[发明专利]虚拟机逃逸行为检测方法及装置

说明书

本发明公开了虚拟机逃逸行为检测方法及装置，涉及计算机安全技术领域，方法包括S1在宿主机中获取虚拟机的网络流量和宿主机的相关信息；S2提取虚拟机的网络流量和宿主机的相关信息中的行为特征；S3分析提取出的行为特征获得分析结果；S4判断虚拟机是否发生逃逸行为，若发生逃逸行为则拦截，并记录和发出告警；装置包括检测模块、控制端、可信行为策略库和数据库，在不能够改变虚拟机的运行环境和虚拟机正常运行的情况下，有效的检测出虚拟机的逃逸行为；在网络流量、进程、网络连接、文件操作、文件完整性多个维度维护可信行为策略，建立可信行为策略库，限制虚拟机进程只能在指定的操作行为范围内运行，从而最大程度的检测虚拟机逃逸攻击行为。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种虚拟机逃逸行为检测方法及装置。

背景技术

随着计算机技术和云计算的发展，虚拟化技术受到人们的关注，并被广泛应用在恶意代码检测、隐私保护和云计算等领域。虚拟化技术可以将一台计算机虚拟为多台逻辑计算机，其中每台逻辑计算机可以运行不同的操作系统，使应用程序可以在相互独立的空间内运行而互不影响。虚拟化技术的应用十分广泛，在云计算领域，虚拟化技术能够显著提高计算机的工作效率以及计算资源的利用率，是合理分配计算资源的一种有效手段；在信息安全领域，虚拟化技术作为一种动态分析环境，可以自动化分析未知的样本，记录样本在虚拟机(沙箱)环境内的各种操作，对样本的真实意图进行判定，同时恶意样本在沙箱内的运行不会对真实环境产生修改，是较为理想的分析环境；在隐私保护领域，利用虚拟化技术，能够随时修改设备指纹、操作系统指纹等，防止被追踪溯源，保护使用者的身份信息。

通常，将物理计算机中虚拟出的逻辑计算机成为虚拟机(沙箱)，而将物理计算机称为宿主机。虚拟机是宿主机中一个相对独立的计算环境，具有较好的安全特性；但是，由于虚拟化软件自身的缺陷与不足，虚拟机里运行的程序能够通过漏洞绕过底层运行环境，利用宿主机执行具有特权操作，这种技术叫做虚拟机逃逸技术。

当宿主机内某个虚拟机发生逃逸成功后，该虚拟机能够拥有宿主机的特权进行各种操作，将使宿主机和整个虚拟环境下所有虚拟机的安全性受到威胁。同时由于环境限制，通常无法控制虚拟机内运行的应用程序，无法对虚拟机本身进行加固，只能实施被动监测。因此在这种情形下，对虚拟机逃逸攻击行为的监测和识别显得尤为重要。

发明内容

本发明的目的就在于为了解决上述问题设计了一种虚拟机逃逸行为检测方法及装置。

本发明通过以下技术方案来实现上述目的：

虚拟机逃逸行为检测方法，包括：

S1、在宿主机中获取虚拟机的网络流量和宿主机的相关信息；

S2、提取虚拟机的网络流量和宿主机的相关信息中的行为特征；

S3、分析提取出的行为特征获得分析结果；

S4、根据分析结果判断虚拟机是否发生逃逸行为，若发生逃逸行为，则拦截，并记录和发出告警。

虚拟机逃逸行为检测装置，包括：

检测模块；检测模块安装在宿主机中，检测模块获取虚拟机的网络流量和宿主机的相关信息，并对其进行分析检测；

控制端；控制端用于实时接收检测模块上传的虚拟机逃逸行为事件，并发出警告至相关人员，检测模块的数据信号输出端与控制端的数据信号输入端连接；

可信行为策略库；可信行为策略库内储存有可信行为策略，可信行为策略库的信号端与检测模块的信号端连接；

数据库；数据库用于储存虚拟机发生逃逸行为事件，控制端的数据信号输出端与数据库的数据信号输入端连接。