相同���、等同或相似目的的替代特征來代替�����。
[0155]此外����,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征����,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如����,在下面的權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用�����。
[0156]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)�����,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�,或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一種虛擬機(jī)逃逸的檢測方法及裝置中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如����,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式���。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到��,或者在載體信號(hào)上提供���,或者以任何其他形式提供。
[0157]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制�,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中���,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對權(quán)利要求的限制��。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟���。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件���。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中�����,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)����。單詞第一、第二��、以及第三等的使用不表示任何順序���?��?蓪⑦@些單詞解釋為名稱。
【主權(quán)項(xiàng)】
1.一種虛擬機(jī)逃逸的檢測方法�����,其特征在于���,包括: 接收不同虛擬機(jī)中的預(yù)置設(shè)備傳遞過來的多個(gè)待檢測逃逸文件����,以及每個(gè)待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息��,所述待檢測逃逸文件為所述預(yù)置設(shè)備中的驅(qū)動(dòng)感應(yīng)到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預(yù)置關(guān)鍵函數(shù)時(shí)傳遞過來的��; 對所述多個(gè)待檢測逃逸文件進(jìn)行解析����,得到分別對應(yīng)的訪問路徑信息; 檢測所述多個(gè)待檢測逃逸文件中是否存在所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件���; 若存在�����,則根據(jù)所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息��,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為�。2.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測方法��,其特征在于�����,所述對所述多個(gè)待檢測逃逸文件進(jìn)行解析,得到分別對應(yīng)的訪問路徑信息之前����,所述方法還包括: 提取每個(gè)待檢測逃逸文件中的關(guān)鍵片段信息; 檢測所述多個(gè)待檢測逃逸文件中是否存在所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度大于或等于預(yù)設(shè)閾值的待檢測逃逸文件�; 若存在,則根據(jù)所述匹配度大于或等于預(yù)設(shè)閾值的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息��,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為��; 所述對所述多個(gè)待檢測逃逸文件進(jìn)行解析����,得到分別對應(yīng)的訪問路徑信息包括: 若不存在,則對所述多個(gè)待檢測逃逸文件進(jìn)行解析�,得到分別對應(yīng)的訪問路徑信息。3.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測方法����,其特征在于,所述對所述多個(gè)待檢測逃逸文件進(jìn)行解析���,得到分別對應(yīng)的訪問路徑信息之前����,所述方法還包括: 計(jì)算每個(gè)待檢測逃逸文件對應(yīng)的信息摘要算法MD5值; 檢測所述多個(gè)待檢測逃逸文件中是否存在所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件�; 若存在,則根據(jù)所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息�,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為; 所述對所述多個(gè)待檢測逃逸文件進(jìn)行解析���,得到分別對應(yīng)的訪問路徑信息包括: 若不存在,則對所述多個(gè)待檢測逃逸文件進(jìn)行解析��,得到分別對應(yīng)的訪問路徑信息����。4.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測方法,其特征在于���,所述若存在����,則根據(jù)所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息��,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為之后��,所述方法還包括: 輸出告警信息��,所述告警信息用于提示與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為。5.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測方法��,其特征在于���,所述若存在�,則根據(jù)所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息����,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為之后,所述方法還包括: 向與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中的預(yù)置設(shè)備發(fā)送攔截指令信息����,以便對所述虛擬機(jī)中的逃逸行為進(jìn)行防護(hù)。