[发明专利]基于深度学习与内存镜像分析的虚机行为分析系统

说明书

本发明公开了一种基于深度学习与内存镜像分析的虚机行为分析系统，该系统通过获取内存镜像数据，进行delta编码，再对编码后的内存图谱提取图谱特征点信息，利用所得到的特征信息训练神经网络得到一个分类器，最后运行神经网络，利用得到的分类器分析未知的虚拟机行为。本发明操作简单，容易实现，便于模块化；本发明适用范围广，可用于检测已知攻击、未知攻击等多种攻击方式，即使攻击者潜伏一段时间后再发起攻击，也不会影响本发明的检测性能；此外，本发明在不同系统平台，都具有较好的鲁棒性、可靠性、可用性。

技术领域

本发明属于无线网络安全领域，具体是拟态主动防御领域，涉及一种基于深度学习与内存镜像分析的虚机行为分析系统。

背景技术

虚拟化的云平台是云计算的重要部分。虚拟化的云平台是指在同一云平台上同时运行多个操作系统，每个系统拥有自己独立的运行空间。通过一台服务器上运行多台虚拟服务器，提高了机器的使用效率，从而减小硬件采购开支，是打造绿色数据中心的重要方式。基于虚拟机的云平台使用户能自主搭建自己的业务环境，运行稳定且具有良好的扩展性与迁移性，在金融行业、零售行业、数字营销、教育行业、政企单位等领域中应用广泛。

虚拟化的云平台结构具有开放特性，由此衍生出一系列与虚拟机相关的安全问题。虚拟机中运行的资源数据以及应用容易受到入侵者的损害。因此，虚拟机需要更多的安全保障机制来加速大规模云服务的部署。其中首要问题是如何实时正确地判断虚拟机行为，判断虚拟机是否遭受恶意攻击。

目前，解决虚机运行安全的方法有：基于网络流数据、基于日志、基于先验知识的虚机运行状态判断方法。基于网络流数据的虚机行为判断方法通过判断虚拟机网卡接收的数据是否含恶意数据包，检测虚拟机是否遭受恶意攻击。这种方法需要通信协议可解析，无法应对未知协议。另外，利用大量的数据包导致该判断方法计算开销较大。基于日志分析的方法通过分析虚拟机系统日志判断虚拟机是否遭受恶意攻击。但是日志本身具有滞后性，往往系统需要判断一系列的活动与动作才能判定入侵的发生，这对于即使阻止活跃的入侵行为是十分不利的。基于先验知识的判断方法需要已知攻击行为，无法应对未知漏洞、未知后门、未知攻击。

为了实时保证虚拟机的安全性，亟需一种不依赖于已漏洞库、攻击库，且快速有效的虚机行为分析方法，以提高威胁发现的准确性和效率，实现虚拟机的可靠性、可用性、安全性。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于深度学习与内存镜像分析的虚机行为分析系统。本发明针对网络中的内部攻击与外部攻击、已知攻击与未知攻击，保证虚拟机平台的安全性，对未知威胁及时作出预警，能正确实时地判断虚拟机行为，提高云虚拟机的安全性、可靠性、可用性。

本发明的目的是通过以下技术方案来实现的：一种基于深度学习与内存镜像分析的虚机行为分析系统，包括以下步骤：

(1)获取内存镜像数据，包括以下子步骤：

(1.1)在初始时刻t₀，使用内存取证工具获取初始内存镜像数据，得到初始内存。

(1.2)在任意时刻t₀+Δt，在VirtualBox，VMware虚拟化平台上，根据不同操作系统的内存管理机制，分别自动采样当前时刻各异构体不受攻击与受攻击情况下的内存镜像数据，得到当前内存，即正常样本与恶意样本。

(2)进行delta编码，包括以下子步骤：

(2.1)运行内存取证工具，对步骤(1.1)获取的初始内存使用pslist以及dlllist命令，分别确定初始内存中的EXE类型的可执行文件与DLL类型的动态链接库列表。

(2.2)对步骤(1.2)得到的当前内存运行内存取证工具中的pslist以及dlllist命令，分别确定当前内存中的EXE类型的可执行文件与DLL类型的动态链接库列表；