一种基于虚拟化的主机行为主动检测系统及方法

一种基于虚拟化的主机行为主动检测系统及方法
【专利摘要】本发明涉及一种基于虚拟化的主机行为实时主动检测系统及方法，包括：系统管理模块、VMI tools维护模块、行为检测模块及动态更新模块，系统管理模块根据虚拟计算环境完成主机行为主动检测点的部署、控制主机行为解析模型的更新以及存储主机行为检测数据；VMI tools维护模块完成VMI tools的快速匹配、VMI tools的动态生成以及VMI tools的快速部署；行为检测模块完成主机内存数据获取、借助VMI tools将机器底层语义转化为操作系统高层语义、通过行为解析模型获取用户关注的敏感数据、提供外部分析接口；动态更新模块主要完成VM状态维护、VM基础信息获取、行为解析模型维护。本发明提高信息获取的有效性及准确性；同时提供外部分析接口，以满足其他监测需求。
【专利说明】一种基于虚拟化的主机行为主动检测系统及方法

【技术领域】
[0001]本发明涉及一种虚拟化安全监控领域，具体涉及基于虚拟化的主机行为主动检测系统及方法。

【背景技术】
[0002]虚拟化技术的广泛应用给行为监控提出了新的机遇和挑战，尤其是虚拟机监控器(Virtual Machine Monitor,简称VMM)的出现,它使主机行为监控不单单通过在节点内部设置探针这种单一的方式。采用虚拟化技术实现的节点，其内部发生的各种行为动作最终均通过VMM转化为对真实物理设备的操作，因此在VMM处部署监控手段，再辅以解析方式，能够达到监控节点内部行为的目的，本发明重点着眼于主机行为的检测。然而主机行为解析涉及机器底层语义与操作系统高层语义之间的转化问题，即语义鸿沟难题，这给主机行为检测带来了一定的难度。本发明旨在避开语义鸿沟难题，发明提出一种基于虚拟化的主机行为主动检测框架,并实现原型系统。
[0003]目前针对虚拟化的主机行为检测方法主要分为内部监控和外部监控等两种架构。
[0004](I)内部监控，即是将检测手段部署至虚拟机内部，在虚拟机内部拦截虚拟机事件，而将检测手段的安全性交由VMM来保证。这类监控架构的典型代表是Lares和SIM，其将检测手段部署至一个隔离的虚拟域中，在被监控系统中部署钩子函数，通过钩子函数拦截内部事件，进而由隔离域中的检测手段分析。此类方式能够获得操作系统级的语义，避开了语义鸿沟，减少了性能开销；然而此种方式易被入侵者发现，从而绕过检测手段，导致检测失效。
[0005](2)外部监控，即是将检测手段部署至虚拟机外部，在虚拟机外部拦截虚拟机的内部事件。VMDriver、Virtuoso、VMST等是此类监控架构的典型代表。VMDriver,它打破了事件截获与语义分析均部署至VMM的限制，将语义分析部署至特权域，并借鉴Linux设备驱动模型，对不同的操作系统类型加载相应的驱动，以达到解析不同种类操作系统语义的目的。VMDriver只需要针对特定的操作系统开发相应的驱动程序，即可完成对此类操作系统的监控，提高了监控的灵活性。Virtuoso利用系统指令痕迹的动态切片技术(dynamic slicingTechnique),快速自动生成虚拟机自省(Virtual Machine Introspect1n,简称VMI)工具，减少人工操作，减少了语义鸿沟给虚拟机自省技术带来的限制因素。VMST能够自动生成VMItool，自动通过语义鸿沟。VMST在VMM层利用系统全指令监测技术自动识别与虚拟机自省相关的内核数据结构，并重定向至分析系统，从而实现VMI tool的自动生成。此类方式不易被入侵者发现，能够在一定程度上保证检测手段的有效性，然而VMI tool所能获取的信息直接关系到解析的正确性，同时鲜有VMI tool与主机行为解析联合的情况，大多集中于某一项开展研究。
[0006]已有主机行为检测方式存在的缺陷是:(I)检测手段易被入侵者发现，从而绕过检测手段，使主机行为检测失效；(2)检测手段受到主机操作系统种类的限制，难以规模化实施主机行为检测；(3)未考虑虚拟化技术的动态变化特点，不能动态检测主机行为。


【发明内容】

[0007]本发明技术解决问题:克服现有技术的不足，提供一种基于虚拟化的主机行为主动检测系统及方法，本发明适用于目前所有的虚拟化平台，通过集中管理控制、动态更新等方式，及时有效获取VM的主机行为信息，提高信息获取的有效性及准确性；同时提供外部分析接口，以满足其他监测需求。
