技術領域

本發明屬于虛擬化技術和計算機系統安全領域，更具體地，涉及一種基于虛擬機架構的惡意行為跟蹤系統和方法。

背景技術

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保障，隨之而來的安全問題也成為人們面臨的最為嚴峻的問題之一。現有的惡意行為檢測和分析技術或者具有較高的誤報率，或者不能實時進行檢測。且隨著虛擬化技術的快速發展，對虛擬化環境的安全要求也日益迫切。

基于特征碼的檢測手段是目前比較主流的檢測方式：提取已發現病毒的特征碼，構建病毒特征數據庫，通過對應用程序和數據庫數據匹配來檢測惡意行為。基于特征碼的檢測手段對于未知病毒和多態變形病毒則無效，因此會出現很高的漏報率。

動態污點跟蹤分析技術能準確地分析出惡意行為，是近幾年提出的一種有效檢測方式，應用范圍很廣，檢測過程分為污點標記、污點傳播跟蹤以及非法操作檢測。現有的動態污點跟蹤分析技術主要依靠QEMU等模擬器，模擬操作系統運行，并將可疑樣本文件放入模擬器中執行，跟蹤發現可疑行為。此種檢測手段跟蹤指令流的運行過程，記錄污點的傳播路徑及相關的操作系統狀態，性能開銷很大，不能對惡意行為進行實時檢測。且部分惡意代碼會檢測自身的運行環境，當發現其運行在模擬器環境下時，其惡意行為不會被觸發，檢測失效。

虛擬化技術出現之后，得到了用戶的廣泛應用，其安全性問題也是用戶日益關心的話題。虛擬化平臺提供多個客戶操作系統供用戶使用，用戶隱私信息集中，更加容易吸引惡意行為的攻擊；另外，由于環境復雜，同一物理結點上存在有多種不同的客戶操作系統，安全需求也不一樣，單獨配置安全軟件會導致資源浪費，管理復雜。

發明內容

針對現有技術的缺陷，本發明的目的在于提供一種基于虛擬機架構的惡意行為跟蹤方法，其針對虛擬機上的多種操作系統，跟蹤操作系統內部的污點傳播過程，并從中發現惡意行為，實時準確地檢測虛擬化平臺上的操作系統內的惡意行為。

為實現上述目的，本發明提供了一種基于虛擬機架構的惡意行為跟蹤方法，包括：

(1)接收污點數據，將污點數據存儲于客戶操作系統的虛擬內存中，并在實際內存中分配一塊內存區域存儲該污點信息；

(2)在Xen中將客戶操作系統內存中污點數據所處地方的對應影子頁表處內存狀態修改為不存在；

(3)客戶操作系統進入處理污點數據的狀態，修改虛擬機控制結構域，并且客戶操作系統陷入虛擬機管理器層執行；

(4)對操作系統狀態進行語義翻譯，以獲取高級語義信息，并將高級語義信息記錄在污點數據結構中；

(5)跟蹤客戶操作系統的指令流的單步執行以及污點數據的傳播過程；

(6)根據污點數據的傳播過程生成傳播圖；

(7)對傳播圖進行檢測，以判斷是否存在有分支，若存在有分支，則說明有惡意行為發生，并進入步驟(8)，否則說明沒有惡意行為發生，并進入步驟(10)；

(8)將傳播圖中分支處的進程信息通知給用戶；

(9)返回步驟(8)，直到傳播圖中所有的分支均已檢測完畢為止；

(10)還原虛擬機控制結構域，以使客戶操作系統能夠正常執行。

步驟(5)包括如下子步驟：

(5-1)檢查客戶操作系統的指令流中的指令，以判斷該指令是數據移動指令或DMA操作指令、算術指令、數據索引指令還是常量函數指令及其它指令，如果是數據移動指令或DMA操作指令，則轉入步驟(5-2)，如果是算術指令，則進入步驟(5-3)，如果是數據索引指令，則進入步驟(5-4)，如果是常量函數指令及其它指令，則不做處理直接進入步驟(5-5)；

(5-2)判斷該指令的源操作數是否被污染，若是，則在該指令的目的操作數對應的影子頁表中對該目的操作數進行標記，并轉入步驟(5-5)，否則直接轉入步驟(5-5)；

(5-3)判斷該指令的操作數的每一位是否都被污染，若是，則在該指令的結果操作數對應的影子頁表中對該操作數進行標記，并轉入步驟(5-5)，否則直接轉入步驟(5-5)；

(5-4)判斷該指令中作為索引的數據是否被污染，若是，則在以該索引作為內存地址讀取的數據對應的影子頁表中對該數據進行標記，并轉入步驟(5-5)，否則直接轉入步驟(5-5)；

(5-5)判斷指令流是否執行完畢，若是則結束，否則對下一條指令重復執行步驟(5-1)。

污點數據是來自用戶通過鍵盤輸入的數據，或者是網絡下發的數據。