本發(fā)明提出一種局域網(wǎng)內(nèi)虛擬機(jī)的識(shí)別方法，通過(guò)獲取局域網(wǎng)內(nèi)待識(shí)別設(shè)備的廣播和多播流量，將該流量作為待識(shí)別流量；提取待識(shí)別流量的數(shù)據(jù)傳輸協(xié)議的特征信息，根據(jù)預(yù)設(shè)的特征類(lèi)型與各數(shù)據(jù)傳輸協(xié)議的對(duì)應(yīng)關(guān)系，將特征信息劃歸各特征類(lèi)型；將各特征類(lèi)型的特征信息進(jìn)行向量化，再拼接得到指紋信息；將指紋信息輸入到預(yù)先訓(xùn)練好的設(shè)備識(shí)別模型中，輸出mDNS視圖與LBN視圖的預(yù)測(cè)結(jié)果，并判斷待識(shí)別設(shè)備是否為異常設(shè)備；若待識(shí)別設(shè)備為異常設(shè)備，則比較mDNS視圖與LBN視圖的預(yù)測(cè)結(jié)果，如果該兩個(gè)預(yù)測(cè)結(jié)果存在差異時(shí)，則判定待識(shí)別設(shè)備為虛擬機(jī)。本方法能在不增加網(wǎng)絡(luò)中負(fù)載且無(wú)需與其它設(shè)備交互的情況下，對(duì)虛擬機(jī)進(jìn)行識(shí)別。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，具體涉及一種局域網(wǎng)內(nèi)虛擬機(jī)的識(shí)別方法。

背景技術(shù)

虛擬機(jī)(Virtual Machine)是指通過(guò)軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在一個(gè)完全隔離環(huán)境中的完整計(jì)算機(jī)系統(tǒng)。對(duì)虛擬機(jī)的識(shí)別方法主要包含以下幾類(lèi)：

第一類(lèi)是通過(guò)應(yīng)用程序，對(duì)當(dāng)前運(yùn)行環(huán)境進(jìn)行檢測(cè)，判斷該環(huán)境的提供方是否為虛擬機(jī)。這類(lèi)方法包括對(duì)虛擬機(jī)的內(nèi)存特征進(jìn)行識(shí)別、利用性能差異進(jìn)行識(shí)別、利用虛擬處理器的異常行為進(jìn)行識(shí)別等。其中，利用內(nèi)存特征最典型的方法是使用IDT(InterruptDescriptor Table)或LDT(Local Descriptor Table)實(shí)現(xiàn)的檢測(cè)方法。這類(lèi)方法通過(guò)虛擬機(jī)和真實(shí)主機(jī)在操作系統(tǒng)關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的不同位置判斷當(dāng)前執(zhí)行環(huán)境是否為虛擬機(jī)。例如，Redpill工具通過(guò)檢測(cè)IDT的基地址是否超過(guò)某個(gè)特定值判斷是否存在虛擬機(jī)。DannyQuist等(Quist,D.,Smith,V.,Computing,O.(2006).Detecting the presence ofvirtual machines using the local data table.Offensive Computing,25(04))通過(guò)LDT檢測(cè)虛擬機(jī)。利用虛擬化產(chǎn)生的性能差異，Jason Franklin等(Franklin,Jason,etal.Remote detection of virtual machine monitors with fuzzy benchmarking.ACMSIGOPS Operating Systems Review 42.3(2008):83-92.)通過(guò)設(shè)計(jì)代碼，比較其在真實(shí)主機(jī)與待測(cè)設(shè)備上運(yùn)行的時(shí)間差判斷待測(cè)設(shè)備是否為虛擬機(jī)。基于虛擬處理器的異常行為的檢測(cè)方法主要通過(guò)查看當(dāng)前環(huán)境是否支持虛擬機(jī)相關(guān)的機(jī)器語(yǔ)言指令，以及查看虛擬機(jī)與宿主機(jī)之間是否存在通信信道。例如，VMDetect工具通過(guò)觀察Virtual PC相關(guān)的非標(biāo)準(zhǔn)的IA32指令是否返回?zé)o效操作碼判斷當(dāng)前環(huán)境是否為Virtual PC環(huán)境。

第二類(lèi)是通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包提取特征，判斷產(chǎn)生該設(shè)備是否為虛擬機(jī)。例如，中國(guó)發(fā)明專利CN102025535B公開(kāi)了由網(wǎng)絡(luò)管理員預(yù)先統(tǒng)計(jì)并記錄網(wǎng)絡(luò)中所有虛擬機(jī)的MAC地址，并通過(guò)獲取流量中的MAC地址信息與預(yù)先記錄下的MAC地址進(jìn)行比對(duì)，進(jìn)而完成對(duì)虛擬的識(shí)別追蹤。中國(guó)發(fā)明專利CN107741872A公開(kāi)了通過(guò)獲取用戶名，機(jī)器媒體訪問(wèn)控制MAC地址，用戶網(wǎng)絡(luò)地址，硬盤(pán)序列號(hào)和基本輸入輸入系統(tǒng)BIOS序列號(hào)，并根據(jù)其中特征是否符合虛擬機(jī)的參數(shù)規(guī)范，判斷設(shè)備是否為虛擬機(jī)。

對(duì)于通過(guò)應(yīng)用程序進(jìn)行檢測(cè)的方法而言，大多需要將程序部署到設(shè)備上才能完成檢測(cè)，且大多需要與真實(shí)主機(jī)的特征進(jìn)行比較。同時(shí)，對(duì)于使用IDT的檢測(cè)方法而言，其在多個(gè)CPU的設(shè)備上的誤報(bào)率高，因?yàn)槎郈PU設(shè)備中的每個(gè)CPU都有不同的IDT，IDT基址取值不同。對(duì)于使用性能差異的檢測(cè)方法而言，大多需要知道待測(cè)設(shè)備的硬件配置信息，而這類(lèi)信息并不一定容易獲取。對(duì)于基于虛擬處理器異常行為的檢測(cè)方式而言，需要依賴不同虛擬機(jī)的具體實(shí)現(xiàn)，不具有普遍性。