一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法
【專利摘要】本發(fā)明提供一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法����,設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過程行為關(guān)鍵監(jiān)測(cè)點(diǎn)、虛擬機(jī)資源狀態(tài)臨界鑒別點(diǎn)���,進(jìn)而設(shè)定相應(yīng)的特征參數(shù)規(guī)范����。在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行監(jiān)測(cè),當(dāng)發(fā)現(xiàn)虛擬機(jī)及虛擬機(jī)應(yīng)用程序的行為或虛擬機(jī)相關(guān)資源狀態(tài)發(fā)生異常時(shí)�,即發(fā)出異常告警。虛擬機(jī)運(yùn)行環(huán)境的底層操作系統(tǒng)或監(jiān)控系統(tǒng)�����,可根據(jù)這些異常告警信息采取相應(yīng)的防護(hù)措施�,從而有效地保護(hù)虛擬機(jī)和虛擬化系統(tǒng)運(yùn)行安全。
【專利說明】一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于虛擬機(jī)安全【技術(shù)領(lǐng)域】��,特別涉及基于行為特征識(shí)別的安全監(jiān)控方法��。通過對(duì)虛擬機(jī)行為�����、以及相關(guān)資源狀態(tài)的監(jiān)測(cè)�����,發(fā)現(xiàn)進(jìn)程活動(dòng)及資源狀態(tài)異常����,進(jìn)而實(shí)現(xiàn)對(duì)虛擬機(jī)的安全保護(hù)���,具體地說是一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法。
【背景技術(shù)】
[0002]虛擬化作為當(dāng)今熱點(diǎn)技術(shù)之一�����,已經(jīng)廣泛應(yīng)用于云計(jì)算平臺(tái)�����、虛擬存儲(chǔ)�、虛擬操作系統(tǒng)��、虛擬桌面�����、虛擬終端等領(lǐng)域��。然而由于在虛擬機(jī)實(shí)現(xiàn)及運(yùn)行環(huán)境等方面的存在的不可避免的漏洞����、后門和BUG,導(dǎo)致一系列的虛擬化安全問題���,如虛擬機(jī)溢出�、虛擬機(jī)異常遷移、病毒黑客攻擊�、病毒掃描風(fēng)暴等等,這些問題嚴(yán)重困擾著云計(jì)算和互聯(lián)網(wǎng)應(yīng)用的信息安全
O
[0003]現(xiàn)有的虛擬機(jī)安全保護(hù)手段�����,主要分為兩類����,一類是采用傳統(tǒng)的外部防護(hù)技術(shù),如防火墻���、安全網(wǎng)關(guān)�、IDS/IPS��、殺毒軟件等����;另一類是基于操作系統(tǒng)及其內(nèi)核的監(jiān)控防護(hù),包括虛擬機(jī)啟動(dòng)監(jiān)視�、虛擬機(jī)注冊(cè)表監(jiān)控、虛擬機(jī)文件系統(tǒng)監(jiān)控����、虛擬機(jī)管理等��。前一類方法盡管較為成熟��,但由于虛擬機(jī)到物理層面映射的安全邊界模糊化�����,因而難以實(shí)現(xiàn)高效應(yīng)用。后一類方法正處于發(fā)展階段�,目前還很不完善,許多因虛擬化而引起的安全風(fēng)險(xiǎn)機(jī)理和防護(hù)措施正在研究當(dāng)中�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是通過對(duì)虛擬機(jī)行為�����、虛擬機(jī)應(yīng)用進(jìn)程行為���、以及相關(guān)資源狀態(tài)的監(jiān)測(cè)���,發(fā)現(xiàn)進(jìn)程活動(dòng)和資源狀態(tài)異常�,進(jìn)而實(shí)現(xiàn)對(duì)虛擬機(jī)的安全保護(hù)�����。