[0008]本发明技术解决方案:一种基于虚拟化的主机行为实时主动检测系统,包括:系统管理模块、VMI tools维护模块、行为检测模块及动态更新模块；其中:
[0009]系统管理模块，根据虚拟计算环境的仿真服务器信息，完成主机行为主动检测系统的部署；接收并记录动态更新模块递送的VM状态更新信息；根据VM状态更新信息及用户对主机行为的检测需求，向动态更新模块递送主机行为检测需求；接收并记录行为检测模块递送的用户关心的敏感行为数据；
[0010]VMI toos维护模块，接收动态更新模块递送的VM状态更新信息；待接收VM启动信息及迁移信息时，判断当前是否存在相应VM的VMI tool，若不存在，则动态向此VM部署VMI tool生成工具，待VMI tool生成完毕时，将对应的VMI tool更新至VMI tools维护模块，并迅速完成部署；向行为检测模块提供VMI tools ；
[0011]行为检测模块，接收动态更新模块递送的行为解析模型的更新信息，完成行为解析模型的更新；接收从各个VM获取的内存数据，并从VMI tools维护模块获取与VM对应的VMI tool，完成机器底层语义与操作系统高层语义的转换，借助行为解析模型提取用户关心的敏感数据，并将敏感数据递送给系统管理模块；
[0012]动态更新模块，接收VM的状态信息，进而获取VM状态的基础信息，并将此类信息递送给系统管理模块；根据系统管理模块递送的主机行为检测需求，动态更新行为解析模型，并向行为检测模块递送更新后的行为解析模型。
[0013]基于虚拟化的主机行为实时主动检测方法，其特征在于实现步骤如下:
[0014](I)系统管理模块根据虚拟计算环境的仿真服务器资源列表，控制各个仿真服务器的检测点部署；
[0015](2)各个仿真服务器的检测点根据已有的VM信息以及行为解析模型初始化动态更新模块、VMI tools维护模块以及行为解析模块，完成行为检测的初始化工作；
[0016](3)行为解析模块定期从VMM获取VM的内存数据，借助VMI tools维护模块提供的VMI tool完成行为解析工作,并将行为解析数据上传至系统管理模块；
[0017](4)动态更新模块实时接收VMM提供的VM状态变化信息，并将详细信息反馈给系统管理模块；系统管理模块根据VM状态变化信息及用户的检测需求，将新检测需求递送至动态更新模块；动态更新模块接收到新检测需求，与已有的行为检测模型匹配，完成行为检测模型的更新；
[0018](5)系统管理模块根据VM状态变化信息，完成相应状态变化的更新操作:VM启动时，控制VMI tools维护模块完成相应VMI tool的动态生成及更新对应关系；VM发生迁移时，控制源迁移节点的检测点关闭及目的迁移节点的检测点新建及启动等；VM关闭时，控制检测点的关闭。
[0019]本发明与现有技术相比的优点在于:
[0020](I)本发明使用集中管理控制模块，集中管理VM信息、行为检测需求以及VMItool信息等，能够有效适应VM的动态变化，自动调整检测点的部署位置，减少VMI tools的维护代价，提高行为检测的有效性；
[0021](2)本发明采用动态更新模块，实时检测VM的状态变化，及时准确获知VM的状态信息，避免资源浪费，提高行为检测的有效性；同时能够动态接收用户的检测需求，更新行为解析模型，提高行为检测的及时性；
[0022](3)本发明具备VMI tools动态生成功能，能够在VMI tool获取失败时，由VMItools维护模块根据VM信息动态生成相应的VMI tool,并反馈给系统管理模块，以备其他检测点使用，提高了行为检测的适用性；
[0023](4)本发明提出了一种通用的主机行为检测框架，能有效屏蔽不同虚拟化平台的差异性，适用于已存在的所有虚拟化平台。

【专利附图】

【附图说明】
[0024]图1为本发明基于虚拟化的主机行为主动检测系统框图；
[0025]图2为本发明中系统管理模块流程图；
[0026]图3为本发明中VMI tools维护模块流程图；
[0027]图4为本发明中行为检测模块流程图；
[0028]图5本发明中动态更新模块流程图。

【具体实施方式】
[0029]本发明同时公开了一种基于虚拟化的主机行为实时主动检测系统,主要由系统管理模块、VMI tools维护模块、行为检测模块及动态更新模块4部分组成。
[0030]下面，结合具体的实施例对本发明进行详细说明。
