[发明专利]虚拟机异常检测方法、装置及系统

权利要求书

1.一种虚拟机异常检测系统，其特征在于，所述系统用于检测服务器内部的虚拟机是否异常，所述系统包括：

进程分析引擎，用于对服务器内虚拟机的进程信息进行分析；

网络分析引擎，用于对服务器内虚拟机的进程的网络流量进行分析；以及

决策引擎，分别与所述进程分析引擎和所述网络分析引擎相连接，用于根据所述进程分析引擎和所述网络分析引擎的分析结果做出安全决策。

2.根据权利要求1所述的系统，其特征在于，所述服务器包括：

进程信息采集器，与所述进程分析引擎相连接，用于采集所述服务器内虚拟机的进程信息，并将采集到的进程信息发送至所述进程分析引擎进行分析；

进程流量采集器，与所述网络分析引擎相连接，用于采集所述服务器内虚拟机的进程的网络流量信息，并将采集到的进程的网络流量信息发送至所述网络分析引擎进行分析；以及

执行器，与所述决策引擎相连接，用于执行所述决策引擎做出的安全决策。

3.根据权利要求1或2所述的系统，其特征在于，

所述决策引擎用于根据所述进程分析引擎的分析结果确定是否启动所述网络分析引擎对服务器内虚拟机的进程的网络流量进行分析，其中，在所述进程分析引擎无法确定所述服务器内虚拟机的进程是否异常时，所述决策引擎启动所述网络分析引擎对服务器内虚拟机的进程的网络流量进行分析。

4.根据权利要求3所述的系统，其特征在于，所述决策引擎做出的安全决策至少包括以下任意一种决策：

终止所述进程、需要对所述进程进行网络分析、将所述进程进行断网、丢弃所述进程的异常数据包、将所述进程的数据包转发至网络分析器分析、增加所述进程的检测频率。

5.一种虚拟机异常检测方法，其特征在于，包括：

获取服务器内虚拟机的进程信息；

分析所述服务器内虚拟机的进程信息，检测所述服务器内虚拟机的进程是否异常；

在检测到所述服务器内虚拟机的进程异常时，根据所述服务器内虚拟机的进程信息的分析结果确定安全决策；

在检测到无法确定所述服务器内虚拟机的进程是否异常时，获取所述服务器内虚拟机的进程的网络流量信息；

分析所述服务器内虚拟机的进程的网络流量信息，检测所述服务器内虚拟机的进程是否异常；以及

在检测到所述服务器内虚拟机的进程异常时，根据所述服务器内虚拟机的进程信息的分析结果和所述服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。

6.根据权利要求5所述的方法，其特征在于，分析所述服务器内虚拟机的进程信息，检测所述服务器内虚拟机的进程是否异常包括：

分析所述服务器内虚拟机的进程信息，检测预设进程库中是否存在所述进程，其中，所述预设进程库中包括正常进程数据库和异常进程数据库；

在检测到所述正常进程数据库中存在所述进程时，确定所述进程为正常进程，并检测下一个进程是否异常；

在检测到所述异常进程数据库中存在所述进程时，分别进行以下判断：判断所述进程是否资源使用异常、判断所述进程是否隐藏、判断所述进程中是否存在异常序列，其中，当所述进程资源使用异常，和/或，所述进程隐藏，和/或，所述进程中存在异常序列时，确定所述进程为异常进程。

7.根据权利要求6所述的方法，其特征在于，分析所述服务器内虚拟机的进程的网络流量信息，检测所述服务器内虚拟机的进程是否异常包括：

从所述服务器内虚拟机的进程的网络流量信息中获取所述进程的流量特征；

检测预设特征库中是否存在所述进程的流量特征，其中，所述预设特征库中包括正常进程流量特征和异常进程流量特征；

在检测到所述预设特征库中存在所述进程的流量特征，且所述进程的流量特征为正常进程流量特征时，确定所述进程为正常进程；

在检测到所述预设特征库中不存在所述进程的流量特征或者所述预设特征库中存在所述进程的流量特征且所述进程的流量特征为异常进程流量特征时，根据机器学习算法利用预先建立的检测模型判断所述进程是否异常。