The invention discloses a method and system for the detection of abnormal behavior, the virtual machine based on IO sequence detection system, including asynchronous acquisition module, the process of acquiring module, communication module and detection module; sequence acquisition technology of asynchronous IO virtual machine, VMM through asynchronous acquisition of virtual machine IO sequence to minimize the performance loss the virtual machine is running in the process of virtual machine; IO sequence process dynamic semantic acquisition technology, reasonable mapping to realize virtual machine IO sequence and process virtual machine virtual machine process using VMM dynamic semantic access layer, which contributes to the IO sequence analysis and test results to confirm the virtual machine; malicious behavior detection of Markov chain based on the technology of anomaly detection model to complete the internal malicious behavior detection based on virtual machine virtual machine IO short sequence and Markov chain structure. The invention accurately finds out the abnormal attack behavior based on the virtual machine IO, and protects the security of the cloud computing platform.
【技术实现步骤摘要】
本专利技术涉及虚拟化安全
,尤其是涉及一种基于IO序列的虚拟机异常行为检测方法与系统。
技术介绍
以虚拟化技术为基础的云计算服务快速发展使得在云计算环境下的安全风险也日益增多。除了传统的基于主机的安全威胁,诸如计算机病毒、木马、内核Rootkit等外,还有一些新的安全威胁,如虚拟机逃逸攻击等。这类攻击利用虚拟机对宿主机进行攻击,常通过虚拟机利用宿主机操作系统或Hypervisor存在的安全漏洞,达到篡取宿主机操作系统或Hypervisor权限的目的。传统的在主机上基于系统调用序列的程序异常行为检测方法中,以应用程序产生的系统调用为研究粒度,针对系统调用序列包含大量具有周期性重复规律短序列的特点,通过计算偏离正常系统调用短序列的程度来预测程序在执行过程中存在的异常行为。但在云计算环境下,这种技术不能够发现某些利用虚拟机内核或虚拟机内核模块进行的恶意攻击行为,如虚拟机逃逸攻击。伴随在虚拟化领域引入硬件辅助虚拟化技术,虚拟机通过I/O模拟操作实现对真实物理硬件设备的访问,由此产生的IO序列同样是一个具有周期性重复规律短序列的有序序列。在Hypervisor中采集的虚拟机IO序列不仅反映了虚拟机应用程序的行为特征,也反映了虚拟机内核及内核模块的行为特征。虚拟机IO序列刻画了虚拟机对宿主机上硬件设备的操作情况,可以在一定程度上描述虚拟机自身的行为。现存的技术难点主要有:(1)引入硬件辅助虚拟化后,虚拟机在运行过程中对硬件设备的I/O读写操作较为频繁,不恰当的虚拟机IO序列采集方法将会造成大量的性能损耗;(2)采集到的虚拟机IO序列是底层Hypervisor理 ...
【技术保护点】
一种基于IO序列的虚拟机异常行为检测方法,其特征在于,包括以下步骤:步骤1:截获虚拟机I/O模拟操作,提取所需的虚拟机IO序列并保存于数据缓存区,唤醒自定义内核线程异步采集虚拟机IO序列,恢复VMM正常执行流程;步骤2:在VMM中实时透明地获取虚拟机进程信息,构造虚拟机进程信息与虚拟机IO序列的合理映射关系;步骤3:将自定义内核线程中采集到的虚拟机IO序列与对应的虚拟机进程信息保存到宿主机用户层的数据库中;步骤4:对正常情况下得到的虚拟机IO序列进行行为特征建模,生成正常特征库模型;步骤5:对待测情况下得到的待测虚拟机IO序列构造待测模型,比对正常特征库模型,将待测样本中的恶意虚拟机IO序列与对应的虚拟机进程信息输出到检测日志。
【技术特征摘要】
1.一种基于IO序列的虚拟机异常行为检测方法,其特征在于,包括以下步骤:步骤1:截获虚拟机I/O模拟操作,提取所需的虚拟机IO序列并保存于数据缓存区,唤醒自定义内核线程异步采集虚拟机IO序列,恢复VMM正常执行流程;步骤2:在VMM中实时透明地获取虚拟机进程信息,构造虚拟机进程信息与虚拟机IO序列的合理映射关系;步骤3:将自定义内核线程中采集到的虚拟机IO序列与对应的虚拟机进程信息保存到宿主机用户层的数据库中;步骤4:对正常情况下得到的虚拟机IO序列进行行为特征建模,生成正常特征库模型;步骤5:对待测情况下得到的待测虚拟机IO序列构造待测模型,比对正常特征库模型,将待测样本中的恶意虚拟机IO序列与对应的虚拟机进程信息输出到检测日志。2.如权利要求1所述的一种基于IO序列的虚拟机异常行为检测方法,其特征在于,所述步骤5具体为:步骤5.1:检测模块读取数据库,将待测虚拟机IO序列构造生成虚拟机IO短序列;步骤5.2:定义一个检测单元为由w个短序列构成的虚拟机IO短序列集;步骤5.3:计算一个检测单元中虚拟机IO短序列集的状态转移概率矩阵;步骤5.4:由状态转移概率矩...
【专利技术属性】
技术研发人员:陈兴蜀,陈佳昕,赵丹丹,金鑫,
申请(专利权)人:四川大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。