[发明专利]基于虚拟化的主机行为主被动结合检测系统和方法

权利要求书

1.一种基于虚拟化的主机行为主被动结合检测系统，其特征在于，包括主动监控获取数据模块、被动监控获取数据模块、数据转发模块和行为分析模块，其中主动监控获取数据模块采用主动监控方式主动获取虚拟机内部当前时刻的静态数据；被动监控获取数据模块采用异步侦听方式截获虚拟机内部的系统调用和系统指令数据；数据转发模块负责将本地获取的数据远程转发至行为分析服务器进行，转发的数据包括主动方式获取的行为数据及异步侦听方式获取的行为数据；行为分析模块接收数据转发模块发送的行为数据，并根据数据来源，动态控制分析线程对行为数据进行分析；

所述被动监控获取数据模块通过事件接收器不断拦截虚拟机中发生的事件，事件接收器拦截到异常信息时，判断是否由syscall或sysret引起的，若是由这两条指令引起的，则收集系统调用号、系统调用参数、系统调用进程号、发生系统调用的地址、虚拟机的基本信息；事件接收器将收集到的数据放入由共享内存实现的环形缓冲区内；系统调用信息收集结束之后，事件接收器通过事件通道机制通知数据转发模块取走数据，同时模拟syscall或sysret指令的运行，恢复虚拟机的操作。

2.如权利要求1所述的系统，其特征在于，所述主动监控获取数据模块通过虚拟机信息获取工具获取虚拟机中的系统状态。

3.如权利要求1所述的系统，其特征在于，所述数据转发模块实时接收事件通道信号，分析事件通道信号内容，从中提取数据在异步环形缓冲区的ID范围，然后判断当前是否存在空闲的数据提取线程；若不存在空闲的数据提取线程，则新建线程用于数据提取，并进行相应初始化；若存在空闲的数据提取线程，则根据数据块ID范围，从异步环形缓冲区内取走数据内容，并重置异步环形缓冲区内相应位置上的内容，将数据临时存放在本地缓存队列，等待转发至行为分析服务器，同时重置此数据提取线程为空闲；数据转发线程依次从本地缓存队列中取出数据，转发至行为分析服务器。

4.如权利要求1所述的系统，其特征在于，所述行为分析模块创建多线程用以接收不同服务器发来的数据，并转存在本地缓存队列，然后分析数据内容来源，根据数据内容来源的不同，采用不同方式进行分析；对主动监控方式及异步侦听检测方式最终生成的语义视图采用多视图对比分析模型进行对比分析，得出最终的数据分析结果。

5.一种采用权利要求1所述系统的基于虚拟化的主机行为主被动结合检测方法，其特征在于，包括如下步骤：

1)主动监控获取数据模块获取虚拟机中的系统状态，并根据当前系统状态构造出所需要的语义信息，然后经数据转发模块转发至远程的行为分析服务器上的行为分析模块；

2)被动监控获取数据模块通过事件接收器不断拦截虚拟机中发生的事件，事件接收器将收集到的数据放入由共享内存实现的环形缓冲区内；系统调用信息收集结束之后，事件接收器通过事件通道机制通知数据转发模块取走数据；数据转发模块将事件接收器收集到的数据取走，并发往远程行为分析服务器上的行为分析模块；

3)行为分析模块接收数据转发模块发来的行为数据，并根据数据来源分发给不同的行为分析线程；

4)行为分析线程根据数据量大小，动态控制线程创建与消亡，对行为数据进行分析，对不同视图进行操作。

6.如权利要求5所述的方法，其特征在于，步骤1)通过主动监控获取数据的方法是：

(1)初始化定时器，并设置定时时间；

(2)判断是否到达定时时间，或是否有其他模块调用主动监控数据获取，若是则转向步骤(3)；

(3)借助Libvmi获取虚拟机整块内存数据；

(4)对内存数据进行简要整理分析后，形成主动监控语义信息；

(5)由数据转发模块将整理后的内存数据及相应语义信息转发至远程分析服务器；

(6)若是由定时器定时触发，则重置定时时间；

(7)返回步骤(2)。