技術領域

本發明涉及虛擬機領域，具體而言，涉及一種虛擬機異常檢測方法、裝置及系統。

背景技術

隨著信息技術的不斷發展，云計算技術的應用變得越來越廣泛，其面臨的挑戰也越來越多，安全性問題是其中的一個重要方面。虛擬機作為云計算基礎設施中基本的計算資源，成為了惡意軟件極具吸引力的攻擊目標。云用戶被授予特權后可以通過網絡訪問其虛擬機并安裝任意種類任意版本的操作系統及應用，而這些操作系統和應用本身可能帶有漏洞，會給系統帶來風險。這些帶有漏洞的虛擬機極易被攻擊者攻陷，并成為攻擊者攻擊云系統內其他虛擬機的跳板。因此，為保證整個云系統的安全，需要確保運行在各服務器內部的虛擬機的安全。

目前，以服務器為單位的安全防護措施雖然能夠保證該服務器環境的安全，但不能有效兼顧服務器內部的虛擬機的安全性。傳統的基于進程分析的安全檢測方法多應用于單機環境，數據源比較單一，而云環境下的分布式部署模式使得分析方法可以利用不同數據源的數據，這為進程分析提供了新的檢測方法。目前基于進程分析的網絡異常的安全檢測方法分析的是服務器或網絡的總體流量，流量大，干擾多，效率低。現在的安全檢測方法在應對云環境下虛擬機的安全威脅時存在著一些不足，當某些虛擬機出現安全問題時，若不能及時發現解決則會給該服務器甚至整個系統帶來完全威脅。

針對相關技術中的安全檢測方法不能兼顧服務器內部虛擬機的安全性的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種虛擬機異常檢測方法、裝置及系統，以至少解決相關技術中的安全檢測方法不能兼顧服務器內部虛擬機的安全性的技術問題。

根據本發明實施例的一個方面，提供了一種虛擬機異常檢測系統，該系統用于檢測服務器內部的虛擬機是否異常，該系統包括：進程分析引擎，用于對服務器內虛擬機的進程信息進行分析；網絡分析引擎，用于對服務器內虛擬機的進程的網絡流量進行分析；以及決策引擎，分別與進程分析引擎和網絡分析引擎相連接，用于根據進程分析引擎和網絡分析引擎的分析結果做出安全決策。

進一步地，服務器包括：進程信息采集器，與進程分析引擎相連接，用于采集服務器內虛擬機的進程信息，并將采集到的進程信息發送至進程分析引擎進行分析；進程流量采集器，與網絡分析引擎相連接，用于采集服務器內虛擬機的進程的網絡流量信息，并將采集到的進程的網絡流量信息發送至網絡分析引擎進行分析；以及執行器，與決策引擎相連接，用于執行決策引擎做出的安全決策。

進一步地，決策引擎用于根據進程分析引擎的分析結果確定是否啟動網絡分析引擎對服務器內虛擬機的進程的網絡流量進行分析，其中，在進程分析引擎無法確定服務器內虛擬機的進程是否異常時，決策引擎啟動網絡分析引擎對服務器內虛擬機的進程的網絡流量進行分析。

進一步地，決策引擎做出的安全決策至少包括以下任意一種決策：終止進程、需要對進程進行網絡分析、將進程進行斷網、丟棄進程的異常數據包、將進程的數據包轉發至網絡分析器分析、增加進程的檢測頻率。

根據本發明實施例的另一方面，還提供了一種虛擬機異常檢測方法，包括：獲取服務器內虛擬機的進程信息；分析服務器內虛擬機的進程信息，檢測服務器內虛擬機的進程是否異常；在檢測到服務器內虛擬機的進程異常時，根據服務器內虛擬機的進程信息的分析結果確定安全決策；在檢測到無法確定服務器內虛擬機的進程是否異常時，獲取服務器內虛擬機的進程的網絡流量信息；分析服務器內虛擬機的進程的網絡流量信息，檢測服務器內虛擬機的進程是否異常；以及在檢測到服務器內虛擬機的進程異常時，根據服務器內虛擬機的進程信息的分析結果和服務器內虛擬機的進程的網絡流量信息的分析結果確定安全決策。

進一步地，分析服務器內虛擬機的進程信息，檢測服務器內虛擬機的進程是否異常包括：分析服務器內虛擬機的進程信息，檢測預設進程庫中是否存在進程，其中，預設進程庫中包括正常進程數據庫和異常進程數據庫；在檢測到正常進程數據庫中存在進程時，確定進程為正常進程，并檢測下一個進程是否異常；在檢測到異常進程數據庫中存在進程時，分別進行以下判斷：判斷進程是否資源使用異常、判斷進程是否隱藏、判斷進程中是否存在異常序列，其中，當進程資源使用異常，和/或，進程隱藏，和/或，進程中存在異常序列時，確定進程為異常進程。