本發明實施例提供一種虛擬機惡意軟件行為檢測方法及系統，所述方法包括：基于目標虛擬機所在宿主機的虛擬機監視器與所述目標虛擬機進行交互，利用虛擬機自省方法獲取所述目標虛擬機的內部狀態信息；根據內存取證框架中的軟件基礎結構知識庫對所述內部狀態信息進行重構，獲取所述內部狀態信息的高級數據結構；根據所述高級數據結構，對所述目標虛擬機中的惡意軟件行為進行檢測。本發明實施例使得對惡意軟件行為的檢測更加精確、全面，可以對異常行為有針對性地處理，保證目標虛擬機的安全性，大大減少對虛擬機性能的影響，在無感知的前提下實現對惡意軟件行為的檢測。

技術領域

本發明實施例屬于計算機安全技術領域，更具體地，涉及一種虛擬機惡意軟件行為檢測方法及系統。

背景技術

隨著虛擬化技術的發展，很多物理資源包括計算、網絡和存儲等得到了充分利用，隨之而來的安全問題引起廣泛關注。其中，非常重要的安全隱患是虛擬機上可能存在惡意軟件。惡意軟件的典型代表是內核Rootkit。內核Rootkit大多數存在于內存中，具有隱蔽性和破壞性，通過HOOK或者修改部分數據結構來隱藏自己在系統中的蹤跡，極少在硬件資源如磁盤上遺留痕跡，然后通過各種網絡連接向系統外部的攻擊者提供受害機器的隱私信息。

為了檢測虛擬機上的惡意軟件，很有必要布置安全軟件，如入侵檢測系統。傳統的安全軟件通常布置代理在虛擬機內部，與虛擬機系統具有同等特權，容易被攻擊和欺騙；并且由于虛擬化環境中虛擬機數量龐大，要在每一臺虛擬機中部署代理將消耗大量的硬件資源和人力資源，同時不便于軟件的更新和維護。目前，一般使用虛擬機自省技術實現的安全軟件，該安全軟件基于虛擬機監視器將安全工具部署在虛擬機外部，與虛擬機充分隔離，從而保證安全性，同時基于虛擬機監視器可以做到對虛擬機透明，實現免代理檢測。由于大部分免代理檢測技術只使用虛擬機自省應用，而虛擬機自省應用在運行過程中對虛擬機性能影響較大，且過分依賴操作人對數據結構的熟悉程度，不能廣泛適應。此外，大部分免代理檢測方法只單純針對進程或者網絡，不能對惡意軟件行為進行全面檢測，很容易出現漏報和誤報。

綜上所述，現有的使用內部代理的安全檢測方法破壞了檢測系統與虛擬機的隔離性，無法實現透明檢測，而且容易被攻擊和欺騙，資源消耗大；使用虛擬機自省的免代理安全檢測方法在運行過程中對虛擬機性能影響較大，過分依賴操作人對數據結構的熟悉程度，且容易出現漏報和誤報。

發明內容

為克服上述現有的虛擬機惡意軟件行為檢測方法費時費力、資源消耗大且檢測效果差的問題或者至少部分地解決上述問題，本發明實施例提供一種虛擬機惡意軟件行為檢測方法及系統。

根據本發明實施例的第一方面，提供一種虛擬機惡意軟件行為檢測方法，包括：

基于目標虛擬機所在宿主機的虛擬機監視器與所述目標虛擬機進行交互，利用虛擬機自省方法獲取所述目標虛擬機的內部狀態信息；

根據內存取證框架中的軟件基礎結構知識庫對所述內部狀態信息進行重構，獲取所述內部狀態信息的高級數據結構；

根據所述高級數據結構，對所述目標虛擬機中的惡意軟件行為進行檢測。

根據本發明實施例第二方面提供一種虛擬機惡意軟件行為檢測系統，包括：

獲取模塊，用于基于目標虛擬機所在宿主機的虛擬機監視器與所述目標虛擬機進行交互，利用虛擬機自省方法獲取所述目標虛擬機的內部狀態信息；

重構模塊，用于根據內存取證框架中的預設軟件基礎結構知識庫對所述內部狀態信息進行重構，獲取所述內部狀態信息的高級數據結構；

檢測模塊，用于根據所述高級數據結構，對所述目標虛擬機中的惡意軟件行為進行檢測。

根據本發明實施例的第三個方面，還提供一種電子設備，包括：

至少一個處理器；以及