[发明专利]基于虚拟机自省的威胁情报响应与处置方法及系统

说明书

本发明涉及一种基于虚拟机自省的威胁情报响应与处置方法及系统，将威胁检测与响应模块部署在被检测虚拟机之外的特权虚拟机上；利用虚拟机自省技术获取进行网络通信的被检测虚拟机中的端口号‑传输层网络协议‑进程对应关系；捕获并解析虚拟机通信的网络数据包；利用网络威胁情报数据库判断数据包是否有威胁，如有威胁则给出威胁警告，并利用获得的对应关系定位和威胁源通信的虚拟机进程，进而对进程或端口等进行阻断。本发明通过把威胁检测与响应模块部署在被检测虚拟机外部，有效地保护了检测和响应模块，同时可以完成进程级别的网络威胁检测和响应，且不对现有的云架构做任何改动，可以方便地应用于云服务提供商的服务器上。

技术领域

本发明属于信息技术领域，尤其是一种基于虚拟机自省的威胁情报响应与处置方法及系统。

背景技术

随着云计算的快速发展，针对企业服务器虚拟机的网络攻击越来越多，给云计算服务厂商和用户都带来了巨大的损失。为了检测网络威胁并作出响应，降低网络攻击带来的危害，现阶段常用的方法有以下两种：在虚拟机中安装安全防护软件；在局域网上部署安全防护软件。这些方式在一定程度上维护了虚拟机系统的安全，但并不完善，主要表现在以下方面：

(1)把安全防护软件安装在虚拟机中，对每一个虚拟机都要安装软件并配置安全策略，维护成本高；

(2)把安全防护软件安装在虚拟机中，由于运行在要保护的系统中，安全软件可能受到攻击，安全性差；

(3)把安全防护软件部署在局域网上，只能得到操作系统级别的威胁信息，防护效能差。

虚拟机自省技术是一种在虚拟机外部监测虚拟机运行状态的技术，从2003年提出以来，虚拟机自省得到了国内外学者的研究。近些年来，不仅出现了各式各样的原型系统，还涌现出诸如LibVMI等优秀的开发工具包，基于虚拟机自省的应用也越来越多。

发明内容

本发明的目的在于克服现有技术的不足，提供一种易于维护、安全性强且安全效能高的基于虚拟机自省的威胁情报响应与处置方法及系统。

本发明解决现有的技术问题是采取以下技术方案实现的：

一种基于虚拟机自省的威胁情报响应与处置系统，包括：

被检测虚拟机，为系统进行检测和保护的目标虚拟机；

特权虚拟机，所述特权虚拟机中设置有威胁检测与响应模块，所述威胁检测与响应模块又包括：

虚拟机自省子模块，用于获取被检测虚拟机的端口号-传输层网络协议-进程对应关系；

数据包捕获和解析子模块，用于捕获和解析被检测虚拟机进行网络通信的数据包；

网络威胁情报获取和查询子模块，用于获取网络威胁情报形成网络威胁情报数据库，并提供查询接口实现特定条件的查询，并根据查询结果对有威胁的数据包进行响应及处置。

进一步地，上述系统还包括虚拟机监控器，即hypervisor。它用于模拟硬件环境，在其上可运行多个虚拟机系统，特权虚拟机和被检测虚拟机都运行在虚拟机监控器上。

进一步地，所述特定条件的查询是指将捕获的数据包与网络威胁情报数据库进行比对以判断网络数据包是否有威胁。

一种基于虚拟机自省的威胁情报响应与处置方法，包括以下步骤：

1)在被检测虚拟机之外的特权虚拟机上设置威胁检测与响应模块；

2)所述威胁检测与响应模块利用虚拟机自省技术获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系，同时捕获并解析被检测虚拟机通信的网络数据包；