[发明专利]一种基于多桥的语义重构方法

权利要求书

1.一种基于多桥的语义重构方法，其特征在于：所述的基于多桥的语义重构方法包括按顺序执行的下列步骤：

步骤1)利用不同虚拟机自省技术将获取的客户虚拟机的底层数据分别重构为客户虚拟机的运行状态数据；

步骤2)利用上述客户虚拟机的运行状态数据构建其运行状态视图，然后进行跨视图对比，以获得客户虚拟机此时的安全状态信息；

步骤3)根据上述安全状态信息判定云平台中客户虚拟机是否处于异常状态，如判定结果为是，确定出具体异常行为；

步骤4)将上述客户虚拟机的异常行为数据归类并留存，以备后续的电子取证；

在步骤2)中，所述的利用上述客户虚拟机的运行状态数据构建运行状态视图，然后进行跨视图对比，以获得客户虚拟机此时的安全状态信息的方法包括：

2.1)利用步骤1)中获取的客户虚拟机的运行状态数据，针对每一种自省方法构建客户虚拟机的运行状态视图；

2.2)对同一台客户虚拟机同一时间的多个运行状态视图进行交叉对比分析，以获得客户虚拟机全面准确的安全状态信息。

2.根据权利要求1所述的基于多桥的语义重构方法，其特征在于：在步骤1)中，所述的利用不同虚拟机自省技术将获取的客户虚拟机的底层数据分别重构为客户虚拟机的运行状态数据的方法包括：

1.1)通过LibVMI的process-list、module-list在内的插件重构包括进程、模块在内的客户虚拟机的运行状态数据；

1.2)通过虚拟机自省工具Volatility的pslist、modules、connscan、hivescan在内的功能插件从客户虚拟机内存转储文件中重构包括进程、模块、网络、注册表在内的客户虚拟机的运行状态数据；

1.3)通过虚拟机自省工具Rekall重构包括进程、模块、网络在内的客户虚拟机的运行状态数据。

3.根据权利要求1所述的基于多桥的语义重构方法，其特征在于：在步骤3)中，所述的根据上述安全状态信息判定云平台中客户虚拟机是否处于异常状态，如判定结果为是，确定出具体异常行为的方法包括：

3.1)根据步骤2)获得的安全状态信息判定云平台中客户虚拟机是否处于异常状态；

3.2)如判定结果为是，将客户虚拟机此时的运行状态数据与异常行为特征库中的异常行为特征进行比对，由此确定出具体的异常行为。

4.根据权利要求1所述的基于多桥的语义重构方法，其特征在于：在步骤4)中，所述的将上述客户虚拟机的异常行为数据归类并留存的方法为：

4.1)构建此台客户虚拟机的异常行为日志；

4.2)将步骤3)中得出的客户虚拟机的具体异常行为写入异常行为日志中，以备后续的电子取证。