本發(fā)明提供了一種虛擬機(jī)隱藏進(jìn)程檢測方法及系統(tǒng)，通過獲取用戶態(tài)進(jìn)程視圖、基于進(jìn)程鏈表的內(nèi)核視圖和基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖三類視圖，進(jìn)行交叉對比，實現(xiàn)對虛擬機(jī)隱藏進(jìn)程的有效檢測。實施本發(fā)明，無需重新編譯及加載Hypervisor，不影響云平臺租戶自身業(yè)務(wù)，同時能夠有效檢測針對內(nèi)核對象進(jìn)行直接修改以隱藏自身進(jìn)程等行為，進(jìn)一步提升了虛擬機(jī)隱藏進(jìn)程檢測的全面度、準(zhǔn)確率和高效性。

技術(shù)領(lǐng)域

本發(fā)明涉及一種虛擬機(jī)隱藏進(jìn)程檢測方法，適用于網(wǎng)絡(luò)安全領(lǐng)域。

背景技術(shù)

現(xiàn)在病毒木馬不再單純以破壞用戶系統(tǒng)為目的，更多的是潛行在系統(tǒng)中收集用戶數(shù)據(jù)、竊取用戶隱私信息以牟取錢財。為了能夠長期潛伏在系統(tǒng)當(dāng)中而不被用戶和殺毒軟件發(fā)現(xiàn)，惡意軟件往往通過隱藏自身行為來逃避安全監(jiān)控程序的檢測，其中隱藏自身進(jìn)程是最基本的功能之一。此類惡意軟件，隱藏自身、保障生存是首要需求，它使自身能在目標(biāo)主機(jī)中長期潛伏，竊取信息而不被察覺，從而造成更大危害。而當(dāng)前云計算迅猛發(fā)展，如何有效檢測位于虛擬機(jī)內(nèi)的隱藏進(jìn)程，保護(hù)虛擬機(jī)安全與隱私也成為了平臺提供商的迫切需求。同時隨著《國家網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》等法律和辦法的頒布，網(wǎng)絡(luò)安全審查將成為提高網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全可控水平、防范網(wǎng)絡(luò)安全風(fēng)險、維護(hù)國家安全的重要途徑之一，但目前尚缺乏相關(guān)檢測手段，云計算環(huán)境下隱藏進(jìn)程檢測也涵蓋于該范疇之下。當(dāng)前面臨的困難主要包括：

（1）服務(wù)中斷限制。隱藏進(jìn)程為了實現(xiàn)自身的隱藏，通常運行在系統(tǒng)較低層級，通過修改或繞開系統(tǒng)防護(hù)機(jī)制，達(dá)到逃避檢測、前期潛伏的目的。檢測機(jī)制為了實現(xiàn)對隱藏進(jìn)程，需要在系統(tǒng)底層（如宿主機(jī)Hypervisor層或虛擬機(jī)內(nèi)核層）實現(xiàn)相應(yīng)的檢測功能，然而相關(guān)檢測機(jī)制的生效需要系統(tǒng)進(jìn)行重新編譯或重啟加載，導(dǎo)致云平臺租戶的正常業(yè)務(wù)服務(wù)受到中斷。檢測機(jī)制與手段需要在零干擾的條件下實現(xiàn)。

（2）檢測全面性與準(zhǔn)確率的限制。全面性與準(zhǔn)確性覆蓋一直是檢測工具普遍面臨的問題，隱藏進(jìn)程檢測具有無標(biāo)準(zhǔn)可依、動態(tài)可變等特性，進(jìn)一步加大了檢測的難度，尤其是需要在零干擾的條件下實現(xiàn)對隱藏進(jìn)程的檢測，在檢測的全面性、準(zhǔn)確性上則會有一定的妥協(xié)。如何實現(xiàn)覆蓋面全、檢測高效準(zhǔn)確是隱藏進(jìn)程檢測亟待解決的問題。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種更高效的虛擬機(jī)隱藏進(jìn)程檢測方法，具有能夠?qū)崿F(xiàn)服務(wù)非中斷的虛擬機(jī)隱藏進(jìn)程檢測的特性。

本發(fā)明采用的技術(shù)方案如下：

一種虛擬機(jī)隱藏進(jìn)程檢測方法，具體方法為：獲取用戶態(tài)進(jìn)程視圖、基于進(jìn)程鏈表的內(nèi)核視圖和基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖三類視圖，進(jìn)行交叉對比，實現(xiàn)對虛擬機(jī)隱藏進(jìn)程的有效檢測；所述交叉對比包括：

用戶態(tài)進(jìn)程視圖和基于進(jìn)程鏈表的內(nèi)核視圖的對比，得到兩類視圖的差異，將用戶態(tài)進(jìn)程視圖中沒有，而基于進(jìn)程鏈表的內(nèi)核視圖中有的進(jìn)程作為可疑進(jìn)程；

用戶態(tài)進(jìn)程視圖和基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖的對比，得到兩類視圖的差異，將用戶態(tài)進(jìn)程視圖中沒有，而基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖中有的進(jìn)程作為可疑進(jìn)程；

基于進(jìn)程鏈表的內(nèi)核視圖和基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖的對比，得到兩類視圖的差異，將基于進(jìn)程鏈表的內(nèi)核視圖中沒有，而基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖中有的進(jìn)程，及基于進(jìn)程鏈表的內(nèi)核視圖中有，而基于CPU調(diào)度的可信內(nèi)核態(tài)進(jìn)程視圖中沒有的進(jìn)程作為可疑進(jìn)程；

匯聚上述三類視圖交叉對比比較結(jié)果，對所有的可疑進(jìn)程進(jìn)行判別，形成虛擬機(jī)隱藏進(jìn)程列表。

對上述三類視圖進(jìn)行交叉對比時，將進(jìn)程ID作為交叉比較的關(guān)鍵詞，對視圖進(jìn)行對比，得到兩類視圖的差異。

獲取用戶態(tài)進(jìn)程視圖的具體方法為：通過用戶層API函數(shù)訪問proc文件系統(tǒng)以獲取虛擬機(jī)用戶態(tài)進(jìn)程視圖；具體方法步驟為：