[0005]提供一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法���。
[0006]本發(fā)明的目的是按以下方式實(shí)現(xiàn)的����,內(nèi)容步驟如下:
1)虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)的定義與設(shè)置:
進(jìn)程在關(guān)鍵監(jiān)測(cè)點(diǎn)的操作����,關(guān)鍵點(diǎn)設(shè)置包括:虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問點(diǎn);出虛擬機(jī)邊界點(diǎn)�;入虛擬機(jī)邊界點(diǎn);與底層層主操作系統(tǒng)或其他虛擬機(jī)/程序的共享數(shù)據(jù)臨界點(diǎn)��;對(duì)底層操作系統(tǒng)和資源包括CPU��、存儲(chǔ)����、網(wǎng)絡(luò)、數(shù)據(jù)庫;操作訪問的接口 �����;虛擬機(jī)遷移源邊界點(diǎn)���;虛擬遷移宿主邊界點(diǎn)���;
2)虛擬機(jī)相關(guān)資源狀態(tài)臨界監(jiān)測(cè)點(diǎn)的定義與設(shè)置,包括如下內(nèi)容:
資源狀態(tài)越過臨界點(diǎn)即會(huì)引起虛擬機(jī)或虛擬化系統(tǒng)運(yùn)行異常�����,臨界點(diǎn)設(shè)置包括:虛擬機(jī)對(duì)應(yīng)的物理資源臨界點(diǎn)包括:CPU�����、存儲(chǔ)�����、網(wǎng)絡(luò)�����;虛擬機(jī)權(quán)限臨界點(diǎn)�����;虛擬機(jī)本身在底層操作系統(tǒng)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界�����;應(yīng)用進(jìn)程在虛擬機(jī)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界和虛擬機(jī)I/O參數(shù)臨界值��;
3)關(guān)鍵點(diǎn)和臨界點(diǎn)特征參數(shù)規(guī)范�,基于第1、第2條內(nèi)容中所述關(guān)鍵點(diǎn)和臨界點(diǎn)的設(shè)置����,給行為關(guān)鍵監(jiān)測(cè)點(diǎn)和資源臨界監(jiān)測(cè)點(diǎn)的特征參數(shù)設(shè)定規(guī)范值,是所有關(guān)鍵點(diǎn)和臨界點(diǎn)及其特征參數(shù)規(guī)范值��,即構(gòu)成關(guān)鍵點(diǎn)和臨界點(diǎn)特征規(guī)范庫���; 4)獨(dú)立于底層操作系統(tǒng)的帶外監(jiān)控方式����,是直接在硬件虛擬資源層上構(gòu)建監(jiān)控實(shí)體的運(yùn)行環(huán)境����,監(jiān)控實(shí)體與被監(jiān)測(cè)的虛擬機(jī)和應(yīng)用程序相隔離��。
[0007]本發(fā)明的目的有益效果是:虛擬機(jī)�、虛擬機(jī)中的應(yīng)用程序�、虛擬機(jī)運(yùn)行環(huán)境及第三方軟件、虛擬機(jī)相關(guān)資源中��,都不可避免地存在各種漏洞BUG����,這些漏洞和BUG都會(huì)引起虛擬機(jī)運(yùn)行異常,諸如虛擬機(jī)之間的滲透��、臨界區(qū)溢出�、虛擬機(jī)逃逸、病毒木馬和黑客對(duì)虛擬機(jī)的檢測(cè)與攻擊等���,給虛擬化系統(tǒng)帶來安全威脅。采用本發(fā)明方法����,通過對(duì)虛擬機(jī)進(jìn)程行為以及相關(guān)資源狀態(tài)的監(jiān)測(cè),發(fā)現(xiàn)虛擬機(jī)行為異常和相關(guān)資源狀態(tài)異常���,為云計(jì)算平臺(tái)及各類虛擬化系統(tǒng)中的虛擬機(jī)提供有效的運(yùn)行安全安全監(jiān)測(cè)����,進(jìn)而實(shí)現(xiàn)相應(yīng)的安全防護(hù)。
【專利附圖】
