虛擬機逃逸的檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息技術(shù)領(lǐng)域�����,特別是涉及一種虛擬機逃逸的檢測方法及裝置����。
【背景技術(shù)】
[0002]隨著信息技術(shù)的不斷發(fā)展����,計算機軟件開發(fā)技術(shù)越來越普及,其中���,虛擬機逃逸變成研發(fā)人員急需解決的問題���。虛擬機逃逸是指利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊,以達到攻擊或控制虛擬機宿主操作系統(tǒng)的目的���。
[0003]目前,虛擬機中的程序只允許在虛擬機中運行��,當虛擬機系統(tǒng)出現(xiàn)漏洞時,虛擬機中的程序?qū)⑼黄铺摂M機的界限�����,讀取虛擬機以外的資源�����,例如讀取宿主機中的資源�����。具體地��,虛擬機逃逸可以通過虛擬出一個設(shè)備��,將逃逸程序攜帶進宿主機中�����,對宿主機中的資源進行占用���;還可以虛擬出一個仿真指令進行攜帶逃逸程序���。無論哪種逃逸方式都不是系統(tǒng)運行的正常情況����,會對宿主機造成安全隱患�,所以要及時對虛擬機逃逸進行防護。
【發(fā)明內(nèi)容】
[0004]有鑒于此�����,本發(fā)明提供了一種虛擬機逃逸的檢測方法及裝置�����,主要目的在于可以及時檢測出虛擬機的逃逸行為�����,以便進行安全防護���。
[0005]依據(jù)本發(fā)明一個方面����,提供了一種虛擬機逃逸的檢測方法�,該方法包括:
[0006]接收不同虛擬機中的預置設(shè)備傳遞過來的多個待檢測逃逸文件,以及每個待檢測逃逸文件對應的虛擬機標識信息�,所述待檢測逃逸文件為所述預置設(shè)備中的驅(qū)動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關(guān)鍵函數(shù)時傳遞過來的;
[0007]對所述多個待檢測逃逸文件進行解析���,得到分別對應的訪問路徑信息����;
[0008]檢測所述多個待檢測逃逸文件中是否存在所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件�;
[0009]若存在,則根據(jù)所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件對應的虛擬機標識信息���,確定與所述虛擬機標識信息對應的虛擬機中存在逃逸行為�����。
[0010]依據(jù)本發(fā)明另一個方面�����,提供了一種虛擬機逃逸的檢測裝置��,該裝置包括:
[0011]接收單元����,用于接收不同虛擬機中的預置設(shè)備傳遞過來的多個待檢測逃逸文件����,以及每個待檢測逃逸文件對應的虛擬機標識信息�,所述待檢測逃逸文件為所述預置設(shè)備中的驅(qū)動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關(guān)鍵函數(shù)時傳遞過來的���;
[0012]解析單元�����,用于對所述接收單元接收的多個待檢測逃逸文件進行解析�,得到分別對應的訪問路徑信息��;
[0013]檢測單元�����,用于檢測所述解析單元解析得到的多個待檢測逃逸文件中是否存在所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件���;
[0014]確定單元���,用于若所述檢測單元檢測出所述多個待檢測逃逸文件中存在所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件,則根據(jù)所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件對應的虛擬機標識信息�,確定與所述虛擬機標識信息對應的虛擬機中存在逃逸行為。
[0015]借由上述技術(shù)方案,本發(fā)明實施例提供的技術(shù)方案至少具有下列優(yōu)點:
[0016]本發(fā)明提供的一種虛擬機逃逸的檢測方法及裝置��,首先接收不同虛擬機中的預置設(shè)備傳遞過來的多個待檢測逃逸文件����,以及每個待檢測逃逸文件對應的虛擬機標識信息��,所述待檢測逃逸文件為所述預置設(shè)備中的驅(qū)動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關(guān)鍵函數(shù)時傳遞過來的�;然后對所述多個待檢測逃逸文件進行解析,得到分別對應的訪問路徑信息;最后檢測所述多個待檢測逃逸文件中是否存在所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件;若存在�,則根據(jù)所述訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件對應的虛擬機標識信息,確定與所述虛擬機標識信息對應的虛擬機中存在逃逸行為�。本發(fā)明通過檢測多個待檢測逃逸文件中是否存在訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件,可以實現(xiàn)通過分析待檢測逃逸文件的運行行為���,確定存在逃逸行為的虛擬機對應的虛擬機標識信息���,進而可以及時檢測出具體哪臺虛擬機存在逃逸行為,以便進行安全防護����。
[0017]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說明書的內(nèi)容予以實施�,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】�����。
