[发明专利]一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法

权利要求书

1.基于虚拟机自省函数级虚拟机内核动态检测系统实现的检测方法，

所述基于虚拟机自省函数级虚拟机内核动态检测系统，包括安全虚拟机(1)、目标虚拟机(2)、虚拟机管理层(3)和硬件(4)；所述硬件(4)为安全虚拟机(1)、目标虚拟机(2)和虚拟机管理层(3)提供硬件(4)基础，所述安全虚拟机(1)包括监控框架(11)，所述监控框架(11)包括提取模块(111)、学习模块(112)和监控模块(113)；所述安全虚拟机(1)与目标虚拟机(2)通过虚拟机管理层(3)交互，利用VMI技术，所述安全虚拟机(1)通过虚拟机管理层(3)对目标虚拟机(2)中想要处理的部分进行操控，目标虚拟机(2)也能够通过虚拟机管理层(3)接收在安全虚拟机(1)中所关注的目标对象的状态数值和变化事件，所述虚拟机管理层(3)连接提取模块(111),所述提取模块(111)通过页面执行信息分别连接学习模块(112)和监控模块(113)，所述学习模块(112)通过控制流模型连接监控模块(113)，所述监控模块(113)通过控制流模型反向连接学习模块(112)；

提取模块(111)、用于将目标虚拟机(2)内核中的控制流进行显式的处理并采集过程中生成的相关数据，承担与虚拟机管理层(3)进行交互的全部工作；

学习模块(112)、用于将假设前提下的正常内核产生的控制流数据作为合法控制流数据，按照提供的学习方法进行处理，将学习结果添加至合法数据库中，将所述数据库作为安全标准提供安全技术；

监控模块(113)、用于将假设前提下无法判断是否正常的内核中的控制流数据作为待检测对象，按照指定的检测方法处理所述控制流数据，判断是否合法；

其特征在于，检测方法包括以下步骤：

步骤a、监控开启；

步骤b、提取模块(111)对目标虚拟机(2)注入监控点从而让虚拟机管理层(3)能够监听调用中的子函数，通过监听获得目标虚拟机(2)内存中的控制流信息，对执行过程中的函数进行采集，进行指令分析找出控制流信息中所有函数位置，利用静态内存分析的方法找到需要跟踪的系统调用中所有子函数地址；

步骤c、因为存在间接寻址问题，无法确定这条指令下一步会跳转到哪里，经过一次的静态内存分析无法找全所用调用的子函数，还需要对这类指令进行动态跟踪，从而得知下一步会执行到哪里，再次进行静态分析得到其后的子函数地址进行监听，循环执行，直到系统调用返回；

步骤d、所述函数被执行则记录其执行信息，通过三种学习方法对执行信息进行建模；所述三种学习方法分别是地址存在性、短序列和基于图嵌入的神经网络模型，在监控阶段同样根据上诉方法进行分别检测分析，从而检测内核控制流的完整性。

2.根据权利要求1所述基于虚拟机自省函数级虚拟机内核动态检测系统的检测方法，其特征在于，步骤b中对执行过程中的函数进行采集，在采集函数前，进行指令分析以找出控制流中所有函数的位置，对目标虚拟机(2)的内核指令进行语义分析，从而定位到各个函数的入口，在计算机指令中，分为非跳转指令与跳转指令，非跳转指令按程序计数器递增的顺序执行，而跳转指令对程序计数器进行改变，使其跳到一个新地址继续执行，所述跳转指令中，CALL指令跳转到下一个函数，RET返回上一个函数，而其他指令进行的是函数内跳转，目标通过其它指令最终找到CALL指令，当找到CALL指令时，进行分析找出它指向的函数地址，获得目标对象，在目标虚拟机(2)外部对指令进行分析，根据一个函数代码块中指令的执行流程，找到CALL指令，通过VMI技术得到指令的地址和内容，根据指令的语义得到其跳转的目标地址，依次遍历即对函数的全部内容进行解析，由调用的入口处的指令开始，分析调用函数的代码块，找出其中所有CALL指令，每一条CALL指令都会提供一个后续函数的入口地址，再对这些新得到的函数做同样的分析，取得所有可静态到达的函数，同样要进行动态分析，即在这类指令运行时进行分析，确保不遗漏任何函数。