6.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測方法�,其特征在于,所述方法還包括: 從云服務(wù)器中獲取所述預(yù)置逃逸訪問路徑信息�����; 將所述預(yù)置逃逸訪問路徑信息進(jìn)行保存���。7.根據(jù)權(quán)利要求6所述的虛擬機(jī)逃逸的檢測方法��,其特征在于����,所述將所述預(yù)置逃逸訪問路徑信息進(jìn)行保存之后,所述方法還包括: 檢測所述預(yù)置逃逸訪問路徑信息是否存在更新���; 若存在��,則對所述預(yù)置逃逸訪問路徑信息進(jìn)行更新���。8.一種虛擬機(jī)逃逸的檢測裝置��,其特征在于�,包括: 接收單元,用于接收不同虛擬機(jī)中的預(yù)置設(shè)備傳遞過來的多個(gè)待檢測逃逸文件�����,以及每個(gè)待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息�����,所述待檢測逃逸文件為所述預(yù)置設(shè)備中的驅(qū)動(dòng)感應(yīng)到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預(yù)置關(guān)鍵函數(shù)時(shí)傳遞過來的��; 解析單元�����,用于對所述接收單元接收的多個(gè)待檢測逃逸文件進(jìn)行解析,得到分別對應(yīng)的訪問路徑信息����; 檢測單元,用于檢測所述解析單元解析得到的多個(gè)待檢測逃逸文件中是否存在所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件�����; 確定單元����,用于若所述檢測單元檢測出所述多個(gè)待檢測逃逸文件中存在所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件,則根據(jù)所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息�,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為。9.根據(jù)權(quán)利要求8所述的虛擬機(jī)逃逸的檢測裝置�,其特征在于,所述裝置還包括:提取單元�����; 所述提取單元����,用于提取每個(gè)待檢測逃逸文件中的關(guān)鍵片段信息����; 所述檢測單元�����,還用于檢測所述多個(gè)待檢測逃逸文件中是否存在所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度大于或等于預(yù)設(shè)閾值的待檢測逃逸文件��; 所述確定單元�,還用于若所述檢測單元檢測出所述多個(gè)待檢測逃逸文件中存在所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度大于或等于預(yù)設(shè)閾值的待檢測逃逸文件,則根據(jù)所述匹配度大于或等于預(yù)設(shè)閾值的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息��,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為����; 所述解析單元�����,具體用于若所述檢測單元檢測出所述多個(gè)待檢測逃逸文件中不存在所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度大于或等于預(yù)設(shè)閾值的待檢測逃逸文件���,則對所述多個(gè)待檢測逃逸文件進(jìn)行解析����,得到分別對應(yīng)的訪問路徑信息。10.根據(jù)權(quán)利要求8所述的虛擬機(jī)逃逸的檢測裝置��,其特征在于���,所述裝置還包括:計(jì)算單元���; 所述計(jì)算單元,用于計(jì)算每個(gè)待檢測逃逸文件對應(yīng)的MD5值�; 所述檢測單元,還用于檢測所述多個(gè)待檢測逃逸文件中是否存在所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件�; 所述確定單元,還用于若所述檢測單元檢測出所述多個(gè)待檢測逃逸文件中存在所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件���,則根據(jù)所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息����,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為����; 所述解析單元,具體用于若所述檢測單元檢測出所述多個(gè)待檢測逃逸文件中不存在所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件���,則根據(jù)所述MD5值與預(yù)置MD5值匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息�����,則對所述多個(gè)待檢測逃逸文件進(jìn)行解析�����,得到分別對應(yīng)的訪問路徑信息�����。
【專利摘要】本發(fā)明公開了一種虛擬機(jī)逃逸的檢測方法及裝置�,涉及信息技術(shù)領(lǐng)域,可以及時(shí)檢測出虛擬機(jī)的逃逸行為���,以便進(jìn)行安全防護(hù)����。所述方法包括:首先接收不同虛擬機(jī)中的預(yù)置設(shè)備傳遞過來的多個(gè)待檢測逃逸文件���,以及每個(gè)待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息;然后對所述多個(gè)待檢測逃逸文件進(jìn)行解析�,得到分別對應(yīng)的訪問路徑信息���;最后檢測所述多個(gè)待檢測逃逸文件中是否存在所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件;若存在�����,則根據(jù)所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配的待檢測逃逸文件對應(yīng)的虛擬機(jī)標(biāo)識(shí)信息�����,確定與所述虛擬機(jī)標(biāo)識(shí)信息對應(yīng)的虛擬機(jī)中存在逃逸行為�。本發(fā)明適用于對虛擬機(jī)逃逸行為的檢測。
【IPC分類】G06F21/56, G06F21/53
【公開號(hào)】CN105590059
【申請?zhí)枴緾N201510959269
【發(fā)明人】汪圣平, 唐青昊
【申請人】北京奇虎科技有限公司, 北京奇安信科技有限公司
【公開日】2016年5月18日
【申請日】2015年12月18日