[发明专利]基于虚拟机架构的恶意行为跟踪系统和方法有效
| 申请号: | 201210100509.4 | 申请日: | 2012-04-09 |
| 公开(公告)号: | CN102651062A | 公开(公告)日: | 2012-08-29 |
| 发明(设计)人: | 金海;王晓娣;邹德清;羌卫中;袁劲枫 | 申请(专利权)人: | 华中科技大学 |
| 主分类号: | G06F21/22 | 分类号: | G06F21/22;G06F9/455 |
| 代理公司: | 华中科技大学专利中心 42201 | 代理人: | 朱仁玲 |
| 地址: | 430074 湖北*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于虚拟机架构的恶意行为跟踪方法,包括:接收污点数据,将污点数据存储于客户操作系统的虚拟内存中,并在实际内存中分配一块内存区域存储该污点信息,在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在,修改虚拟机控制结构域,并且客户操作系统陷入虚拟机管理器层执行,对操作系统状态进行语义翻译,以获取高级语义信息,并将高级语义信息记录在污点数据结构中,跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程,根据污点数据的传播过程生成传播图,对传播图进行检测,以判断是否存在有分支。本发明可实时准确地检测虚拟化平台上的操作系统内的恶意行为。 | ||
| 搜索关键词: | 基于 虚拟机 架构 恶意 行为 跟踪 系统 方法 | ||
【主权项】:
一种基于虚拟机架构的恶意行为跟踪方法,其特征在于,包括:(1)接收污点数据,将污点数据存储于客户操作系统的虚拟内存中,并在实际内存中分配一块内存区域存储该污点信息;(2)在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在;(3)客户操作系统进入处理污点数据的状态,修改虚拟机控制结构域,并且客户操作系统陷入虚拟机管理器层执行;(4)对操作系统状态进行语义翻译,以获取高级语义信息,并将高级语义信息记录在污点数据结构中;(5)跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程;(6)根据污点数据的传播过程生成传播图;(7)对传播图进行检测,以判断是否存在有分支,若存在有分支,则说明有恶意行为发生,并进入步骤(8),否则说明没有恶意行为发生,并进入步骤(10);(8)将传播图中分支处的进程信息通知给用户;(9)返回步骤(8),直到传播图中所有的分支均已检测完毕为止;(10)还原虚拟机控制结构域,以使客户操作系统能够正常执行。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华中科技大学,未经华中科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210100509.4/,转载请声明来源钻瓜专利网。
- 上一篇:自动混料储料仓门门禁装置
- 下一篇:太阳能电池板角度控制系统