[0031]如图1所示，本发明由系统管理模块、VMI tools维护模块、行为检测模块和动态更新模块四部分组成。其中系统管理模块主要根据虚拟计算环境完成主机行为主动检测点的部署、控制主机行为解析模型的更新以及存储主机行为检测数据；VMI tools维护模块主要完成VMI tools的快速匹配、VMI tools的动态生成以及VMI tools的快速部署；行为检测模块主要完成主机内存数据获取、借助VMI tools将机器底层语义转化为操作系统高层语义、通过行为解析模型获取用户关注的敏感数据、提供外部分析接口 ；动态更新模块主要完成VM状态(包括启动、关闭、迁移等)维护、VM基础信息获取、行为解析模型维护(包括更新行为解析模型、删除行为解析模型、新建行为解析模型等)。
[0032]各模块间的数据流转如下:
[0033](I)系统管理模块:系统管理模块根据虚拟计算环境的仿真服务器信息，完成主机行为主动检测系统的部署；接收并记录动态更新模块递送的VM状态更新信息；根据VM状态更新信息及用户对主机行为的检测需求，向动态更新模块递送主机行为检测需求；接收并记录行为检测模块递送的用户关心的敏感行为数据；
[0034](2) VMI toos维护模块:VMI tools维护模块接收动态更新模块递送的VM状态更新信息；待接收VM启动信息及迁移信息时，判断当前是否存在相应VM的VMI tool，若不存在，则动态向此VM部署VMI tool生成工具，待VMI tool生成完毕时，将对应的VMI tool更新至VMI tools维护模块，并迅速完成部署；向行为检测模块提供VMI tools ；
[0035](3)行为检测模块:行为检测模块接收动态更新模块递送的行为解析模型的更新信息，完成行为解析模型的更新；接收从各个VM获取的内存数据，并从VMI tools维护模块获取与VM对应的VMI tool，完成机器底层语义与操作系统高层语义的转换，借助行为解析模型提取用户关心的敏感数据，并将敏感数据递送给系统管理模块；
[0036](4)动态更新模块:动态更新模块接收VM的状态信息，进而获取VM状态的基础信息，并将此类信息递送给系统管理模块；根据系统管理模块递送的主机行为检测需求，动态更新行为解析模型，并向行为检测模块递送更新后的行为解析模型。
[0037]本发明同时公开了一种针对Iinux操作系统的VMI tools动态生成方法，该方法能够在相应VMI tool不存在的情况下，根据VM动态生成VMI tool。该方法的主要思想如下:
[0038]在检测到VM启动或迁移时，判断针对此VM的VMI tool是否存在，若存在，则使用此VMI tool开始检测此VM的主机行为；若不存在，则采用镜像文件读写方法获取此VM镜像文件的分区开始位置，同时向VM发送关闭命令，控制此VM关闭；利用镜像文件的分区开始位置将VM镜像文件挂载在仿真服务器使用，修改此VM的开机启动脚本，加入一条开机自启动项；发送VM启动命令，控制VM启动；VM启动后，新添加的启动项自动编译并加载VMItool获取module ；VMI tool获取module读取当前内存的struct task_struct结构体信息，从中获取struct task_struct结构体中各个变量的偏移地址,如comm、stack、tasks、mm、mm->mmap等，同时读取system, map文件,并从中获取变量偏移地址，两者相互校正、相互补充，最终形成完整的VMI tool文件；发送VM关闭命令，控制VM关闭JtVM关闭后，如同读取本地文件一样，从VM镜像文件中读取生成的VMI tool文件，至此VMI tool自动获取完毕；恢复VM原有的开机启动项，发送VM启动命令，控制VM启动，使VM正常工作；利用生成的VMI tool检测此类VM的主机行为。
[0039]本发明同时公开了一种主机行为检测方法，该方法能够主动获取VM的整块内存信息，借助VMI tools,分析VM的整块内存数据，并从中提炼操作系统高层语义信息，如进程信息、文件信息等。该方法的主要思想如下:
[0040]借助Libvmi开源工具定期从VMM处获取各个VM的内存虚拟地址，并转化为仿真服务器的物理内存地址，获取各个VM的详细内存信息；将VM的内存信息与VM tool中的各个变量偏移地址匹配，从而将内存信息转化为用户可读的文件信息及进程信息，包括文件与进程的关联关系，进程间的关联关系等；将提取的完整文件信息及进程信息保存并提供给其他外部分析接口，以备详细分析使用；前后对比分析文件信息及进程信息，即可提取出文件的打开关闭以及进程的创建销毁等；将提取的信息交由行为解析模型分析，可获取更为详尽的信息，如特定进程追踪溯源模型能够提取进程在整个生命周期内的完整动作。
