一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法技術(shù)

本發(fā)明專利技術(shù)提供一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法，設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過(guò)程行為關(guān)鍵監(jiān)測(cè)點(diǎn)、虛擬機(jī)資源狀態(tài)臨界鑒別點(diǎn)，進(jìn)而設(shè)定相應(yīng)的特征參數(shù)規(guī)范。在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)虛擬機(jī)及虛擬機(jī)應(yīng)用程序的行為或虛擬機(jī)相關(guān)資源狀態(tài)發(fā)生異常時(shí)，即發(fā)出異常告警。虛擬機(jī)運(yùn)行環(huán)境的底層操作系統(tǒng)或監(jiān)控系統(tǒng)，可根據(jù)這些異常告警信息采取相應(yīng)的防護(hù)措施，從而有效地保護(hù)虛擬機(jī)和虛擬化系統(tǒng)運(yùn)行安全。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)屬于虛擬機(jī)安全
，特別涉及基于行為特征識(shí)別的安全監(jiān)控方法。通過(guò)對(duì)虛擬機(jī)行為、以及相關(guān)資源狀態(tài)的監(jiān)測(cè)，發(fā)現(xiàn)進(jìn)程活動(dòng)及資源狀態(tài)異常，進(jìn)而實(shí)現(xiàn)對(duì)虛擬機(jī)的安全保護(hù)，具體地說(shuō)是一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法。
技術(shù)介紹
虛擬化作為當(dāng)今熱點(diǎn)技術(shù)之一，已經(jīng)廣泛應(yīng)用于云計(jì)算平臺(tái)、虛擬存儲(chǔ)、虛擬操作系統(tǒng)、虛擬桌面、虛擬終端等領(lǐng)域。然而由于在虛擬機(jī)實(shí)現(xiàn)及運(yùn)行環(huán)境等方面的存在的不可避免的漏洞、后門和BUG，導(dǎo)致一系列的虛擬化安全問(wèn)題，如虛擬機(jī)溢出、虛擬機(jī)異常遷移、病毒黑客攻擊、病毒掃描風(fēng)暴等等，這些問(wèn)題嚴(yán)重困擾著云計(jì)算和互聯(lián)網(wǎng)應(yīng)用的信息安全?。現(xiàn)有的虛擬機(jī)安全保護(hù)手段，主要分為兩類，一類是采用傳統(tǒng)的外部防護(hù)技術(shù)，如防火墻、安全網(wǎng)關(guān)、IDS/IPS、殺毒軟件等；另一類是基于操作系統(tǒng)及其內(nèi)核的監(jiān)控防護(hù)，包括虛擬機(jī)啟動(dòng)監(jiān)視、虛擬機(jī)注冊(cè)表監(jiān)控、虛擬機(jī)文件系統(tǒng)監(jiān)控、虛擬機(jī)管理等。前一類方法盡管較為成熟，但由于虛擬機(jī)到物理層面映射的安全邊界模糊化，因而難以實(shí)現(xiàn)高效應(yīng)用。后一類方法正處于發(fā)展階段，目前還很不完善，許多因虛擬化而引起的安全風(fēng)險(xiǎn)機(jī)理和防護(hù)措施正在研究當(dāng)中。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)的目的是通過(guò)對(duì)虛擬機(jī)行為、虛擬機(jī)應(yīng)用進(jìn)程行為、以及相關(guān)資源狀態(tài)的監(jiān)測(cè)，發(fā)現(xiàn)進(jìn)程活動(dòng)和資源狀態(tài)異常，進(jìn)而實(shí)現(xiàn)對(duì)虛擬機(jī)的安全保護(hù)。?提供一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法。