[发明专利]用于处理虚拟网络驱动器的恶意活动的技术

权利要求书

1.一种用于处理虚拟功能驱动器的恶意活动的网络计算设备，所述网络计算设备包括：

一个或多个处理器；以及

一个或多个数据储存设备，在所述一个或多个数据储存设备中存储多个指令，所述指令在由所述一个或多个处理器执行时使所述网络计算设备：

监视由所述网络计算设备的虚拟机的所述虚拟功能驱动器处理的事件以检测恶意活动；

响应于确定检测到由所述虚拟功能驱动器进行的恶意活动，更新与检测到的所述虚拟功能驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量；

在更新所述恶意事件跟踪变量之后，将所述恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较；以及

响应于确定所述恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反，对所述虚拟功能驱动器执行动作。

2.根据权利要求1所述的网络计算设备，其中监视由所述虚拟功能驱动器处理的事件以检测恶意活动包括以下中的至少一个：分析由所述网络计算设备接收的网络分组以查找恶意内容的证据；监视由所述虚拟功能驱动器进行的存储器访问请求；以及监视由所述虚拟功能驱动器进行的硬件访问请求。

3.根据权利要求1所述的网络计算设备，其中所述一个或多个恶意事件跟踪变量包括计数器，

其中更新所述一个或多个恶意事件跟踪变量包括基于检测到的所述虚拟功能驱动器的恶意活动的所述事件类型来递增所述计数器的值，

其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括：将计数器值与对应于检测到的所述虚拟功能驱动器的恶意活动的所述事件类型的计数器阈值进行比较，以及

其中对所述虚拟功能驱动器执行所述动作包括：响应于确定所述计数器值超过所述计数器阈值来执行所述动作。

4.根据权利要求1所述的网络计算设备，其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表，其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间，

其中更新所述一个或多个恶意事件跟踪变量包括：将与检测到所述恶意活动的时间对应的时间戳记录在所述列表中，

其中所述多个指令进一步使所述网络计算设备根据所述事件检测时间戳的列表来确定恶意事件的频率，

其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括：将恶意事件的频率与对应于检测到的由所述虚拟功能驱动器进行的恶意活动的所述事件类型的频率阈值进行比较，以及

其中对所述虚拟功能驱动器执行所述动作包括：响应于确定恶意事件的频率小于所述频率阈值而执行所述动作。

5.根据权利要求1所述的网络计算设备，其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括：将每个所述恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较，其中对应的警告阈值包括比对应的移除阈值更低的阈值。

6.根据权利要求5所述的网络计算设备，其中对所述虚拟功能驱动器执行所述动作包括：响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的移除阈值，移除所述虚拟功能驱动器的虚拟功能接口。

7.根据权利要求5所述的网络计算设备，其中对所述虚拟功能驱动器执行所述动作进一步包括：响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的警告阈值，向所述网络计算设备的管理员传输通知。

8.根据权利要求1所述的网络计算设备，其中所述多个指令进一步使所述网络计算设备响应于确定检测到由所述虚拟功能驱动器进行的恶意活动而重置所述虚拟功能驱动器。