[發明專利]一種虛擬機隱藏進程檢測方法及系統在審
| 申請號: | 201810081591.8 | 申請日: | 2018-01-29 |
| 公開(公告)號: | CN108446160A | 公開(公告)日: | 2018-08-24 |
| 發明(設計)人: | 馬曉旭;張玲;饒志宏;牛長喜;陳佳昕;金鑫 | 申請(專利權)人: | 中國電子科技網絡信息安全有限公司 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455;G06F21/53 |
| 代理公司: | 成都九鼎天元知識產權代理有限公司 51214 | 代理人: | 郭彩紅 |
| 地址: | 610207 四川省成都市*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 虛擬機 隱藏進程檢測 進程視圖 有效檢測 租戶 內核對象 重新編譯 高效性 進程鏈 內核態 用戶態 云平臺 準確率 加載 內核 進程 可信 | ||
1.一種虛擬機隱藏進程檢測方法,具體方法為:獲取用戶態進程視圖、基于進程鏈表的內核視圖和基于CPU調度的可信內核態進程視圖三類視圖,進行交叉對比,實現對虛擬機隱藏進程的有效檢測;所述交叉對比包括:
用戶態進程視圖和基于進程鏈表的內核視圖的對比,得到兩類視圖的差異,將用戶態進程視圖中沒有,而基于進程鏈表的內核視圖中有的進程作為可疑進程;
用戶態進程視圖和基于CPU調度的可信內核態進程視圖的對比,得到兩類視圖的差異,將用戶態進程視圖中沒有,而基于CPU調度的可信內核態進程視圖中有的進程作為可疑進程;
基于進程鏈表的內核視圖和基于CPU調度的可信內核態進程視圖的對比,得到兩類視圖的差異,將基于進程鏈表的內核視圖中沒有,而基于CPU調度的可信內核態進程視圖中有的進程,及基于進程鏈表的內核視圖中有,而基于CPU調度的可信內核態進程視圖中沒有的進程作為可疑進程;
匯聚上述三類視圖交叉對比比較結果,對所有的可疑進程進行判別,形成虛擬機隱藏進程列表。
2.根據權利要求1所述的虛擬機隱藏進程檢測方法,對所述三類視圖進行交叉對比時,將進程ID作為交叉比較的關鍵詞,對視圖進行對比,得到兩類視圖的差異。
3.根據權利要求1或2所述的虛擬機隱藏進程檢測方法,獲取用戶態進程視圖的具體方法為:通過用戶層API函數訪問proc文件系統以獲取虛擬機用戶態進程視圖;具體方法步驟為:
A1、proc文件系統及進程目錄遍歷:調用系統API訪問函數,通過瀏覽/proc文件系統中相關信息,獲取系統當前系統運行進程的信息;
A2、用戶態進程視圖構建:在上述進程目錄遍歷的信息基礎上,結合進程狀態查閱API函數,逐項獲取每項進程的相關狀態信息,匯聚形成當用戶態運行進程視圖。
4.根據權利要求1或2所述的虛擬機隱藏進程檢測方法,獲取基于進程鏈表的內核態視圖的具體方法步驟為:
B1、進行內核進程鏈表遍歷:通過init_task進程實現對操作系統內核創建的首個進程的定位,通過雙向循環鏈表,遍歷當前系統所有進程,將進程號作為查詢主鍵;
B2、基于進程鏈表的內核態視圖構建:在上述內核進程鏈表遍歷的基礎上,結合進程狀態查閱API函數,逐項獲取每項進程的相關狀態信息,匯聚形成當內核態運行進程視圖。
5.根據權利要求1或2所述的虛擬機隱藏進程檢測方法,獲取基于CPU調度的可信內核態進程視圖的具體方法步驟為:
C1、設置進程調度攔截點:在虛擬機內核層通過攔截點方式,在Linux系統進程調度關鍵函數加入攔截點,從而獲取到被CPU調度執行的進程,進而構建真實進程視圖;
C2、截獲進程執行:在攔截點,對任何一個被調度的進程進行攔截,攔截后進行進程信息的獲取;
C3、恢復進程執行:獲取被調度進程信息后,恢復該進程的執行,使被調度進程進入運行狀態;
C4、基于CPU調度的可信內核態進程視圖構建:匯聚獲取到的每項進程的相關狀態信息,形成當內核態運行進程視圖。
6.一種虛擬機隱藏進程檢測系統,包括存儲器及處理器;所述存儲器中存儲有多條指令,所述指令包括適于處理器加載并執行:
獲取用戶態進程視圖、基于進程鏈表的內核視圖和基于CPU調度的可信內核態進程視圖三類視圖,進行交叉對比;所述交叉對比包括:
將用戶態進程視圖中沒有,而基于進程鏈表的內核視圖中有的進程作為可疑進程;
將用戶態進程視圖中沒有,而基于CPU調度的可信內核態進程視圖中有的進程作為可疑進程;
將基于進程鏈表的內核視圖中沒有,而基于CPU調度的可信內核態進程視圖中有的進程,及基于進程鏈表的內核視圖中有,而基于CPU調度的可信內核態進程視圖中沒有的進程作為可疑進程;
對所有的可疑進程進行判別,形成虛擬機隱藏進程列表。
7.根據權利要求6所述的虛擬機隱藏進程檢測系統,所述指令包括適于處理器加載并執行:將進程ID作為交叉比較的關鍵詞,對視圖進行對比。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國電子科技網絡信息安全有限公司,未經中國電子科技網絡信息安全有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810081591.8/1.html,轉載請聲明來源鉆瓜專利網。