本專利技術(shù)的目的是按以下方式實(shí)現(xiàn)的，內(nèi)容步驟如下：1）虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)的定義與設(shè)置：進(jìn)程在關(guān)鍵監(jiān)測(cè)點(diǎn)的操作，關(guān)鍵點(diǎn)設(shè)置包括：虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問(wèn)點(diǎn)；出虛擬機(jī)邊界點(diǎn)；入虛擬機(jī)邊界點(diǎn)；與底層層主操作系統(tǒng)或其他虛擬機(jī)/程序的共享數(shù)據(jù)臨界點(diǎn)；對(duì)底層操作系統(tǒng)和資源包括CPU、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)；操作訪問(wèn)的接口；虛擬機(jī)遷移源邊界點(diǎn)；虛擬遷移宿主邊界點(diǎn)；2）虛擬機(jī)相關(guān)資源狀態(tài)臨界監(jiān)測(cè)點(diǎn)的定義與設(shè)置，包括如下內(nèi)容：資源狀態(tài)越過(guò)臨界點(diǎn)即會(huì)引起虛擬機(jī)或虛擬化系統(tǒng)運(yùn)行異常，臨界點(diǎn)設(shè)置包括：虛擬機(jī)對(duì)應(yīng)的物理資源臨界點(diǎn)包括：CPU、存儲(chǔ)、網(wǎng)絡(luò)；虛擬機(jī)權(quán)限臨界點(diǎn)；虛擬機(jī)本身在底層操作系統(tǒng)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界；應(yīng)用進(jìn)程在虛擬機(jī)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界和虛擬機(jī)I/O參數(shù)臨界值；3）關(guān)鍵點(diǎn)和臨界點(diǎn)特征參數(shù)規(guī)范，基于第1、第2條內(nèi)容中所述關(guān)鍵點(diǎn)和臨界點(diǎn)的設(shè)置，給行為關(guān)鍵監(jiān)測(cè)點(diǎn)和資源臨界監(jiān)測(cè)點(diǎn)的特征參數(shù)設(shè)定規(guī)范值，是所有關(guān)鍵點(diǎn)和臨界點(diǎn)及其特征參數(shù)規(guī)范值，即構(gòu)成關(guān)鍵點(diǎn)和臨界點(diǎn)特征規(guī)范庫(kù)；4）獨(dú)立于底層操作系統(tǒng)的帶外監(jiān)控方式，是直接在硬件虛擬資源層上構(gòu)建監(jiān)控實(shí)體的運(yùn)行環(huán)境，監(jiān)控實(shí)體與被監(jiān)測(cè)的虛擬機(jī)和應(yīng)用程序相隔離。本專利技術(shù)的目的有益效果是：虛擬機(jī)、虛擬機(jī)中的應(yīng)用程序、虛擬機(jī)運(yùn)行環(huán)境及第三方軟件、虛擬機(jī)相關(guān)資源中，都不可避免地存在各種漏洞BUG，這些漏洞和BUG都會(huì)引起虛擬機(jī)運(yùn)行異常，諸如虛擬機(jī)之間的滲透、臨界區(qū)溢出、虛擬機(jī)逃逸?、病毒木馬和黑客對(duì)虛擬機(jī)的檢測(cè)與攻擊等，給虛擬化系統(tǒng)帶來(lái)安全威脅。采用本專利技術(shù)方法，通過(guò)對(duì)虛擬機(jī)進(jìn)程行為以及相關(guān)資源狀態(tài)的監(jiān)測(cè)，發(fā)現(xiàn)虛擬機(jī)行為異常和相關(guān)資源狀態(tài)異常，為云計(jì)算平臺(tái)及各類虛擬化系統(tǒng)中的虛擬機(jī)提供有效的運(yùn)行安全安全監(jiān)測(cè)，進(jìn)而實(shí)現(xiàn)相應(yīng)的安全防護(hù)。附圖說(shuō)明附圖1是基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法的實(shí)施方案示意圖。具體實(shí)施方式參照說(shuō)明書附圖對(duì)本專利技術(shù)的方法作以下詳細(xì)地說(shuō)明。