[发明专利]一种基于IO序列的虚拟机异常行为检测方法与系统有效
| 申请号: | 201611224356.9 | 申请日: | 2016-12-27 |
| 公开(公告)号: | CN106650434B | 公开(公告)日: | 2019-03-22 |
| 发明(设计)人: | 陈兴蜀;陈佳昕;赵丹丹;金鑫 | 申请(专利权)人: | 四川大学 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F9/455 |
| 代理公司: | 成都信博专利代理有限责任公司 51200 | 代理人: | 张辉;崔建中 |
| 地址: | 610065 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于IO序列的虚拟机异常行为检测方法与系统,其中,检测系统包括异步采集模块、进程获取模块、通信模块和检测模块;异步虚拟机IO序列采集技术,通过在VMM中异步采集虚拟机IO序列来最大程度地减小虚拟机运行过程中的性能损耗;虚拟机IO序列进程语义动态获取技术,利用VMM层动态获取虚拟机进程语义来实现虚拟机IO序列与虚拟机进程的合理映射,从而有助于IO序列的规律分析和对检测结果的确认;基于马尔科夫链的虚拟机恶意行为检测技术,结合虚拟机IO短序列与马尔科夫链构造异常检测模型来完成虚拟机内部恶意行为检测。本发明准确发现基于虚拟机IO的异常攻击行为,保护云计算平台的安全。 | ||
| 搜索关键词: | 一种 基于 io 序列 虚拟机 异常 行为 检测 方法 系统 | ||
【主权项】:
1.一种基于IO序列的虚拟机异常行为检测方法,其特征在于,包括以下步骤:步骤1:截获虚拟机IO模拟操作,提取所需的虚拟机IO序列并保存于数据缓存区,唤醒自定义内核线程异步采集虚拟机IO序列,恢复VMM正常执行流程;步骤2:在VMM中实时透明地获取虚拟机进程信息,构造虚拟机进程信息与虚拟机IO序列的合理映射关系;步骤3:将自定义内核线程中采集到的虚拟机IO序列与对应的虚拟机进程信息保存到宿主机用户层的数据库中;步骤4:对正常情况下得到的虚拟机IO序列进行行为特征建模,生成正常特征库模型;步骤5:对待测情况下得到的待测虚拟机IO序列构造待测模型,比对正常特征库模型,将待测样本中的恶意虚拟机IO序列与对应的虚拟机进程信息输出到检测日志。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201611224356.9/,转载请声明来源钻瓜专利网。
- 上一篇:一种异常行为检测方法及系统
- 下一篇:椅子组件(8)
