[发明专利]一种基于行为识别的虚拟机安全监控方法

说明书

技术领域

本发明属于虚拟机安全技术领域，特别涉及基于行为特征识别的安全监控方法。通过对虚拟机行为、以及相关资源状态的监测，发现进程活动及资源状态异常，进而实现对虚拟机的安全保护，具体地说是一种基于行为识别的虚拟机安全监控方法。

背景技术

虚拟化作为当今热点技术之一，已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。然而由于在虚拟机实现及运行环境等方面的存在的不可避免的漏洞、后门和BUG，导致一系列的虚拟化安全问题，如虚拟机溢出、虚拟机异常迁移、病毒黑客攻击、病毒扫描风暴等等，这些问题严重困扰着云计算和互联网应用的信息安全 。

现有的虚拟机安全保护手段，主要分为两类，一类是采用传统的外部防护技术，如防火墙、安全网关、IDS/IPS、杀毒软件等；另一类是基于操作系统及其内核的监控防护，包括虚拟机启动监视、虚拟机注册表监控、虚拟机文件系统监控、虚拟机管理等。前一类方法尽管较为成熟，但由于虚拟机到物理层面映射的安全边界模糊化，因而难以实现高效应用。后一类方法正处于发展阶段，目前还很不完善，许多因虚拟化而引起的安全风险机理和防护措施正在研究当中。

发明内容

本发明的目的是通过对虚拟机行为、虚拟机应用进程行为、以及相关资源状态的监测，发现进程活动和资源状态异常，进而实现对虚拟机的安全保护。

 提供一种基于行为识别的虚拟机安全监控方法。

本发明的目的是按以下方式实现的，内容步骤如下：

1）虚拟机及相关程序行为关键监测点的定义与设置：

进程在关键监测点的操作，关键点设置包括：虚拟机内敏感数据/文件访问点；出虚拟机边界点；入虚拟机边界点；与底层层主操作系统或其他虚拟机/程序的共享数据临界点；对底层操作系统和资源包括CPU、存储、网络、数据库；操作访问的接口；虚拟机迁移源边界点；虚拟迁移宿主边界点；

2）虚拟机相关资源状态临界监测点的定义与设置，包括如下内容：

资源状态越过临界点即会引起虚拟机或虚拟化系统运行异常，临界点设置包括：虚拟机对应的物理资源临界点包括：CPU、存储、网络；虚拟机权限临界点；虚拟机本身在底层操作系统中的数据存储区边界；应用进程在虚拟机中的数据存储区边界和虚拟机I/O参数临界值；

3）关键点和临界点特征参数规范，基于第1、第2条内容中所述关键点和临界点的设置，给行为关键监测点和资源临界监测点的特征参数设定规范值，是所有关键点和临界点及其特征参数规范值，即构成关键点和临界点特征规范库；

4）独立于底层操作系统的带外监控方式，是直接在硬件虚拟资源层上构建监控实体的运行环境，监控实体与被监测的虚拟机和应用程序相隔离。

本发明的目的有益效果是：虚拟机、虚拟机中的应用程序、虚拟机运行环境及第三方软件、虚拟机相关资源中，都不可避免地存在各种漏洞BUG，这些漏洞和BUG都会引起虚拟机运行异常，诸如虚拟机之间的渗透、临界区溢出、虚拟机逃逸 、病毒木马和黑客对虚拟机的检测与攻击等，给虚拟化系统带来安全威胁。采用本发明方法，通过对虚拟机进程行为以及相关资源状态的监测，发现虚拟机行为异常和相关资源状态异常，为云计算平台及各类虚拟化系统中的虚拟机提供有效的运行安全安全监测，进而实现相应的安全防护。

附图说明

附图1是基于行为识别的虚拟机安全监控方法的实施方案示意图。

具体实施方式

参照说明书附图对本发明的方法作以下详细地说明。

设置一系列的虚拟机及相关程序运行过程行为关键监测点（简称关键点）、虚拟机资源状态的临界鉴别点（简称临界点），并对这些关键点和临界点的特征参数设定规范值，在此基础上对虚拟机及相关资源进行行为监测，当发现虚拟机、虚拟机操作系统或应用程序在关键点和临界点的操作行为不符合特征规范时，即发出异常告警。

 虚拟机运行环境之底层公共操作系统或监控系统，可以根据基于本发明获得的异常告警采取相应的防护措施，保证系统运行安全。

本发明主要创新点在于：

1、虚拟机及相关程序行为关键监测点（参见图1），其特征为进程在关键监测点的操作，可能对虚拟机或虚拟化系统存在较大安全风 。主要包括：虚拟机内敏感数据/文件访问点、出虚拟机边界点、入虚拟机边界点、与底层主操作系统或其他虚拟机和程序的共享数据临界点、对底层操作系统和资源（CPU、存储、网络、数据库等）操作访问的接口、虚拟机迁移源边界点、虚拟迁移宿主边界点；