設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過(guò)程行為關(guān)鍵監(jiān)測(cè)點(diǎn)（簡(jiǎn)稱關(guān)鍵點(diǎn)）、虛擬機(jī)資源狀態(tài)的臨界鑒別點(diǎn)（簡(jiǎn)稱臨界點(diǎn)），并對(duì)這些關(guān)鍵點(diǎn)和臨界點(diǎn)的特征參數(shù)設(shè)定規(guī)范值，在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行行為監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)虛擬機(jī)、虛擬機(jī)操作系統(tǒng)或應(yīng)用程序在關(guān)鍵點(diǎn)和臨界點(diǎn)的操作行為不符合特征規(guī)范時(shí)，即發(fā)出異常告警。?虛擬機(jī)運(yùn)行環(huán)境之底層公共操作系統(tǒng)或監(jiān)控系統(tǒng)，可以根據(jù)基于本專利技術(shù)獲得的異常告警采取相應(yīng)的防護(hù)措施，保證系統(tǒng)運(yùn)行安全。本專利技術(shù)主要?jiǎng)?chuàng)新點(diǎn)在于：1、虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)（參見(jiàn)圖1），其特征為進(jìn)程在關(guān)鍵監(jiān)測(cè)點(diǎn)的操作，可能對(duì)虛擬機(jī)或虛擬化系統(tǒng)存在較大安全風(fēng)?。主要包括：虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問(wèn)點(diǎn)、出虛擬機(jī)邊界點(diǎn)、入虛擬機(jī)邊界點(diǎn)、與底層主操作系統(tǒng)或其他虛擬機(jī)和程序的共享數(shù)據(jù)臨界點(diǎn)、對(duì)底層操作系統(tǒng)和資源（CPU、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等）操作訪問(wèn)的接口、虛擬機(jī)遷移源邊界點(diǎn)、虛擬遷移宿主邊界點(diǎn)；2、虛擬機(jī)相關(guān)資源的狀態(tài)臨界點(diǎn)設(shè)置（參見(jiàn)圖1），其特征為資源狀態(tài)越過(guò)臨界點(diǎn)即會(huì)引起虛擬機(jī)或虛擬化系統(tǒng)運(yùn)行異常，主要包括：虛擬機(jī)對(duì)應(yīng)的物理資源臨界點(diǎn)（CPU、存儲(chǔ)、網(wǎng)絡(luò)）、虛擬機(jī)權(quán)限臨界點(diǎn)、虛擬機(jī)本身在底層操作系統(tǒng)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界、應(yīng)用進(jìn)程在虛擬機(jī)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界、虛擬機(jī)I/O參數(shù)臨界值；3、關(guān)鍵點(diǎn)和臨界點(diǎn)特征參數(shù)規(guī)范：由一系列關(guān)鍵點(diǎn)和臨界點(diǎn)的行為特征參數(shù)及其規(guī)范值組成；獨(dú)立于底層操作系統(tǒng)的帶外監(jiān)控方式：在本專利技術(shù)方法的實(shí)現(xiàn)方式上，為防止行為監(jiān)測(cè)被基于操作系統(tǒng)內(nèi)核的高級(jí)攻擊者欺騙，可直接在硬件虛擬資源層上運(yùn)行監(jiān)控實(shí)體，與應(yīng)用程序相隔離，防止被應(yīng)用層的病毒木馬或來(lái)自網(wǎng)絡(luò)的黑客直接攻擊。??實(shí)施例圖1給出了本專利技術(shù)的一個(gè)參考實(shí)現(xiàn)方案，主要涉及監(jiān)測(cè)功能實(shí)體，包括虛擬機(jī)運(yùn)行監(jiān)控引擎和行為特征規(guī)范庫(kù)、虛擬機(jī)、虛擬資源及底層操作系統(tǒng)Host-OS。其中，虛圓圈代表行為關(guān)鍵監(jiān)測(cè)點(diǎn)和資源狀態(tài)臨界鑒別點(diǎn)，帶箭頭的線表示虛擬機(jī)進(jìn)程內(nèi)部的關(guān)鍵訪問(wèn)以及虛擬機(jī)之間的訪問(wèn)，帶箭頭的線表示虛擬機(jī)與底層資源/操作系統(tǒng)的訪問(wèn)包括虛擬機(jī)遷移。