篡改；

实时文件保护子模块，用于实时拦截对文件的操作。