[0041]图2给出了系统管理模块的流程图，系统管理模块的具体实施步骤如下:
[0042](I)系统管理模块拥有并使用管理控制中心控制与其他模块的数据交互、控制主机行为检测点的部署、数据接收存储以及主机行为检测的需求传达；
[0043](2)管理控制中心下发控制部署指令，读取虚拟计算环境的仿真服务器资源列表，控制主机行为检测点的部署位置；
[0044](3)设置多线程接收中心，同步接收多个VM动态更新模块提交的VM动态更新数据以及检测的主机行为数据；
[0045](4)根据VM动态更新数据，由管理控制中心控制主机行为检测点的动态调整:当新启动VM时，核查是否适用于此类VM的VMI tool,若存在，则将VMI tool下发至VMItools维护模块，若不存在，则将VM动态更新数据下发至VMI tools维护模块，由VMI tools维护模块动态生成VMI tool ;当VM发生迁移时，由系统管理模块控制迁移源节点的检测点关闭，释放源检测点的资源，控制迁移目的点的检测点创建并启动^VM发生关闭时，由系统管理模块控制检测点关闭，释放资源；
[0046](5)接收用户提交的新主机行为检测需求，检测新的检测需求是否已更新至至检测点，若尚未更新，则将主机行为检测需求递送给动态更新模块处理；
[0047](6)直至管理控制中心接收到退出指令，控制主机行为检测点的销毁，退出主机行为主动检测系统。
[0048]图3给出了 VMI tools维护模块的流程图，VMI tools维护模块的具体实施步骤如下:
[0049](I)VMI tools维护模块拥有并使用维护控制中心控制与其他模块的数据交互、控制VMI tool的动态获取及部署、向行为检测模块提供相应的VMI tool ；
[0050](2)维护控制中心首先控制已有VMI tools的部署，并存储记录VMI tools与VM种类的对应关系；
[0051](3)维护控制中心接收到系统管理模块递交的VMI tool更新信息时，记录VMItool与VM的对应关系，并迅速控制VMI tool的部署。接收到系统管理模块提交的VM启动信息时，检测本地是否存在适用于此类VM的VM tools，若存在，则记录VM与VM tool的对应关系；并向系统管理模块反馈VMI tool信息；若不存在，则向VM中部署VMI tools生成脚本，控制VMI tool的动态生成，待VMI tool生成完毕时，控制VMI tool的部署，并记录VMI tool的适用情况，同时记录VMI tool与VM的对应关系，同时向系统管理模块反馈VMItool信息。接收到系统管理模块递交的VM迁移信息时，在迁移源节点，释放VM与VMI tool的对应关系，在迁移目的节点，加载迁移VM与VMI tool的对应关系，以检测迁移的VM。接收到系统管理模块递交的VM关闭信息时，释放VM与VMI tool的对应关系；
[0052](4)维护控制中心接收到行为检测模块递交的VMI tools请求时，检测VM与VMItools的对应关系数据，若存在适用于VM的VMI tool，则将其提供给行为检测模块使用；若不存在，则记录错误日志，以备后续继续生成适用于此类VM的VMI tools。
[0053]图4给出了行为检测模块的流程图，行为检测模块的具体实施步骤如下:
[0054](I)行为检测模块拥有并使用行为检测控制中心控制与其他模块的数据交互、控制主机行为的检测、控制检测点行为解析模型的更新；
[0055](2)行为检测模块定期从VMM获取VM的内存数据，待获取VM的内存数据后，向VMItools维护模块提交VMI tool请求；若取得适用于VM的VMI tool，则利用VMI tool将VM的内存数据转化为操作系统高层语义，即进程信息及文件信息，保存原始数据，供外部接口使用；若不存在适用于VM的VMI tools，则丢弃内存数据，不做处理；
[0056](3)原始进程信息及文件信息经行为解析模型的一一处理分析后，由行为检测控制中心控制分析数据存储；
[0057](4)行为检测控制中心接收到动态更新模块递交的行为检测需求，判断是否已存在递交的行为检测需求，若不存在，则将其更新至行为解析模型；若存在，则不做任何处理。
[0058]图5给出了动态更新模块的流程图，动态更新模块的具体实施步骤如下:
