[發(fā)明專利]一種虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng)及監(jiān)控方法有效
| 申請?zhí)枺?/td> | 201510347838.2 | 申請日: | 2015-06-23 |
| 公開(公告)號: | CN104866407A | 公開(公告)日: | 2015-08-26 |
| 發(fā)明(設(shè)計)人: | 任勛益;萬海山;孔強(qiáng);趙為強(qiáng) | 申請(專利權(quán))人: | 山東中孚信息產(chǎn)業(yè)股份有限公司 |
| 主分類號: | G06F11/32 | 分類號: | G06F11/32;G06F21/55 |
| 代理公司: | 濟(jì)南舜源專利事務(wù)所有限公司 37205 | 代理人: | 趙佳民 |
| 地址: | 250101 山東省濟(jì)南市高*** | 國省代碼: | 山東;37 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 虛擬機(jī) 環(huán)境 監(jiān)控 系統(tǒng) 方法 | ||
1.一種虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),其特征是包括如下模塊:
監(jiān)控模塊,用于對被監(jiān)控虛擬機(jī)的內(nèi)存和文件系統(tǒng)進(jìn)行檢測;
域間通信模塊,用于信息的安全傳遞;
規(guī)則庫,是對內(nèi)存段采取的監(jiān)控規(guī)則以及攻擊特征的集合;
分析模塊,對監(jiān)控模塊采集到的信息與規(guī)則庫里的集合進(jìn)行匹配,發(fā)現(xiàn)異常情況是將告警信息發(fā)送到響應(yīng)服務(wù)模塊;
響應(yīng)服務(wù)模塊,對檢測到的入侵事件進(jìn)行日志記錄,并通過域間通信模塊將告警信息發(fā)送到被監(jiān)控虛擬機(jī)的響應(yīng)接受模塊;
響應(yīng)接受模塊,用于接收告警信息并發(fā)送給事件處理模塊;
事件處理模塊,根據(jù)告警信息采取安全防范措施。
2.根據(jù)權(quán)利要求1所述的虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),其特征是:所述監(jiān)控模塊對被監(jiān)控虛擬機(jī)的內(nèi)存和文件系統(tǒng)進(jìn)行檢測,包括監(jiān)控對內(nèi)核中的只讀內(nèi)容的惡意修改,例如修改系統(tǒng)調(diào)用表、中斷描述符表或系統(tǒng)調(diào)用函數(shù);通過監(jiān)控任務(wù)列表、模塊列表來發(fā)現(xiàn)隱藏的惡意軟件;對系統(tǒng)文件進(jìn)行完整性檢測或攻擊特征匹配;對虛擬機(jī)網(wǎng)卡處于混雜模式以及隱藏的網(wǎng)絡(luò)連接進(jìn)行檢測。
3.根據(jù)權(quán)利要求1所述的虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),其特征是:所述的域間通信模塊是將兩個不同虛擬機(jī)的設(shè)備內(nèi)存空間映射到同一塊機(jī)器地址空間,從而使得兩個設(shè)備的操作都在同一塊真實的機(jī)器地址空間中執(zhí)行,通過共享內(nèi)存和事件通道機(jī)制的方式來實現(xiàn)在不同虛擬機(jī)間的信息安全傳遞。
4.根據(jù)權(quán)利要求1所述的虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),其特征是:分析模塊將從監(jiān)控模塊采集到的信息,按照用戶下發(fā)的配置策略對數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析提取特征信息,并將特征信息保存到規(guī)則庫中。
5.根據(jù)權(quán)利要求1或4所述的虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),其特征是:所述規(guī)則庫還與安全管理中心保持網(wǎng)絡(luò)連接,以獲取規(guī)則信息的在線更新服務(wù)。
