[发明专利]一种基于自省技术的虚拟机安全检测方法

权利要求书

1.一种基于自省技术的虚拟机安全检测方法，其特征在于，包括如下步骤：

步骤1：基于虚拟机自省技术，采集虚拟机状态信息和进程信息，并形成虚拟机外部信息视图；

步骤2：利用时间滑动窗口，分别对虚拟机状态信息和虚拟机外部信息视图中的进程信息数据进行特征向量提取，得到虚拟机状态信息特征向量和进程信息特征向量；

步骤3：实现对粗粒度的虚拟机异常状态检测和细粒度的虚拟机恶意进程检测，并结合网络流量入侵检测工具，实现对进程的恶意流量检测，增强对虚拟机恶意进程的检测效果；

步骤1中，所述采集虚拟机状态信息包括从虚拟机内部和外部同时获得虚拟机的状态信息，其中，从虚拟机内部获得虚拟机的状态信息，包括：通过虚拟机内部的守护进程获得虚拟机的状态信息，守护进程利用Dstat工具，对虚拟机内部的实时状态进行采集，所述实时状态包括CPU使用量、内存使用量、磁盘读写量和网络流量；同时守护进程利用系统命令ps和lsmod分别获得虚拟机内部进程和模块信息，和Dstat工具收集的信息一起通过socket方式传送到虚拟机外部；

所述从虚拟机外部获得虚拟机的状态信息，包括：利用VMM层开源工具Xentop和Libvirt，得到两个时间点T1和T2虚拟机的CPU时间、磁盘I/O总量和网卡I/O总量，通过计算T1到T2时间段内各类数据变化量和时间段的比例，得到虚拟机外部的状态信息；

步骤1中，所述采集虚拟机进程信息，是从虚拟机外部恢复进程信息，包括恢复内存中的信息和寄存器中的信息；

其中，恢复内存中的信息，是通过轮询的采集和恢复虚拟机16种内核结构，以获得静态的进程状态、文件信息和端口信息；

恢复寄存器中的信息，是使用LibVMI设置INT 3软件中断，强制发生系统调用的虚拟机陷入虚拟机管理器层，通过寄存器读取当前系统调用的二进制数据，根据对系统调用内核源码的分析，将二进制数据恢复成能够理解的操作系统级语义，得到当前发生的系统调用信息；

所述恢复内存中的信息，是通过轮询的采集和恢复虚拟机16种内核结构，以获得静态的进程状态、文件信息和端口信息，具体包括：通过自省库LibVMI和虚拟机系统符号表，从内存中提取模块列表、进程状态、文件和端口的二进制数据，接着分析虚拟机操作系统中各内核结构及其偏移量，将之前从内存中提取的二进制数据恢复成能够理解的操作系统语义；

所述形成虚拟机外部信息视图，包括：利用软件中断从虚拟机外部截获实时系统调用，利用滑动时间窗口的方法，对每1秒钟内动态的系统调用信息与这段时间结束时静态的进程状态、文件信息和端口信息相结合，形成虚拟机进程的外部信息视图；

步骤2包括：对于虚拟机状态信息，提取的虚拟机状态信息特征向量包括CPU、网络、磁盘、内存、进程和模块信息，对于虚拟机状态信息特征向量中有波动且有上下界的数据以原形式保存；对于无上界的递增数据，以时间段内增量的方法表示，形成各种用数值表示的虚拟机状态信息特征向量；

步骤2包括：对于虚拟机外部信息视图中的进程信息数据，提取的进程信息特征向量包括进程的状态、关联文件、关联端口和系统调用，即在滑动时间窗口中提取进程静态和动态信息，并进行统计形成进程信息特征向量中的各个数值；

步骤3包括：利用局部异常因子算法和虚拟机状态信息特征向量，训练虚拟机异常状态检测模型，用于检测虚拟机异常状态，实现对粗粒度的虚拟机异常状态检测；

利用随机森林算法和进程信息特征向量训练虚拟机流量检测模型，用于进行流量检测，实现细粒度的虚拟机恶意进程检测；

虚拟机流量检测模型进行流量检测时，将网络流量入侵检测工具的报警信息通过IP地址对应到虚拟机；如果报警信息中含有端口信息，则结合虚拟机进程信息采集中的端口信息，将报警信息对应到一个进程。

2.如权利要求1所述的方法，其特征在于，还包括步骤4：根据管理员自定义设置和虚拟机安全检测的结果，根据虚拟机状态、进程和流量的异常报警，实现不同级别的响应，对虚拟机实施迁移、暂停和关机操作。