【附圖說明】
[0008]附圖1是基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法的實(shí)施方案示意圖�����。
【具體實(shí)施方式】
[0009]參照說明書附圖對(duì)本發(fā)明的方法作以下詳細(xì)地說明��。
[0010]設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過程行為關(guān)鍵監(jiān)測(cè)點(diǎn)(簡(jiǎn)稱關(guān)鍵點(diǎn))���、虛擬機(jī)資源狀態(tài)的臨界鑒別點(diǎn)(簡(jiǎn)稱臨界點(diǎn))���,并對(duì)這些關(guān)鍵點(diǎn)和臨界點(diǎn)的特征參數(shù)設(shè)定規(guī)范值,在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行行為監(jiān)測(cè)���,當(dāng)發(fā)現(xiàn)虛擬機(jī)�����、虛擬機(jī)操作系統(tǒng)或應(yīng)用程序在關(guān)鍵點(diǎn)和臨界點(diǎn)的操作行為不符合特征規(guī)范時(shí)�����,即發(fā)出異常告警�。
[0011]虛擬機(jī)運(yùn)行環(huán)境之底層公共操作系統(tǒng)或監(jiān)控系統(tǒng),可以根據(jù)基于本發(fā)明獲得的異常告警采取相應(yīng)的防護(hù)措施�,保證系統(tǒng)運(yùn)行安全。
[0012]本發(fā)明主要?jiǎng)?chuàng)新點(diǎn)在于:
1���、虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)(參見圖1)����,其特征為進(jìn)程在關(guān)鍵監(jiān)測(cè)點(diǎn)的操作�����,可能對(duì)虛擬機(jī)或虛擬化系統(tǒng)存在較大安全風(fēng)��。主要包括:虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問點(diǎn)����、出虛擬機(jī)邊界點(diǎn)、入虛擬機(jī)邊界點(diǎn)�����、與底層主操作系統(tǒng)或其他虛擬機(jī)和程序的共享數(shù)據(jù)臨界點(diǎn)�����、對(duì)底層操作系統(tǒng)和資源(CPU����、存儲(chǔ)、網(wǎng)絡(luò)�、數(shù)據(jù)庫等)操作訪問的接口、虛擬機(jī)遷移源邊界點(diǎn)�、虛擬遷移宿主邊界點(diǎn);
2�����、虛擬機(jī)相關(guān)資源的狀態(tài)臨界點(diǎn)設(shè)置(參見圖1)�,其特征為資源狀態(tài)越過臨界點(diǎn)即會(huì)引起虛擬機(jī)或虛擬化系統(tǒng)運(yùn)行異常,主要包括:虛擬機(jī)對(duì)應(yīng)的物理資源臨界點(diǎn)(CPU����、存儲(chǔ)、網(wǎng)絡(luò))��、虛擬機(jī)權(quán)限臨界點(diǎn)�、虛擬機(jī)本身在底層操作系統(tǒng)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界、應(yīng)用進(jìn)程在虛擬機(jī)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界�、虛擬機(jī)I/O參數(shù)臨界值��;
3�、關(guān)鍵點(diǎn)和臨界點(diǎn)特征參數(shù)規(guī)范:由一系列關(guān)鍵點(diǎn)和臨界點(diǎn)的行為特征參數(shù)及其規(guī)范值組成��;
獨(dú)立于底層操作系統(tǒng)的帶外監(jiān)控方式:在本發(fā)明方法的實(shí)現(xiàn)方式上��,為防止行為監(jiān)測(cè)被基于操作系統(tǒng)內(nèi)核的高級(jí)攻擊者欺騙��,可直接在硬件虛擬資源層上運(yùn)行監(jiān)控實(shí)體����,與應(yīng)用程序相隔離,防止被應(yīng)用層的病毒木馬或來自網(wǎng)絡(luò)的黑客直接攻擊�。