6.根據(jù)權(quán)利要求1所述的虛擬機(jī)環(huán)境下的監(jiān)控系統(tǒng),其特征是:所述安全防范措施包括斷開連接、收集證據(jù)以及數(shù)據(jù)恢復(fù)、或者利用防火墻對入侵事件進(jìn)防御。
7.一種虛擬機(jī)環(huán)境下的監(jiān)控方法,其特征是包括如下步驟:
1)監(jiān)控模塊對被監(jiān)控虛擬機(jī)的內(nèi)存或文件執(zhí)行監(jiān)控掃描;
2)分析模塊把采集到的信息與規(guī)則庫的特征集合進(jìn)行匹配來發(fā)現(xiàn)入侵行為;
3)分析模塊檢測到入侵行為就向響應(yīng)服務(wù)模塊發(fā)送通告;
4)響應(yīng)服務(wù)模塊將入侵事件保存到日志記錄,并通過域間通信模塊向被檢測虛擬機(jī)發(fā)送告警信息;
5)響應(yīng)接收模塊從域間通信模塊接收告警信息并發(fā)送給事件處理模塊;
6)事件處理模塊根據(jù)告警信息采取相應(yīng)的安全防范措施。
8.根據(jù)權(quán)利要求7所述的虛擬機(jī)環(huán)境下的監(jiān)控方法,其特征是:所述的步驟1)中的監(jiān)控掃描,包括監(jiān)控對內(nèi)核中的只讀內(nèi)容的惡意修改,例如修改系統(tǒng)調(diào)用表、中斷描述符表或系統(tǒng)調(diào)用函數(shù);通過監(jiān)控任務(wù)列表、模塊列表來發(fā)現(xiàn)隱藏的惡意軟件;對系統(tǒng)文件進(jìn)行完整性檢測或攻擊特征匹配;對虛擬機(jī)網(wǎng)卡處于混雜模式以及隱藏的網(wǎng)絡(luò)連接進(jìn)行檢測。
9.根據(jù)權(quán)利要求7所述的虛擬機(jī)環(huán)境下的監(jiān)控方法,其特征是:所述的步驟2)中,分析模塊對被監(jiān)控虛擬機(jī)的內(nèi)存信息和網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析,將用戶操作與系統(tǒng)正常行為和規(guī)則庫進(jìn)行匹配來發(fā)現(xiàn)入侵行為。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于山東中孚信息產(chǎn)業(yè)股份有限公司,未經(jīng)山東中孚信息產(chǎn)業(yè)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201510347838.2/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 環(huán)境服務(wù)系統(tǒng)以及環(huán)境服務(wù)事業(yè)
- 環(huán)境控制裝置、環(huán)境控制方法、環(huán)境控制程序及環(huán)境控制系統(tǒng)
- 環(huán)境檢測終端和環(huán)境檢測系統(tǒng)
- 環(huán)境調(diào)整系統(tǒng)、環(huán)境調(diào)整方法及環(huán)境調(diào)整程序
- 環(huán)境估計裝置和環(huán)境估計方法
- 用于環(huán)境艙的環(huán)境控制系統(tǒng)及環(huán)境艙
- 車輛環(huán)境的環(huán)境數(shù)據(jù)處理
- 環(huán)境取樣動力頭、環(huán)境取樣方法
- 環(huán)境艙環(huán)境控制系統(tǒng)
- 環(huán)境檢測儀(環(huán)境貓)
- 多級校內(nèi)監(jiān)控系統(tǒng)
- 多級校內(nèi)監(jiān)控系統(tǒng)
- 一種范圍廣、力度大的校內(nèi)監(jiān)控系統(tǒng)
- 一種監(jiān)控的方法及系統(tǒng)
- 設(shè)備的監(jiān)控方法、裝置、系統(tǒng)和空調(diào)
- 多級校內(nèi)監(jiān)控系統(tǒng)
- 設(shè)備監(jiān)控方法、裝置、計算機(jī)設(shè)備及存儲介質(zhì)
- 風(fēng)險雷達(dá)預(yù)警的監(jiān)控方法及系統(tǒng)
- 區(qū)塊鏈網(wǎng)絡(luò)監(jiān)控系統(tǒng)、裝置及方法
- 基于機(jī)器視覺的車站客流安全智能監(jiān)控系統(tǒng)
