[发明专利]一种局域网内虚拟机的识别方法

说明书

本发明提出一种局域网内虚拟机的识别方法，通过获取局域网内待识别设备的广播和多播流量，将该流量作为待识别流量；提取待识别流量的数据传输协议的特征信息，根据预设的特征类型与各数据传输协议的对应关系，将特征信息划归各特征类型；将各特征类型的特征信息进行向量化，再拼接得到指纹信息；将指纹信息输入到预先训练好的设备识别模型中，输出mDNS视图与LBN视图的预测结果，并判断待识别设备是否为异常设备；若待识别设备为异常设备，则比较mDNS视图与LBN视图的预测结果，如果该两个预测结果存在差异时，则判定待识别设备为虚拟机。本方法能在不增加网络中负载且无需与其它设备交互的情况下，对虚拟机进行识别。

技术领域

本发明涉及网络信息技术领域，具体涉及一种局域网内虚拟机的识别方法。

背景技术

虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。对虚拟机的识别方法主要包含以下几类：

第一类是通过应用程序，对当前运行环境进行检测，判断该环境的提供方是否为虚拟机。这类方法包括对虚拟机的内存特征进行识别、利用性能差异进行识别、利用虚拟处理器的异常行为进行识别等。其中，利用内存特征最典型的方法是使用IDT(InterruptDescriptor Table)或LDT(Local Descriptor Table)实现的检测方法。这类方法通过虚拟机和真实主机在操作系统关键数据结构的不同位置判断当前执行环境是否为虚拟机。例如，Redpill工具通过检测IDT的基地址是否超过某个特定值判断是否存在虚拟机。DannyQuist等(Quist,D.,Smith,V.,Computing,O.(2006).Detecting the presence ofvirtual machines using the local data table.Offensive Computing,25(04))通过LDT检测虚拟机。利用虚拟化产生的性能差异，Jason Franklin等(Franklin,Jason,etal.Remote detection of virtual machine monitors with fuzzy benchmarking.ACMSIGOPS Operating Systems Review 42.3(2008):83-92.)通过设计代码，比较其在真实主机与待测设备上运行的时间差判断待测设备是否为虚拟机。基于虚拟处理器的异常行为的检测方法主要通过查看当前环境是否支持虚拟机相关的机器语言指令，以及查看虚拟机与宿主机之间是否存在通信信道。例如，VMDetect工具通过观察Virtual PC相关的非标准的IA32指令是否返回无效操作码判断当前环境是否为Virtual PC环境。

第二类是通过网络数据包提取特征，判断产生该设备是否为虚拟机。例如，中国发明专利CN102025535B公开了由网络管理员预先统计并记录网络中所有虚拟机的MAC地址，并通过获取流量中的MAC地址信息与预先记录下的MAC地址进行比对，进而完成对虚拟的识别追踪。中国发明专利CN107741872A公开了通过获取用户名，机器媒体访问控制MAC地址，用户网络地址，硬盘序列号和基本输入输入系统BIOS序列号，并根据其中特征是否符合虚拟机的参数规范，判断设备是否为虚拟机。

对于通过应用程序进行检测的方法而言，大多需要将程序部署到设备上才能完成检测，且大多需要与真实主机的特征进行比较。同时，对于使用IDT的检测方法而言，其在多个CPU的设备上的误报率高，因为多CPU设备中的每个CPU都有不同的IDT，IDT基址取值不同。对于使用性能差异的检测方法而言，大多需要知道待测设备的硬件配置信息，而这类信息并不一定容易获取。对于基于虚拟处理器异常行为的检测方式而言，需要依赖不同虚拟机的具体实现，不具有普遍性。