[發(fā)明專利]虛擬機內(nèi)運行應用識別方法、裝置、設備及存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 201810852893.0 | 申請日: | 2018-07-27 |
| 公開(公告)號: | CN110765452B | 公開(公告)日: | 2023-09-08 |
| 發(fā)明(設計)人: | 陳曉帆;古亮 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F9/455;H04L9/40 |
| 代理公司: | 深圳市世紀恒程知識產(chǎn)權(quán)代理事務所 44287 | 代理人: | 胡海國 |
| 地址: | 518000 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 虛擬機 運行 應用 識別 方法 裝置 設備 存儲 介質(zhì) | ||
1.一種虛擬機內(nèi)運行應用識別方法,其特征在于,預先將虛擬機內(nèi)運行的合法應用的地址空間與指定的IP和端口號進行綁定,所述虛擬機內(nèi)運行應用識別方法包括以下步驟:
監(jiān)測虛擬機內(nèi)是否存在新的應用程序啟動;
若存在,則確定所述應用程序運行的地址空間;
判斷所述地址空間是否存在綁定的IP和端口號;
若是,則識別所述應用程序為合法應用,否則識別所述應用程序為冒用合法IP和端口號的非法應用。
2.如權(quán)利要求1所述的虛擬機內(nèi)運行應用識別方法,其特征在于,所述監(jiān)測虛擬機內(nèi)是否存在新的應用程序啟動包括:
監(jiān)測虛擬機是否執(zhí)行syscall指令或sysenter指令以進行系統(tǒng)調(diào)用;
若是,則判斷所述系統(tǒng)調(diào)用是否為execve系統(tǒng)調(diào)用;
若為execve系統(tǒng)調(diào)用,則確定當前虛擬機內(nèi)存在新的應用程序啟動。
3.如權(quán)利要求1所述的虛擬機內(nèi)運行應用識別方法,其特征在于,所述監(jiān)測虛擬機內(nèi)是否存在新的應用程序啟動還包括:
截獲虛擬機內(nèi)的地址空間切換操作,以供記錄虛擬機內(nèi)運行的每一個地址空間;
判斷虛擬機內(nèi)是否運行新的地址空間;
若是,則確定當前虛擬機內(nèi)存在新的應用程序啟動。
4.如權(quán)利要求1-3中任一項所述的虛擬機內(nèi)運行應用識別方法,其特征在于,所述虛擬機內(nèi)運行應用識別方法還包括:
在對虛擬機內(nèi)運行應用進行識別之前,設置應用程序的網(wǎng)絡連接白名單規(guī)則;
其中,所述網(wǎng)絡連接白名單規(guī)則用于規(guī)定應用程序在虛擬機中運行時能否對外連接網(wǎng)絡以及對外連接網(wǎng)絡所使用的IP和端口號。
5.如權(quán)利要求4所述的虛擬機內(nèi)運行應用識別方法,其特征在于,所述虛擬機內(nèi)運行應用識別方法還包括:
當應用程序在虛擬機內(nèi)運行時,截獲所述應用程序與網(wǎng)絡連接相關(guān)的系統(tǒng)調(diào)用,以供獲得系統(tǒng)調(diào)用參數(shù);
基于所述網(wǎng)絡連接白名單規(guī)則,對所述系統(tǒng)調(diào)用參數(shù)進行驗證,以供識別所述應用程序是否符合所述網(wǎng)絡連接白名單規(guī)則。
6.如權(quán)利要求5所述的虛擬機內(nèi)運行應用識別方法,其特征在于,所述虛擬機內(nèi)運行應用識別方法還包括:
當識別到冒用合法IP和端口號的非法應用時,向分布式防火墻下發(fā)臨時的訪問控制列表策略,以供所述分布式防火墻對所述非法應用進行攔截;
當識別到應用程序不符合所述網(wǎng)絡連接白名單規(guī)則時,將不符合所述網(wǎng)絡連接白名單規(guī)則的網(wǎng)絡連接信息下發(fā)至所述分布式防火墻;
其中,所述分布式防火墻部署在虛擬機與虛擬網(wǎng)絡轉(zhuǎn)發(fā)設備之間,并支持基于五元組的訪問控制列表策略與基于應用標識的安全策略。
7.一種虛擬機內(nèi)運行應用識別裝置,其特征在于,所述虛擬機內(nèi)運行應用識別裝置包括:
監(jiān)測模塊,用于監(jiān)測虛擬機內(nèi)是否存在新的應用程序啟動;
確定模塊,用于當虛擬機內(nèi)存在新的應用程序啟動時,確定所述應用程序運行的地址空間;
判斷模塊,用于判斷所述地址空間是否存在綁定的IP和端口號;
識別模塊,用于當所述地址空間存在綁定的IP和端口號時,識別所述應用程序為合法應用,否則識別所述應用程序為冒用合法IP和端口號的非法應用;
所述虛擬機內(nèi)運行應用識別裝置還包括第一設置模塊;
所述第一設置模塊用于:預先將虛擬機內(nèi)運行的合法應用的地址空間與指定的IP和端口號進行綁定。
8.如權(quán)利要求7所述的虛擬機內(nèi)運行應用識別裝置,其特征在于,所述監(jiān)測模塊還用于:
監(jiān)測虛擬機是否執(zhí)行syscall指令或sysenter指令以進行系統(tǒng)調(diào)用;若是,則判斷所述系統(tǒng)調(diào)用是否為execve系統(tǒng)調(diào)用;若為execve系統(tǒng)調(diào)用,則確定當前虛擬機內(nèi)存在新的應用程序啟動;或
截獲虛擬機內(nèi)的地址空間切換操作,以供記錄虛擬機內(nèi)運行的每一個地址空間;判斷虛擬機內(nèi)是否運行新的地址空間;若是,則確定當前虛擬機內(nèi)存在新的應用程序啟動。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810852893.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