實(shí)施例
[0013]圖1給出了本發(fā)明的一個(gè)參考實(shí)現(xiàn)方案,主要涉及監(jiān)測(cè)功能實(shí)體���,包括虛擬機(jī)運(yùn)行監(jiān)控引擎和行為特征規(guī)范庫����、虛擬機(jī)�、虛擬資源及底層操作系統(tǒng)Host-OS。其中�,虛圓圈代表行為關(guān)鍵監(jiān)測(cè)點(diǎn)和資源狀態(tài)臨界鑒別點(diǎn),帶箭頭的線表示虛擬機(jī)進(jìn)程內(nèi)部的關(guān)鍵訪問以及虛擬機(jī)之間的訪問,帶箭頭的線表示虛擬機(jī)與底層資源/操作系統(tǒng)的訪問包括虛擬機(jī)遷移�。底層主操作系統(tǒng)Host-OS之下的硬件包括:服務(wù)器、存儲(chǔ)設(shè)備���、網(wǎng)絡(luò)等未畫出。
[0014]該發(fā)明實(shí)現(xiàn)方案的實(shí)現(xiàn)步驟如下:
I)構(gòu)建虛擬機(jī)運(yùn)行監(jiān)控引擎
該引擎能夠掃描監(jiān)視虛擬機(jī)運(yùn)行過程中的在各種關(guān)鍵點(diǎn)和臨界點(diǎn)的行為�,并將掃描結(jié)果與虛擬機(jī)行為和資源狀態(tài)的特征規(guī)范進(jìn)行比較分析,如果發(fā)現(xiàn)異常則發(fā)出告警����;
2)設(shè)置關(guān)鍵點(diǎn)/臨界點(diǎn),構(gòu)建行為規(guī)范庫
包括虛擬機(jī)行為特征規(guī)范和資源狀態(tài)特征規(guī)范二類����,其主要包括的內(nèi)容參見
【發(fā)明內(nèi)容】
部分的第I條、第2條��;
具體構(gòu)建內(nèi)容示范如下:
示范1:虛擬機(jī)權(quán)限臨界點(diǎn) 虛擬機(jī)操作系統(tǒng)權(quán)限最大值�;
虛擬機(jī)操作系統(tǒng)與底層主操作系統(tǒng)的數(shù)據(jù)共享邊界;
虛擬機(jī)管理器對(duì)虛擬機(jī)設(shè)置的范圍邊界�����;
虛擬機(jī)輸入輸出控制參數(shù)賦值范圍�����;
示范2:虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問關(guān)鍵點(diǎn) 虛擬機(jī)對(duì)主要堆棧的操作(特別是棧頂和棧底);
進(jìn)程對(duì)注冊(cè)表等敏感數(shù)據(jù)或文件的修改�;
控制命令對(duì)驅(qū)動(dòng)程序參數(shù)的修改;
遠(yuǎn)程調(diào)用涉及修改虛擬機(jī)訪問數(shù)據(jù)地址空間的操作�;
3)建立監(jiān)控實(shí)體(虛擬機(jī)運(yùn)行監(jiān)控引擎和行為特征規(guī)范庫)的運(yùn)行環(huán)境
最好直接在硬件層或虛擬硬件資源層上建立監(jiān)控實(shí)體的獨(dú)立運(yùn)行環(huán)境,實(shí)現(xiàn)與虛擬機(jī)及虛擬機(jī)中應(yīng)用程序的隔離運(yùn)行�����,這樣可有效防止被基于操作系統(tǒng)內(nèi)核的高級(jí)攻擊者欺騙��;
4)虛擬機(jī)運(yùn)行安全監(jiān)控
在步驟1-3基礎(chǔ)上�����,監(jiān)控實(shí)體對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行行為監(jiān)測(cè)����,當(dāng)發(fā)現(xiàn)虛擬機(jī)、虛擬機(jī)操作系統(tǒng)或應(yīng)用程序在關(guān)鍵點(diǎn)和臨界點(diǎn)的操作行為不符合特征規(guī)范時(shí)�����,即發(fā)出異常告警�。據(jù)獲得的異常告警信息,虛擬機(jī)運(yùn)行環(huán)境之底層公共操作系統(tǒng)或監(jiān)控系統(tǒng),可以根采取相應(yīng)的防護(hù)措施�,保證系統(tǒng)安全。
