[發明專利]一種基于虛擬機自省技術的API動態監控方法及系統有效
申請號: | 202110367511.7 | 申請日: | 2021-04-06 |
公開(公告)號: | CN113176926B | 公開(公告)日: | 2023-09-05 |
發明(設計)人: | 丁振全;郝志宇;屈天恒;程豐;劉永繼;秦文雨 | 申請(專利權)人: | 中國科學院信息工程研究所 |
主分類號: | G06F9/455 | 分類號: | G06F9/455 |
代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 司立彬 |
地址: | 100093 *** | 國省代碼: | 北京;11 |
權利要求書: | 查看更多 | 說明書: | 查看更多 |
摘要: | |||
搜索關鍵詞: | 一種 基于 虛擬機 自省 技術 api 動態 監控 方法 系統 | ||
本發明公開了一種基于虛擬機自省技術的API動態監控方法及系統。本方法為:1)讀取并解析設定的監控策略配置文件,獲取所需監控的API以及API所屬的動態鏈接庫DLL;2)遍歷已加載到系統內存的動態鏈接庫,對已加載到內存中且需要監控的API進行監控;對未加載入系統內存的動態鏈接庫進行監控,當其載入系統內后,確認是否是需要監控的動態鏈接庫,如果是,則對該動態鏈接庫內需要監控的API函數進行監控;3)當所需監控API函數被觸發后,對當前操作系統內存進行解析,提取出當前進程、進程ID、當前線程、線程ID、當前進程名、所調用API、所屬動態鏈接庫信息,并寫入日志。
技術領域
本發明屬于網絡安全技術領域,涉及一種虛擬化監控方法,具體為一種基于虛擬機自省技術的API動態監控方法及系統。
背景技術
虛擬化技術是圖紙辦法通過硬件級虛擬化在計算機硬件層上增加一個名為虛擬機管理器(Virtual?Machine?Monitor,簡稱:VMM)的軟件層,也稱作hypervisor。VMM為每個虛擬機進行必要的硬件資源虛擬,虛擬機可以按照自己需求安裝不同的操作系統并在VMM的監控和管理下訪問所需的硬件物理資源。從直觀上講,虛擬化技術即對硬件資源進行復用處理,允許同時運行多個虛擬機,即多個客戶機操作系統。在安裝VMM的硬件平臺上,VMM通過協調客戶機操作系統發出指令實現隔離操作系統和硬件,目前虛擬化技術分為全虛擬化和半虛擬化。
虛擬機自省技術(VMI)就是在虛擬機外部通過分析其內部的系統狀態(軟硬件),來了解虛擬機的內部狀態。由于虛擬機管理器兼具基于主機的入侵檢測框架(host-basedintrusion?detection?system,簡稱:HIDS)良好的隔離性,所以虛擬機自省能夠借助虛擬機管理器(VMM)實現對虛擬機的監控。虛擬機管理器通常是一臺獨立并且受信任的虛擬機,由于該虛擬機獨立于被監控的客戶機,所以具有非常好的安全隔離性。虛擬機管理器能夠在被監控虛擬機外部讀取虛擬機的內存頁面、寄存器、中斷事件,用戶可使用此技術對內存頁面、寄存器、中斷等低級事件進行分析,最終得到虛擬機進程、內核模塊、系統調用等信息。
當前虛擬機監控技術分為虛擬機內部監控(In-VM)和虛擬機外部監控(Out-of-VM)兩類。虛擬機內部監控是指通過在目標虛擬機內部加載模塊、插件,獲取虛擬機中發生的行為、事件等信息。內部監控的優勢在于其在目標虛擬機中介或系統發生的事件,獲取到的是具有操作系統語義的信息,不需要進行語義重構,減少了性能上的開銷。然而,這種方式需要在目標系統中運行代理,會對系統性能造成影響。另外,獲取到的信息容易被內核態Rookit欺騙,無法獲取到真實的系統信息。隨著信息技術的發展,新型木馬不僅具有反沙箱檢測的能力,而且具有很強的自毀和反取證能力,當木馬檢測到病毒木馬檢測工具運行時,就立即中斷攻擊行為,自毀并擦除攻擊痕跡。
虛擬機外部監控指采用虛擬機自省機制(Virtual?Machine?Introspection,VMI),在虛擬機外部探測虛擬機內部發生的事件。其獲取到的信息為宿主機系統底層信息。如何將其還原為具有語義的字符序列或者數據結構這一問題被稱為語義鴻溝(semanticgap)問題。在對宿主機和虛擬機無任何先驗知識的情況下,獲取虛擬機的信息是非常困難的。目前主要采用手動分析、調試器輔助分析、編譯器輔助分析以及二進制分析等方法來解決語義鴻溝問題。XenAccess是一個監控Xen環境下內存和磁盤信息的類庫;Virttuoso通過提取二進制生成VMI代碼監控系統運行狀態信息。在Libvmi的基礎上,Watson等人也提出了基于VMM輔助的虛擬機進程信息檢測方案。虛擬機外部監控技術對于API的監控,必須在程序運行時,對應API已經加載在內存之中,或者對于文件的讀寫與映射進行監控,導致系統性能損耗異常嚴重。
發明內容
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110367511.7/2.html,轉載請聲明來源鉆瓜專利網。