一種基于虛擬化平臺的虛擬機異常行為檢測方法。其包括從虛擬機平臺中的虛擬機管理器層獲取客戶虛擬機的內存轉儲文件；使用圖像方法描述內存轉儲文件中數據特征，并獲得包含數據特征的灰度圖像；將客戶虛擬機正常運行下包含內存轉儲文件中數據特征的灰度圖像與存在異常行為時包含內存轉儲文件中數據特征的灰度圖像輸入卷積神經網絡模型進行訓練，得到訓練后的卷積神經網絡模型；利用訓練后的卷積神經網絡模型檢測客戶虛擬機是否存在異常行為等步驟。本發明效果：能從虛擬機平臺內存轉儲文件中提取信息，減少對客戶虛擬機運行過程中干預，無需進行內核分析、逆向分析等操作，可移植性強、適用范圍廣，有助于提升云計算平臺的安全保障能力。

技術領域

本發明屬于計算機技術領域，特別是涉及一種基于虛擬化平臺的虛擬機異常行為檢測方法。

背景技術

目前，依托于虛擬化技術的虛擬機自省技術(Virtual Machine Introspection，簡稱VMI技術)作為有效提高云環境安全性的重要技術之一，受到廣大研究人員的高度關注。VMI技術使用虛擬機外部的虛擬機監視器(Virtual Machine Monitor，簡稱VMM)完成虛擬機所依托物理機的狀態獲取和高級語義重構，從虛擬機的外部視角進行觀察分析，能夠識別出惡意軟件常常采用的混淆、加密和Rootkit等復雜攻擊行為，不同硬件平臺、不同操作系統的虛擬機都可以應用該技術。語義重構是指由低級語義(如寄存器、內存頁面等信息)重構出操作系統級語義(如進程列表等信息)的過程。隨著研究的不斷發展，研究人員基于語義重構方式的不同將現有的虛擬機自省技術分以下為4類：

1)基于目標虛擬機的依賴型自省方法：目標虛擬機通過信息捕獲模塊得到高層語義信息，然后將信息傳遞至安全虛擬機中進行自省。該方法無需消耗其他的自省資源，但是需要對虛擬機操作系統進行修改，不具備透明性，且只能對處于運行狀態的虛擬機進行分析。

2)基于安全虛擬機的依賴型自省方法：安全虛擬機中運行與目標虛擬機中待監控進程相同的模擬進程，并將待監控進程的相關底層狀態數據實時移入安全虛擬機中，安全虛擬機中的檢測工具(如strace、ltrace等)對模擬進程的分析結果可用于目標虛擬機中待監控進程的運行狀態分析。該方法中的檢測工具位于安全虛擬機中，可以避免受到目標虛擬機中惡意程序的攻擊，但是每次只能獲得某一特定進程的狀態信息，還需要安全虛擬機和目標虛擬機的操作系統內核保持一致，這在實際的生產生活中難以大規模應用。

3)基于軟件結構知識的獨立型自省法：安全虛擬機部署監控程序，通過在目標虛擬機外部提取其底層狀態數據，使用軟件結構知識重構出操作系統級語義信息。該方法透明性好，獲得的有效信息與數據多，但是過于依賴軟件架構知識，目標虛擬機操作系統的變化會導致自省程序失效。

4)基于硬件架構知識的獨立型自省法：虛擬機監視器介入目標虛擬機與其硬件資源的交互過程，獲取寄存器、CPU等設備中的底層狀態數據，通過硬件架構知識，推理出高層語義信息(如重構進程、系統調用等信息)。該方法透明性強，移植性較好，然而可用的硬件架構知識與可用的硬件資源有限，因此可獲取的高層語義信息較少。

另外，當前VMI技術所面臨的一個較大的問題是語義鴻溝。VMI技術通過在目標虛擬機(target virtual machine，簡稱TVM)外部獲取TVM底層狀態數據(CPU寄存器、I/O控制器寄存器、內存、大容量存儲設備以及虛擬BIOS等)，但在TVM外部獲取的底層狀態數據以二進制形式呈現，無法獲悉其高層語義信息，這種語義之間的差異稱為語義鴻溝。不同種類和版本的操作系統，內存地址的映射規則不同，在語義重構的過程中所需要的語義知識(如內核數據結構)不同，傳統的系統環境和虛擬化平臺中VMM獲得的信息也存在著語義差別。在實際應用中，由于安裝了不同的系統，或者系統的升級等原因，需要重新分析系統結構，升級語義重構的方法，因此目前的VMI技術不具備良好的可移植性、透明性和魯棒性。