【附圖說明】
[0018]通過閱讀下文優(yōu)選實施方式的詳細描述���,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了���。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制����。而且在整個附圖中,用相同的參考符號表示相同的部件���。在附圖中:
[0019]圖1示出了本發(fā)明實施例提供的一種虛擬機逃逸的檢測方法流程示意圖����;
[0020]圖2示出了本發(fā)明實施例提供的另一種虛擬機逃逸的檢測方法流程示意圖;
[0021]圖3示出了本發(fā)明實施例提供的一種虛擬機逃逸的檢測裝置結(jié)構(gòu)示意圖�;
[0022]圖4示出了本發(fā)明實施例提供的另一種虛擬機逃逸的檢測裝置結(jié)構(gòu)示意圖。
【具體實施方式】
[0023]下面將參照附圖更詳細地描述本公開的示例性實施例�。雖然附圖中顯示了本公開的示例性實施例,然而應當理解�,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反����,提供這些實施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。
[0024]本發(fā)明實施例提供了一種虛擬機逃逸的檢測方法���,如圖1所示�����,所述方法包括:
[0025]101��、接收不同虛擬機中的預置設(shè)備傳遞過來的多個待檢測逃逸文件�����,以及每個待檢測逃逸文件對應的虛擬機標識信息�����。
[0026]其中���,所述待檢測逃逸文件為所述預置設(shè)備中的驅(qū)動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關(guān)鍵函數(shù)時傳遞過來的��。所述待檢測逃逸文件可以為ERF文件���、驅(qū)動文件等。所述預置設(shè)備可以按照用戶的實際需求進行配置���,用于對待檢測逃逸文件進行攔截和傳遞��。所述預置關(guān)鍵函數(shù)可以根據(jù)實際需求進行配置�����,也可以由系統(tǒng)默認進行配置�。所述預置關(guān)鍵函數(shù)可以為虛擬機中出現(xiàn)異常運行行為時才觸發(fā)執(zhí)行的函數(shù)����。所述預置關(guān)鍵函數(shù)用于判定是否存在待檢測逃逸文件���。所述虛擬機標識信息可以為虛擬機的名稱、ID(Identity����,身份標識號碼)號等。
[0027]需要說明的是����,對于本發(fā)明實施例的執(zhí)行主體可以為安裝在宿主機中用于監(jiān)測多臺虛擬機逃逸行為的客戶端,具體可以將接收到的多個待檢測逃逸文件放入本地緩存內(nèi)的預置行為分析引擎中進行行為分析�,進而確定是否存在虛擬機的逃逸行為。所述預置設(shè)備用于在虛擬機中對待檢測逃逸文件進行攔截��,并將其從虛擬機傳遞到宿主機內(nèi)的該預置行為分析引擎中�。
[0028]102��、對多個待檢測逃逸文件進行解析�����,得到分別對應的訪問路徑信息�����。
[0029]其中,所述訪問路徑信息中包含每個路徑節(jié)點對應的執(zhí)行函數(shù)���。所述執(zhí)行函數(shù)可以為讀寫函數(shù)�、進程創(chuàng)建函數(shù)等��。
[0030]對于本發(fā)明實施例�,通過解析得到的訪問路徑信息,可以確定待檢測逃逸文件對應的在虛擬機系統(tǒng)中的操作過程��。
[0031]103�����、檢測多個待檢測逃逸文件中是否存在訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件���。
[0032]其中�����,所述預置逃逸訪問路徑信息中包含逃逸文件的訪問路徑�����,即逃逸文件對應的在虛擬機系統(tǒng)中的操作過程���。所述預置逃逸訪問路徑信息具體可以根據(jù)實際需求進行配置���。
[0033]進一步地,可以預先從云服務器中獲取得到不同逃逸文件分別對應的訪問路徑信息��,并可以保存在本地緩存中��,用于進行訪問路徑數(shù)據(jù)的匹配校驗��,進而可以實現(xiàn)對虛擬機的逃逸行為進行檢測��。
[0034]104�、若多個待檢測逃逸文件中存在訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件,則根據(jù)待檢測逃逸文件對應的虛擬機標識信息��,確定與虛擬機標識信息對應的虛擬機中存在逃逸行為���。
[0035]例如,當前需要對5個待檢測逃逸文件進行檢測��,這5個待檢測逃逸文件分別對應的虛擬機標識為I號���、2號��、3號�、4號、5號���,當檢測出5號待檢測逃逸文件的訪問路徑信息與預置逃逸訪問路徑信息匹配時����,可以確定5號虛擬機中出現(xiàn)逃逸行為��。
[0036]需要說明的是��,當檢測出多個待檢測逃逸文件中存在訪問路徑信息與預置逃逸訪問路徑信息匹配的待檢測逃逸文件時�����,可以確定存在逃逸行為的虛擬機對應的虛擬機標識信息�,進而確定具體哪臺虛擬機存在逃逸行為,該逃逸行為會對宿主機造成安全威脅�,需要對該逃逸行為進行及時防護。
[0037]本發(fā)明實施例提供的一種虛擬機逃逸的檢測方法�,首先接收不同虛擬機中的預置設(shè)備傳遞過來的多個待檢測逃逸文件,以及每個待檢測逃逸文件對應的虛擬機標識信息�,所述待檢測逃逸文件為所述預置設(shè)備中的驅(qū)動感應到執(zhí)行所述待檢測逃逸文件