[发明专利]基于轻量虚拟机监控器的沙盒系统及用其监控OS的方法

说明书

技术领域

本发明属于计算机安全领域，具体涉及一种基于轻量虚拟机监控器的沙盒系统。

背景技术

随着计算机系统和计算机网络的普及，互联网已发展成众多程序的运行平台，然而，由于网络协议、计算机操作系统以及浏览器自身的漏洞，计算机系统面临着安全挑战。目前，主流的安全软件使用的主动防御机制还不成熟，特别是当正常软件的行为与病毒的行为重合时，主动防御机制将产生误杀，导致软件无法正常运行。面对越来越复杂的病毒行为，主动防御的检测过程也会极大地降低计算机的工作性能。

沙盒作为新型的安全模型为解决以上问题提供了新思路：控制一个受保护的安全资源区域，让不受信任的程序在其中运行，这样既保证了程序的正常运行，又不会对真实的操作系统造成破坏。当程序的行为得到操作系统信任机制的信任判断时，程序在沙盒中的行为才会在操作系统中执行。

CN101873318A(国网电力科学研究院)公开了针对应用基础支撑平台上应用系统的应用与数据保全方法。本发明通过接管并模拟应用基础框架平台的各类接口，创建形成与真实的上层应用相独立的虚拟容器或沙盒，屏蔽对被保护的真实应用系统和相关数据访问，使所有用户访问均运行于独立的虚拟容器中。通过对虚拟容器中用户运行结果状态或动作过程的分析，检测容器安全状态，在确认安全的情况下，再进行虚拟容器数据向真实应用的导入；否则，清空虚拟容器，对真实应用无任何影响，实现应用和数据的保全。

CN102595404A(美国苹果公司)公开了在将使用访问控制实体的主设备被部署后用于安全提供所述访问控制实体（例如，电子或虚拟订户身份模块（eSIM）部件的方法和装置）。在一个实施例中，无线（例如，蜂窝）用户装备被给予唯一设备密钥和签名证书，其可以被用于为“实地”用户装备提供更新或新的eSIM。基于使用设备密钥的安全证书传输，用户装备可以信任实质上由未知第三方eSIM卖方递送的eSIM。在另一方面，操作系统（OS）被分为多个分区或“沙盒”。在操作期间，用户设备可以激活并执行在与当前无线网络相对应的沙盒中的OS，在连接网络时接收的个性化包仅应用于那个沙盒。类似地，当加载eSIM时，OS只需要装载当前运行时环境所必须的软件的列表，不使用的软件能被随后激活。

CN102930210A(江苏金陵科技集团公司)公开了一种恶意程序行为自动化分析、检测与分类系统，其特征在于，包括如下模块：（1）静态分析模块：在对样本文件进行沙盒动态分析之前，可以对可执行文件的结构进行静态分析，以得到尽可能多的与样本相关的信息，由这些信息得到样本文件的静态分析报告，和之后的各种报告成为行为抽象模块最原始的数据来源；（2）沙盒调度管理模块：沙盒调度管理模块管理每个沙盒、协调样本和数据的传输、控制样本自动化分析的流程；沙盒调度管理模块控制每一个沙盒的启动和退出，实现与每一个沙盒的信息交换与文件传输，控制样本的执行和主机环境模拟；（3）沙盒监控模块：沙盒监控模块以捕获特定进程发起的API调用及其参数为主要目标，同时提取该进程加载模块和操作系统为其维护的相关内核数据。

CN1961272A(200580017458.7，英特尔公司)公开一种改进处理系统的安全性的方法，该方法包括：根据文件识别策略评价文件，至少部分基于所述文件识别策略，识别将被标记为可疑的文件；标记所述将被标记为可疑的文件以将该文件识别为可疑文件；为对所述可疑文件进行执行或访问中创建沙箱虚拟机，以及在所述沙箱虚拟机中对所述可疑文件进行执行或访问。

CN102436508A公开了一种基于沙箱技术浏览网页的方法，其特征在于，包括：接收到在沙箱内进行网页浏览的指令时，在沙箱外启动框架进程，以便将所述框架进程中产生的操作，在沙箱外进行处理。截获框架进程创建的浏览器进程，将所述浏览器进程放入沙箱内，以便将网页访问结果保存在沙箱内的指定目录，和／或，网页中的脚本运行在沙箱的虚拟环境中。

US2007226773A1（或US7725922B2）公开了一种关于例如列出命令等的shell脚本程序及例如Java虚拟机中可执行方法的安全策略强制执行方法。该方法包括判断是否存在同脚本工具关联的安全政策和创建沙盒强制执行规定的安全策略。

US2008127292A1（US8272048B2）描述了一种在例如工作站的计算设备或在安全软件领域中使用的监控方法。该方法涉及监控程序的系统调用，并监视内核的操作。