[0059](I)动态更新模块拥有并使用动态更新控制中心控制与其他模块的数据交互、控制VM基础信息的获取、控制主机行为检测需求的更新；
[0060](2)动态更新控制中心实时接收VMM提供的VM变化信息，利用Libvirt获取VM状态变化的详细信息，并将其递送至系统管理模块，若VM启动或迁移，则将VM版本信息递送至VMI tools维护模块分析使用，若VM关闭时，由管理控制模块控制相应检测点的资源释放；
[0061](3)动态更新控制中心实时接收系统管理模块递交的主机行为检测要求，将行为检测需求与已有的行为解析模型匹配，若存在针对VM的解析模型，则将新的检测需求更新至相应VM的检测模型中；若不存在相应VM的解析模型，则根据行为检测需求新建针对当前VM的解析模型，完成行为解析模型的更新工作。
[0062]提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。
【权利要求】
1.一种基于虚拟化的主机行为实时主动检测系统，其特征在于包括:系统管理模块、VMI tools维护模块、行为检测模块及动态更新模块；其中: 系统管理模块，根据虚拟计算环境的仿真服务器信息，完成主机行为主动检测系统的部署；接收并记录动态更新模块递送的VM状态更新信息；根据VM状态更新信息及用户对主机行为的检测需求，向动态更新模块递送主机行为检测需求；接收并记录行为检测模块递送的用户关心的敏感行为数据； VMI toos维护模块，接收动态更新模块递送的VM状态更新信息；待接收VM启动信息及迁移信息时，判断当前是否存在相应VM的VMI tool，若不存在，则动态向此VM部署VMItool生成工具，待VMI tool生成完毕时，将对应的VMI tool更新至VMI tools维护模块，并迅速完成部署；向行为检测模块提供VMI tools ； 行为检测模块，接收动态更新模块递送的行为解析模型的更新信息，完成行为解析模型的更新；接收从各个VM获取的内存数据，并从VMI tools维护模块获取与VM对应的VMItool，完成机器底层语义与操作系统高层语义的转换，借助行为解析模型提取用户关心的敏感数据，并将敏感数据递送给系统管理模块； 动态更新模块，接收VM的状态信息，进而获取VM状态的基础信息，并将此类信息递送给系统管理模块；根据系统管理模块递送的主机行为检测需求，动态更新行为解析模型，并向行为检测模块递送更新后的行为解析模型。
2.根据权利要求1所述的一种基于虚拟化的主机行为实时主动检测系统,其特征在于:所述系统管理模块实施如下: (1)系统管理模块拥有并使用管理控制中心控制与其他模块的数据交互、控制主机行为检测点的部署、数据接收存储以及主机行为检测的需求传达； (2)管理控制中心下发控制部署指令，读取虚拟计算环境的仿真服务器资源列表，控制主机行为检测点的部署位置； (3)设置多线程接收中心，同步接收多个VM动态更新模块提交的VM动态更新数据以及检测的主机行为数据； (4)根据VM动态更新数据，由管理控制中心控制主机行为检测点的动态调整:当新启动VM时，核查是否存在适用于此类VM的VMI tool,若存在，则将VMI tool下发至VMItools维护模块，若不存在，则将VM动态更新数据下发至VMI tools维护模块，由VMI tools维护模块动态生成VMI tool ;当VM发生迁移时，系统管理模块控制迁移源节点的检测点关闭，释放源检测点的资源，控制迁移目的点的检测点创建并启动；当VM发生关闭时，系统管理模块控制检测点关闭，释放资源； (5)接收用户提交的新主机行为检测需求，检测新的检测需求是否已更新至至检测点，若尚未更新，则将主机行为检测需求递送给动态更新模块处理； (6)直至管理控制中心接收到退出指令，控制主机行为检测点的销毁，退出主机行为主动检测系统。
3.根据权利要求1所述的一种基于虚拟化的主机行为实时主动检测系统,其特征在于:所述VMI tools维护模块具体实现如下: (I)VMI tools维护模块拥有并使用维护控制中心控制与其他模块的数据交互、控制VMI tool的动态获取及部署、向行为检测模块提供相应的VMI tool ； (2)维护控制中心首先控制已有VMItools的部署，并存储记录VMI tools与VM种类的对应关系； (3)维护控制中心接收到系统管理模块递交的VMItool更新信息时，记录VMI tool与VM的对应关系，并迅速控制VMI tool的部署；接收到系统管理模块提交的VM启动信息时，检测本地是否存在适用于此类VM的VM