底層主操作系統(tǒng)Host-OS之下的硬件包括：服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)等未畫出。該專利技術(shù)實(shí)現(xiàn)方案的實(shí)現(xiàn)步驟如下：1）構(gòu)建虛擬機(jī)運(yùn)行監(jiān)控引擎該引擎能夠掃描監(jiān)視虛擬機(jī)運(yùn)行過(guò)程中的在各種關(guān)鍵點(diǎn)和臨界點(diǎn)的行為，并將掃描結(jié)果與虛擬機(jī)行為和資源狀態(tài)的特征規(guī)范進(jìn)行比較分析，如果發(fā)現(xiàn)異常則發(fā)出告警；?2）設(shè)置關(guān)鍵點(diǎn)/臨界點(diǎn)，構(gòu)建行為規(guī)范庫(kù)包括虛擬機(jī)行為特征規(guī)范和資源狀態(tài)特征規(guī)范二類，其主要包括的內(nèi)容參見(jiàn)
技術(shù)實(shí)現(xiàn)思路
部分的第1條、第2條；具體構(gòu)建內(nèi)容示范如下：示范1：虛擬機(jī)權(quán)限臨界點(diǎn)????????虛擬機(jī)操作系統(tǒng)權(quán)限最大值；????????虛擬機(jī)操作系統(tǒng)與底層主操作系統(tǒng)的數(shù)據(jù)共享邊界；????????虛擬機(jī)管理器對(duì)虛擬機(jī)設(shè)置的范圍邊界；????????虛擬機(jī)輸入輸出控制參數(shù)賦值范圍；????????…………示范2：虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問(wèn)關(guān)鍵點(diǎn)????????虛擬機(jī)對(duì)主要堆棧的操作（特別是棧頂和棧底）;????????進(jìn)程對(duì)注冊(cè)表等敏感數(shù)據(jù)或文件的修改；????????控制命令對(duì)驅(qū)動(dòng)程序參數(shù)的修改；????????遠(yuǎn)程調(diào)用涉及修改虛擬機(jī)訪問(wèn)數(shù)據(jù)地址空間的操作；…………?????????3）建立監(jiān)控實(shí)體（虛擬機(jī)運(yùn)行監(jiān)控引擎和行為特征規(guī)范庫(kù)）的運(yùn)行環(huán)境????最好直接在硬件層或虛擬硬件資源層上建立監(jiān)控實(shí)體的獨(dú)立運(yùn)行環(huán)境，實(shí)現(xiàn)與虛擬機(jī)及虛擬機(jī)中應(yīng)用程序的隔離運(yùn)行，這本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法,?其特征在于虛擬機(jī)運(yùn)行環(huán)境之底層公共操作系統(tǒng)或監(jiān)控系統(tǒng)，是基于明獲得的異常告警采取相應(yīng)的防護(hù)措施，保證系統(tǒng)運(yùn)行安全，包括如下內(nèi)容：設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過(guò)程行為關(guān)鍵監(jiān)測(cè)點(diǎn)，簡(jiǎn)稱關(guān)鍵點(diǎn)；虛擬機(jī)資源狀態(tài)的臨界鑒別點(diǎn)，簡(jiǎn)稱臨界點(diǎn)，并對(duì)這些關(guān)鍵點(diǎn)和臨界點(diǎn)的特征參數(shù)設(shè)定規(guī)范值，在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行行為監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)虛擬機(jī)、虛擬機(jī)操作系統(tǒng)或應(yīng)用程序在關(guān)鍵點(diǎn)和臨界點(diǎn)的操作行為不符合特征規(guī)范時(shí)，即發(fā)出異常告警，其中：????虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)的操作對(duì)虛擬機(jī)或虛擬化系統(tǒng)存在的較大安全風(fēng)險(xiǎn)，包括：虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問(wèn)點(diǎn)；出虛擬機(jī)邊界點(diǎn)；入虛擬機(jī)邊界點(diǎn)；與底層主操作系統(tǒng)或其他虛擬機(jī)和程序的共享數(shù)據(jù)臨界點(diǎn)；對(duì)底層操作系統(tǒng)和資源包括：CPU、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)操作訪問(wèn)的接口；虛擬機(jī)遷移源邊界點(diǎn)；虛擬遷移宿主邊界點(diǎn)；????虛擬機(jī)相關(guān)資源的狀態(tài)臨界點(diǎn)設(shè)置，資源狀態(tài)越過(guò)臨界點(diǎn)即會(huì)引起虛擬機(jī)或虛擬化系統(tǒng)運(yùn)行異常，包括：虛擬機(jī)對(duì)應(yīng)的物理資源臨界點(diǎn)包括：CPU、存儲(chǔ)、網(wǎng)絡(luò)；虛擬機(jī)權(quán)限臨界點(diǎn)；虛擬機(jī)本身在底層操作系統(tǒng)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界；應(yīng)用進(jìn)程在虛擬機(jī)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界；虛擬機(jī)I/O參數(shù)臨界值；????關(guān)鍵點(diǎn)和臨界點(diǎn)特征參數(shù)規(guī)范：由一系列關(guān)鍵點(diǎn)和臨界點(diǎn)的行為特征參數(shù)及其規(guī)范值組成；獨(dú)立于底層操作系統(tǒng)的帶外監(jiān)控方式，為防止行為監(jiān)測(cè)被基于操作系統(tǒng)內(nèi)核的高級(jí)攻擊者欺騙，直接在硬件虛擬資源層上運(yùn)行監(jiān)控實(shí)體，與應(yīng)用程序相隔離，防止被應(yīng)用層的病毒木馬或來(lái)自網(wǎng)絡(luò)的黑客直接攻擊。...

【技術(shù)特征摘要】
1.一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法,?其特征在于虛擬機(jī)運(yùn)行環(huán)境之底層公共操作系統(tǒng)或監(jiān)控系統(tǒng)，是基于明獲得的異常告警采取相應(yīng)的防護(hù)措施，保證系統(tǒng)運(yùn)行安全，包括如下內(nèi)容：
設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過(guò)程行為關(guān)鍵監(jiān)測(cè)點(diǎn)，簡(jiǎn)稱關(guān)鍵點(diǎn)；虛擬機(jī)資源狀態(tài)的臨界鑒別點(diǎn)，簡(jiǎn)稱臨界點(diǎn)，并對(duì)這些關(guān)鍵點(diǎn)和臨界點(diǎn)的特征參數(shù)設(shè)定規(guī)范值，在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行行為監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)虛擬機(jī)、虛擬機(jī)操作系統(tǒng)或應(yīng)用程序在關(guān)鍵點(diǎn)和臨界點(diǎn)的操作行為不符合特征規(guī)范時(shí)，即發(fā)出異常告警，其中：
????虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)的操作對(duì)虛擬機(jī)或虛擬化系統(tǒng)存在的較大安全風(fēng)險(xiǎn)，包括：虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問(wèn)點(diǎn)；出虛擬機(jī)邊界點(diǎn)；入虛擬機(jī)邊界點(diǎn)；與底層主操作系統(tǒng)或其他虛擬機(jī)和程序的共享數(shù)據(jù)臨界點(diǎn)；...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：苗再良，
申請(qǐng)(專利權(quán))人：浪潮通信信息系統(tǒng)有限公司，
類型：發(fā)明
國(guó)別省市：山東;37