[发明专利]基于虚拟机监控器的隐藏进程检测方法和装置

说明书

技术领域

本发明涉及虚拟机技术，尤其涉及一种基于虚拟机监控器(Virtual Machine Monitor，简称为：VMM)的隐藏进程检测方法和装置，属于计算机技术领域。

背景技术

虚拟化技术的发展促进了虚拟机技术的出现。通过虚拟硬件来实现虚拟机，将一台物理计算机系统虚拟化为一台或多台虚拟计算机系统，每个虚拟计算机系统都拥有自己的虚拟硬件(如CPU、内存和设备等)。虚拟机的各种优点促使了虚拟计算环境的发展。当然，作为计算环境的核心，虚拟机的安全性必须要得到更好的保证，这也成为当前虚拟计算环境下所要研究的重要问题。此外，虚拟机技术的发展不仅促进虚拟计算环境的发展，其本身的一些优势也为安全技术的发展带来了新的机遇。虚拟机监控器处于客户机以及客户机系统的底层，具有更高的特权级。因此，通过虚拟机监控器可以更容易解决安全的一些问题。

在虚拟机系统会出现的各种安全问题中，系统中隐藏对象带来日益严重的安全问题。所谓“隐藏”，指的是“用户不可见”。有这样一种恶意软件，常被称为“Rootkit(内核级后门/木马)”，他们运行在系统内核态，可以自隐藏自己的进程、服务、日志以及网络连接等等，并能够对正常的用户程序进行隐藏。于是，如何检测到系统中的隐藏对象成为维护系统内部安全的重要内容，也是虚拟计算环境下保障虚拟机内部安全的重要内容。

目前关于如何检测系统内隐藏的各种对象，主要有三种方法：一种基于系统内部的研究和实现，一种基于辅助的硬件，还有一种基于虚拟机控制器的一些安全机制。基于系统级的隐藏对象检测机制存在篡改、禁用、绕过的危险，而基于辅助硬件的，需要专门硬件的支持，增加了成本，且实现功能不完整。基于VMM的安全技术已经有了很大的发展，而且安全性在增加，但是也会分别出现一些不足：有些是粗粒度的检测；有些是利用内核数据结构进行语义转换，在没有验证的情况下，会漏掉一些信息；有些为了实现更高安全性，牺牲掉了一些完整的语义信息；而更多的研究放在了研究进程方面，关于文件、网络连接的研究比较少，如果存在只终止了隐藏的进程而忽略了遗留的隐藏文件，或者没有关注隐藏的网络连接，这些连接很有可能是非隐藏的进程创建的，等等一些情况下，导致检测的范围受限。除外，一些不支持开源的商用系统的研究使用范围也有一定限制。

发明内容

本发明的第一个方面是提供一种基于虚拟机监控器的隐藏进程检测方法，包括：

分别获得用户态、内核态以及虚拟机监控器中的进程信息；

比较所述用户态中的进程信息与所述内核态中的进程信息，获得用户态中的隐藏进程；

比较所述内核态中的进程信息与所述虚拟机监控器中的进程信息，获得内核态中的隐藏进程。

本发明的第二个方面是提供一种基于虚拟机监控器的隐藏进程检测方法，包括：

比较虚拟机内部用户态程序维护的网络连接信息与虚拟机监控器维护的网络连接信息，获得隐藏的网络连接；

利用虚拟机监控器获取进程与端口的映射信息，根据所述隐藏的网络连接的网络端口，获得隐藏进程。

本发明的第二个方面是提供一种基于虚拟机监控器的隐藏进程检测装置，包括：

获得模块，用于分别获得用户态、内核态以及虚拟机监控器中的进程信息；

第一比较模块，用于比较所述用户态中的进程信息与所述内核态中的进程信息，获得用户态中的隐藏进程；

第二比较模块，用于比较所述内核态中的进程信息与所述虚拟机监控器中的进程信息，获得内核态中的隐藏进程。

本发明一个方面的技术效果是：在利用硬件虚拟化的技术，并且作为Linux系统可加载的模块，在虚拟机监控器KVM中进行修改，不影响虚拟机监控器的正常运行以及产生可接受的额外性能开销，实现了多种视图的隐藏进程检测及识别技术，并通过检测隐藏的网络连接进一步发现可疑的进程，实现多角度、全方位的进程检测，为虚拟机提供更高的安全性。

附图说明

图1为本发明一个实施例提供的基于虚拟机监控器的隐藏进程检测方法流程图；

图2为本发明实施例提供的内核态进程列表的获取流程图；

图3为本发明实施例提供的VMM进程列表的获取流程图；

图4为本发明实施例提供的多视图示意图；

图5为本发明实施例提供的虚拟机监控器的隐藏进程检测方法流程图；

图6为本发明实施例提供的基于虚拟机监控器的隐藏进程检测装置结构示意图；