[发明专利]一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法

说明书

技术领域

本发明涉及云计算安全技术领域，特别是一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法。

背景技术

随着云计算的不断发展，其应用领域也越来越大。伴随着云计算安全问题越来越引起人们的关注。恶意代码攻击是一种常见的攻击手段，目前最新的恶意代码尤其是内核态的恶意代码的隐藏性也越来越好，越来越难以被检测到。隐藏进程对于系统内核、关键进程的危害性也越来越大。传统的恶意代码检测方法中多数把检测工具部署在与恶意代码相同的操作系统中，以特征码识别为主要手段对恶意代码进行检测，这种方法能够直接获取被监控操作系统的诸多信息，拥有高可见性，便于判断是否受到攻击，但是也存在以下的弊端：

1、当被监控的操作系统被恶意代码成功入侵时，检测工具同样会暴露在恶意代码的控制之下，不能发挥正常的检测功能，从而导致隐藏进程检测不出来的问题。

2、需要占用被监控虚拟机的资源，对系统性能造成了损失。

发明内容

本发明解决的技术问题在于提供一种可靠性、高效的针对虚拟机恶意代码攻击的隐藏进程检测方法，解决现有恶意代码检测工具容易受到攻击、损耗过多资源的问题。

本发明解决上述技术问题的技术方案是：

所述的方法包括以下步骤：

步骤1：将恶意代码检测工具部署在Xen系统的DomainO中；

步骤2：启动Linux虚拟机；

步骤3：每隔一段时间，检测工具使用Xen的虚拟机管理器的DomainU访问接口层获取Linux虚拟机中的硬件资源信息。通过这些信息构造出进程列表p1；

步骤4：通过调用Linux虚拟机操作系统内的工具，得到进程列表p2；

步骤5：对比p1与p2中的每一个进程，如果进程P出现在p1中，而未出现在p2中，则说明P为隐藏进程；如果P出现在两个进程中，则说明系统是安全的，跳转到步骤3。

所述硬件资源指的是CPU、伪物理内存的数据信息；

所述的启动Linux虚拟机指的是启动Linux虚拟机的操作系统

所述的DomainU访问接口层指的是C语言库libxc提供的两个接口xc_vcpu_getcontext及xc_map_foreign_range，通过这两个接口，可以实现在DomainO中访问特定虚拟机DomainU中虚拟CPU和伪物理内存。

所述调用Linux虚拟机操作系统内的工具指的是使用系统调用的手段调用Linux操作系统内安装的进程信息打印工具并获取打印信息，如调用ps命令。

所述对比进程指的是对比进程的ID和进程的名称，如果进程P的ID和名称与进程P′的ID和名称一致，那么说明P和P′是同一个进程。

本发明利用Xen虚拟机管理器可以有效的监控DomainU中的硬件资源，包括虚拟CPU、伪物理内存的数据信息。通过这些字节码级别的底层信息构造出来的操作系统进程信息是可信赖的；利用虚拟机架构提供的隔离的特性，保证检测工具不受恶意代码的攻击。本发明的方法能产生如下的有益效果：

1、本发明不需要在虚拟机内部安装任何恶意代码检测工具，避免恶意代码检测工具受到攻击而失效的问题，同时避免了应用传统方式时在每台虚拟机中安装恶意代码检测工具而带来的大工作量；

2、本发明使用的恶意代码检测工具在虚拟机外进行检测，能保证虚拟机的性能。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面以8086系统架构的计算机上，具体讲述本发明的一个具体实施方式。

首先对DomainU访问层进行扩展，实现以下两个函数：

(1)read_register.

(2)read_kemel_vir_addr.