[0015]以上是本發(fā)明的一個(gè)通用的參考實(shí)現(xiàn)方案���,具體到具體的應(yīng)用場(chǎng)合�,針對(duì)實(shí)際虛擬化系統(tǒng)如某個(gè)云計(jì)算平臺(tái)�,各步驟需要進(jìn)一步細(xì)化���。特別是步驟2中的行為特征規(guī)范庫���,需要針對(duì)具體實(shí)際系統(tǒng)進(jìn)行深度細(xì)化。
[0016]除說明書所述的技術(shù)特征外����,均為本專業(yè)技術(shù)人員的已知技術(shù)。
【權(quán)利要求】
1.一種基于行為識(shí)別的虛擬機(jī)安全監(jiān)控方法���,其特征在于虛擬機(jī)運(yùn)行環(huán)境之底層公共操作系統(tǒng)或監(jiān)控系統(tǒng)����,是基于明獲得的異常告警采取相應(yīng)的防護(hù)措施�����,保證系統(tǒng)運(yùn)行安全,包括如下內(nèi)容: 設(shè)置一系列的虛擬機(jī)及相關(guān)程序運(yùn)行過程行為關(guān)鍵監(jiān)測(cè)點(diǎn)��,簡(jiǎn)稱關(guān)鍵點(diǎn)�����;虛擬機(jī)資源狀態(tài)的臨界鑒別點(diǎn)��,簡(jiǎn)稱臨界點(diǎn)����,并對(duì)這些關(guān)鍵點(diǎn)和臨界點(diǎn)的特征參數(shù)設(shè)定規(guī)范值,在此基礎(chǔ)上對(duì)虛擬機(jī)及相關(guān)資源進(jìn)行行為監(jiān)測(cè)�,當(dāng)發(fā)現(xiàn)虛擬機(jī)、虛擬機(jī)操作系統(tǒng)或應(yīng)用程序在關(guān)鍵點(diǎn)和臨界點(diǎn)的操作行為不符合特征規(guī)范時(shí)�����,即發(fā)出異常告警���,其中: 虛擬機(jī)及相關(guān)程序行為關(guān)鍵監(jiān)測(cè)點(diǎn)的操作對(duì)虛擬機(jī)或虛擬化系統(tǒng)存在的較大安全風(fēng)險(xiǎn)�,包括:虛擬機(jī)內(nèi)敏感數(shù)據(jù)/文件訪問點(diǎn)����;出虛擬機(jī)邊界點(diǎn)��;入虛擬機(jī)邊界點(diǎn)��;與底層主操作系統(tǒng)或其他虛擬機(jī)和程序的共享數(shù)據(jù)臨界點(diǎn)���;對(duì)底層操作系統(tǒng)和資源包括:CPU、存儲(chǔ)�、網(wǎng)絡(luò)、數(shù)據(jù)庫操作訪問的接口 �;虛擬機(jī)遷移源邊界點(diǎn)��;虛擬遷移宿主邊界點(diǎn)����; 虛擬機(jī)相關(guān)資源的狀態(tài)臨界點(diǎn)設(shè)置,資源狀態(tài)越過臨界點(diǎn)即會(huì)引起虛擬機(jī)或虛擬化系統(tǒng)運(yùn)行異常��,包括:虛擬機(jī)對(duì)應(yīng)的物理資源臨界點(diǎn)包括:CPU���、存儲(chǔ)�、網(wǎng)絡(luò)�����;虛擬機(jī)權(quán)限臨界點(diǎn);虛擬機(jī)本身在底層操作系統(tǒng)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界�;應(yīng)用進(jìn)程在虛擬機(jī)中的數(shù)據(jù)存儲(chǔ)區(qū)邊界;虛擬機(jī)I/o參數(shù)臨界值����; 關(guān)鍵點(diǎn)和臨界點(diǎn)特征參數(shù)規(guī)范:由一系列關(guān)鍵點(diǎn)和臨界點(diǎn)的行為特征參數(shù)及其規(guī)范值組成; 獨(dú)立于底層操作系統(tǒng)的帶外監(jiān)控方式���,為防止行為監(jiān)測(cè)被基于操作系統(tǒng)內(nèi)核的高級(jí)攻擊者欺騙���,直接在硬件虛擬資源層上運(yùn)行監(jiān)控實(shí)體,與應(yīng)用程序相隔離���,防止被應(yīng)用層的病毒木馬或來自網(wǎng)絡(luò)的黑客直接攻擊��。
【文檔編號(hào)】G06F21/53GK103793646SQ201410051177
【公開日】2014年5月14日 申請(qǐng)日期:2014年2月14日 優(yōu)先權(quán)日:2014年2月14日
【發(fā)明者】苗再良 申請(qǐng)人:浪潮通信信息系統(tǒng)有限公司