tools，若存在，则记录VM与VM tool的对应关系，并向系统管理模块反馈VMI tool信息；若不存在，则向VM中部署VMI tools生成脚本，控制VMI tool的动态生成，待VMI tool生成完毕时，控制VMI tool的部署，并记录VMI tool的适用情况，同时记录VMI tool与VM的对应关系，同时向系统管理模块反馈VMI tool信息；接收到系统管理模块递交的VM迁移信息时，在迁移源节点，释放VM与VMI tool的对应关系，在迁移目的节点，加载迁移VM与VMI tool的对应关系，以检测迁移的VM。接收到系统管理模块递交的VM关闭信息时，释放VM与VMI tool的对应关系； (4)维护控制中心接收到行为检测模块递交的VMItools请求时，检测VM与VMI tools的对应关系数据，若存在适用于VM的VMI tool，则将其提供给行为检测模块使用；若不存在，则记录错误日志，以备后续继续生成适用于此类VM的VMI tools。
4.根据权利要求1所述的一种基于虚拟化的主机行为实时主动检测系统,其特征在于:所述行为检测模块的具体实现如下: (1)行为检测模块拥有并使用行为检测控制中心控制与其他模块的数据交互、控制主机行为的检测、控制检测点行为解析模型的更新； (2)行为检测模块定期从VMM获取VM的内存数据，待获取VM的内存数据后，向VMItools维护模块提交VMI tool请求；若取得适用于VM的VMI tool，则利用VMI tool将VM的内存数据转化为操作系统高层语义，即进程信息及文件信息，保存原始数据，供外部接口使用；若不存在适用于VM的VMI tools，则丢弃内存数据，不做处理； (3)原始进程信息及文件信息经行为解析模型的一一处理分析后，由行为检测控制中心控制分析数据存储； (4)行为检测控制中心接收到动态更新模块递交的行为检测需求，判断是否已存在递交的行为检测需求，若不存在，则将其更新至行为解析模型；若存在，则不做任何处理。
5.根据权利要求1所述的一种基于虚拟化的主机行为实时主动检测系统,其特征在于: 所述动态更新模块的具体实现如下: (1)动态更新模块拥有并使用动态更新控制中心控制与其他模块的数据交互、控制VM基础信息的获取、控制主机行为检测需求的更新； (2)动态更新控制中心实时接收VMM提供的VM变化信息，利用Libvirt获取VM状态变化的详细信息，并将其递送至系统管理模块，若VM启动或迁移，则将VM版本信息递送至VMI tools维护模块分析使用，若VM关闭时，由系统管理模块控制相应检测点的资源释放； (3)动态更新控制中心实时接收系统管理模块递交的主机行为检测要求，将行为检测需求与已有的行为解析模型匹配，若存在针对VM的解析模型，则将新的检测需求更新至相应VM的检测模型中；若不存在相应VM的解析模型，则根据行为检测需求新建针对当前VM的解析模型，完成行为解析模型的更新工作。
6.一种基于虚拟化的主机行为实时主动检测方法，其特征在于实现步骤如下: (1)系统管理模块根据虚拟计算环境的仿真服务器资源列表，控制各个仿真服务器的检测点部署； (2)各个仿真服务器的检测点根据已有的VM信息以及行为解析模型初始化动态更新模块、VMI tools维护模块以及行为解析模块,完成行为检测的初始化工作； (3)行为解析模块定期从VMM获取VM的内存数据，借助VMItools维护模块提供的VMItool完成行为解析工作，并将行为解析数据上传至系统管理模块； (4)动态更新模块实时接收VMM提供的VM状态变化信息，并将详细信息反馈给系统管理模块；系统管理模块根据VM状态变化信息及用户的检测需求，将新检测需求递送至动态更新模块；动态更新模块接收到新检测需求，与已有的行为检测模型匹配，完成行为检测模型的更新； (5)系统管理模块根据VM状态变化信息，完成相应状态变化的更新操作:VM启动时，控制VMI tools维护模块完成相应VMI tool的动态生成及更新对应关系；VM发生迁移时，控制源迁移节点的检测点关闭及目的迁移节点的检测点新建及启动-M关闭时，控制检测点的关闭。
【文档编号】G06F21/53GK104462955SQ201410830426
【公开日】2015年3月25日 申请日期:2014年12月25日 优先权日:2014年12月25日
【发明者】云晓春, 郝志宇, 丁振全, 张永铮, 李伦, 费海强 申请人:中国科学院信息工程研究所