[发明专利]一种基于自省技术的虚拟机安全检测方法

说明书

本发明公开了一种基于自省技术的虚拟机安全检测方法，包括：从虚拟机外部虚拟机管理器层采集虚拟机状态数据，通过对内存的自省采集虚拟机进程状态、文件和端口数据，通过寄存器采集虚拟机的系统调用数据；通过对系统数据结构和系统符号表的解析，结合外部采集的数据，恢复和关联虚拟机进程状态、文件、端口和系统调用信息；利用增量和时间片的方法对虚拟机的状态和进程信息进行特征处理；利用局部异常因子，实现对异常状态的检测，利用随机森林，实现对虚拟机中恶意进程的检测，针对虚拟机的流量信息，结合网络入侵检测工具，实现进程级别的网络入侵检测；针对检测结果，根据用户设置实现不同级别的响应，提高虚拟机的安全性。

技术领域

本发明属于虚拟机安全检测技术领域，尤其涉及一种基于自省技术的虚拟机安全检测方法。

背景技术

近年来，云计算、虚拟化技术的广泛应用，在一台主机上搭载多台虚拟机，提供针对不同用户的多种服务成为了一种趋势。随之而来的各种安全问题逐步暴露，相对于传统的物理主机，对虚拟机安全威胁的影响范围相对增加，虚拟机的安全问题更应得到重视。

虚拟机安全检测是一种对虚拟机性能安全和功能安全的监控。具体来说，查看各虚拟机的资源利用情况是否在合理的范围内，同时检查虚拟机是否被恶意软件入侵，威胁虚拟机本身、甚至其他同宿主虚拟机的安全。目前的虚拟机检测多利用基于主机和基于网络的传统安全检测方法，前者检测工具与虚拟机之间缺少隔离性，易被篡改、可信度低，后者缺少虚拟机内部详细信息，检测关联性较差，维度单一。根据虚拟机位于物理主机上这一特性，有人提出虚拟机自省技术，从被监视虚拟机外部获得虚拟机内部操作系统的相关信息。利用自省技术采集虚拟机信息加强了虚拟机与主机层面的隔离性，提高了检测的可信度，充分关联各类细粒度的信息，利用机器学习的方法增强了检测的全面性，提高了检测的效率。

发明内容

技术问题：本发明的目的，在于提供一种基于自省技术的虚拟机安全检测方技术，其利用虚拟机自省的方法，从虚拟机外部采集、恢复和关联虚拟机各类信息，建立虚拟机外部信息视图，再通过机器学习的方法，同时结合网络入侵检测工具，实现对虚拟机全面的安全检测。

技术方案：为了达成上述目的，本发明提供了一种基于自省技术的虚拟机安全检测方法，包括如下步骤：

包括如下步骤：

步骤1：基于虚拟机自省技术，采集虚拟机状态信息和进程信息，并形成虚拟机外部信息视图；

步骤2：利用时间滑动窗口，分别对虚拟机状态信息和虚拟机外部信息视图中的进程信息数据进行特征向量提取，得到虚拟机状态信息特征向量和进程信息特征向量；

步骤3：实现对粗粒度的虚拟机异常状态检测和细粒度的虚拟机恶意进程检测，并结合网络流量入侵检测工具，实现对进程的恶意流量检测，增强对虚拟机恶意进程的检测效果。

步骤1中，所述采集虚拟机状态信息包括从虚拟机内部和外部同时获得虚拟机的状态信息，其中，从虚拟机内部获得虚拟机的状态信息，包括：通过虚拟机内部的守护进程获得虚拟机的状态信息，守护进程利用Dstat工具，对虚拟机内部的实时状态进行采集，所述实时状态包括CPU使用量、内存使用量、磁盘读写量和网络流量；同时守护进程利用系统命令ps和lsmod分别获得虚拟机内部进程和模块信息，和Dstat工具收集的信息一起通过socket方式传送到虚拟机外部；

所述从虚拟机外部获得虚拟机的状态信息，包括：利用VMM层开源工具Xentop和Libvirt，得到两个时间点T1和T2虚拟机的CPU时间、磁盘I/O总量和网卡I/O总量，通过计算T1到T2时间段内各类数据变化量和时间段的比例，得到虚拟机外部的状态信息。

步骤1中，所述采集虚拟机进程信息，是从虚拟机外部恢复进程信息，包括恢复内存中的信息和寄存器中的信息；

其中，恢复内存中的信息，是通过轮询的采集和恢复虚拟机16种内核结构，以获得静态的进程状态、文件信息和端口信息；