[发明专利]一种虚拟化用户准入安全检测和隔离方法及其系统

摘要

本发明提供了一种虚拟化用户准入安全检测和隔离方法及其系统，通过在计算中的系统调用中使用改进的完美贝叶斯均衡(PBE)算法对用户行为的系统调用进行判定,利用算法构造策略引擎，使用引擎决策现有用户的行为以达到用户代码和服务器系统内核双方利益最大化，并且使用代理技术实现中断判定和访问同时实现计算和操作系统之间的隔离，改进沙箱技术从而达到在用户服务效率和安全保证之间的相对优化。本发明对于系统资源等消耗和读取判定速度一定程度上达到了大面积使用的要求，特别是能够有效地阻止恶意代码的特殊系统调用，极大程度上保护了系统的安全，并且在文件访问等几项经常性的系统调用操作中，检测速度和性能也相对有所提高。

主权项

一种虚拟化用户准入安全检测和隔离方法，其特征在于包括下述步骤：步骤1：在中间件中，建立目标主机的操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的模型，并在沙箱保护下的目标主机上记录syscall调用情况，针对记录的数据传递给策略引擎进行处理；步骤2：策略引擎接收到用户代码和用户相关的特征信息后，则通过引擎中建立的信号博弈模型对这些信息进行识别，根据原有概率计算用户代码是否为恶意代码的概率；同时在策略引擎中建立内核验证模型，把通过算法分类的特征信息放入决策集中，在决策集中使用被改进的代价策略认证机制的完美贝叶斯算法对用户行为进行判断，并且同时使用目标主机中的中断器对用户代码的运行状况进行记录，然后在沙箱中运行的用户进程进行系统调用运行，在运行的同时IPC终端中对用户代码产生的用户进程进行重定向；步骤3：在策略引擎进行判断后，中间件的IPC服务器利用目标进程和主机的交互信息核查其同步处理状况；同时中间件把目标进程和主机处理的作业在转移到中断管理器中，并且沙箱对在其内部运行的仿真代码产生的内核信号进行记录，当这些信号传递给运行时软件的时候，如果编译器正在执行解释，则其会在运行时把解释例程传递给用户中断例程，并且解释例程也会同时把控制权传递给用户中断例程进行处理；如果编译器未在执行，则软件对信号自行处理。在结束处理的时候，目标主机中的中断器更新中断处理表；步骤4：针对放入虚拟化沙箱的用户策略，策略平台使用历史数据比较来逐渐剔除劣势策略，并且根据历史数据计算回滚代价和用户期望，形成相对优化策略；然后把这些写入策略引擎数据库形成历史数据，之后运行的时候策略引擎通过认证的方式触发或者进程保护方式触发提取策略引擎数据库中的历史数据；同时策略引擎使用步骤2的改进的完美贝叶斯算法对用户在主机内运行产生的代价进行记录更新，从而形成相对准确的沙箱完美贝叶斯算法优化模型。