[发明专利]一种虚拟机进程异常行为检测方法与系统

说明书

本发明公开了一种虚拟机进程异常行为检测方法与系统，其中，检测方法包括：捕获虚拟机进程调度事件，在Hypervisor中重构Linux操作系统与Windows操作系统虚拟机进程语义信息；在Hypervisor中设置虚拟机的虚拟CPU寄存器SYSENTER_EIP_MSR指向的系统调用入口函数地址为非法地址，捕获虚拟机进程系统调用事件，获取虚拟机进程系统调用数据，重新恢复虚拟机运行；将虚拟机进程语义信息与虚拟机进程系统调用数据存入虚拟机数据日志文件；对虚拟机数据日志文件进行行为特征建模；对待测情况下得到的虚拟机进程系统调用数据构造待测模型，根据检测算法，将检测结果输出到虚拟机检测日志文件。本发明能在一定程度上发现云平台上存在的安全风险。

技术领域

本发明涉及虚拟化安全技术领域，具体来讲是一种基于系统调用向量空间的虚拟机进程异常行为检测方法与系统。

背景技术

随着云计算技术的快速发展，云平台的安全性也受到了业界的广泛关注。随着虚拟机监视器(Virtual Machine Monitor，VMM)的引入，虚拟机中的恶意进程能够通过虚拟机的漏洞对VMM或其他虚拟机实施攻击，达到威胁云平台安全的目的。

在传统主机入侵检测领域，基于系统调用的异常检测方法，大多针对主机内的单一特权进程进行异常行为检测。所谓特权进程，是指其在运行过程中具有超级用户权限，攻击者能够通过成功入侵特权进程从而获得系统权限。而云计算环境下的虚拟机与传统主机环境不同，其不仅存在着传统主机中的安全风险，还存在着诸如虚拟机逃逸等复杂和未知的安全威胁，仅仅依赖传统主机对特权进程的检测方案，将传统主机入侵检测策略用于虚拟化平台，往往无法保证检测的全面性。

分析虚拟机中正常进程与异常进程中的系统调用行为特征，能够区分正常进程与异常进程的运行行为，发现虚拟机中潜在的恶意威胁，能在一定程度上发现云平台上存在的安全风险。

发明内容

本发明所要解决的技术问题是提供了一种虚拟机进程异常行为检测方法与系统，利用正常进程系统调用行为构建的特征模式库与采集到的异常进程系统调用行为，发现虚拟机中存在异常行为的进程。

为解决上述技术问题，本发明采用的技术方案是：

一种虚拟机进程异常行为检测方法，包括以下步骤：

步骤1：采用无代理监控方式，捕获虚拟机进程调度事件，在Hypervisor中重构Linux操作系统与Windows操作系统虚拟机进程语义信息；

步骤2：在Hypervisor中设置虚拟机的虚拟CPU寄存器SYSENTER_EIP_MSR指向的系统调用入口函数地址为非法地址，捕获虚拟机进程系统调用事件，获取虚拟机进程系统调用数据，重新恢复虚拟机运行；

步骤3：将虚拟机进程语义信息与虚拟机进程系统调用数据存入虚拟机数据日志文件；

步骤4：在未受到任何攻击的系统环境下，对采集得到的虚拟机数据日志文件进行行为特征建模，生成特征模式库；

步骤5：对待测情况下得到的虚拟机进程系统调用数据构造待测模型，根据检测算法，将检测结果输出到虚拟机检测日志文件。

进一步的，所述步骤4具体为：

步骤4.1：计算权值系数Weight_i＝N/N_i，其中N为训练集合中的进程总数，N_i为训练集合中出现系统调用s_i的进程数；

步骤4.2：计算进程P的系统调用频率向量Fre＝(fre₀,fre₁,…,fre_i,…,fre_n)，其中n为系统调用总数，0≤i≤n，fre_i为系统调用s_i在进程P中的频率；