[发明专利]基于虚拟化的主机行为主被动结合检测系统和方法有效
| 申请号: | 201510970176.4 | 申请日: | 2015-12-22 |
| 公开(公告)号: | CN105550095B | 公开(公告)日: | 2018-07-06 |
| 发明(设计)人: | 丁振全;郝志宇;邓鑫;刘永继 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | G06F11/30 | 分类号: | G06F11/30 |
| 代理公司: | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人: | 邱晓锋 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于虚拟化的主机行为主被动结合检测系统和方法。该系统包括主动监控获取数据模块、被动监控获取数据模块、数据转发模块和行为分析模块,其中主动监控获取数据模块采用主动监控方式主动获取虚拟机内部当前时刻的静态数据;被动监控获取数据模块采用异步侦听方式截获虚拟机内部的系统调用和系统指令数据;数据转发模块负责将本地获取的数据远程转发至行为分析服务器进行;行为分析模块接收数据转发模块发送的行为数据,并根据数据来源,动态控制分析线程对行为数据进行分析。本发明采用主动监控与被动监控相结合的方式,实现了具有透明性、实时性、灵活性等特点的集中式虚拟机监控机制。 | ||
| 搜索关键词: | 获取数据 主动监控 虚拟机 数据转发模块 行为分析模块 结合检测 行为数据 虚拟化 监控 主机 侦听 动态控制 监控机制 接收数据 静态数据 数据来源 数据远程 系统调用 系统指令 行为分析 主动获取 转发模块 集中式 实时性 线程 服务器 截获 分析 转发 发送 | ||
【主权项】:
1.一种基于虚拟化的主机行为主被动结合检测系统,其特征在于,包括主动监控获取数据模块、被动监控获取数据模块、数据转发模块和行为分析模块,其中主动监控获取数据模块采用主动监控方式主动获取虚拟机内部当前时刻的静态数据;被动监控获取数据模块采用异步侦听方式截获虚拟机内部的系统调用和系统指令数据;数据转发模块负责将本地获取的数据远程转发至行为分析服务器进行,转发的数据包括主动方式获取的行为数据及异步侦听方式获取的行为数据;行为分析模块接收数据转发模块发送的行为数据,并根据数据来源,动态控制分析线程对行为数据进行分析;所述被动监控获取数据模块通过事件接收器不断拦截虚拟机中发生的事件,事件接收器拦截到异常信息时,判断是否由syscall或sysret引起的,若是由这两条指令引起的,则收集系统调用号、系统调用参数、系统调用进程号、发生系统调用的地址、虚拟机的基本信息;事件接收器将收集到的数据放入由共享内存实现的环形缓冲区内;系统调用信息收集结束之后,事件接收器通过事件通道机制通知数据转发模块取走数据,同时模拟syscall或sysret指令的运行,恢复虚拟机的操作。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510970176.4/,转载请声明来源钻瓜专利网。
- 上一篇:一种SAP系统状态评价方法
- 下一篇:一种高可用系统状态自动监控方法
