1.一种基于IO序列的虚拟机异常行为检测方法,其特征在于,包括以下步骤:
步骤1:截获虚拟机I/O模拟操作,提取所需的虚拟机IO序列并保存于数据缓存区,唤醒自定义内核线程异步采集虚拟机IO序列,恢复VMM正常执行流程;
步骤2:在VMM中实时透明地获取虚拟机进程信息,构造虚拟机进程信息与虚拟机IO序列的合理映射关系;
步骤3:将自定义内核线程中采集到的虚拟机IO序列与对应的虚拟机进程信息保存到宿主机用户层的数据库中;
步骤4:对正常情况下得到的虚拟机IO序列进行行为特征建模,生成正常特征库模型;
步骤5:对待测情况下得到的待测虚拟机IO序列构造待测模型,比对正常特征库模型,将待测样本中的恶意虚拟机IO序列与对应的虚拟机进程信息输出到检测日志。
2.如权利要求1所述的一种基于IO序列的虚拟机异常行为检测方法,其特征在于,所述步骤5具体为:
步骤5.1:检测模块读取数据库,将待测虚拟机IO序列构造生成虚拟机IO短序列;
步骤5.2:定义一个检测单元为由w个短序列构成的虚拟机IO短序列集;
步骤5.3:计算一个检测单元中虚拟机IO短序列集的状态转移概率矩阵;
步骤5.4:由状态转移概率矩阵得到一个检测单元中虚拟机IO短序列集的产生概率Pw,若Pw小于规定的阈值ε,判定当前检测单元内虚拟机IO短序列为非法,将非法虚拟机IO短序列和对应虚拟机进程信息输出到检测日志。
3.一种基于IO序列的虚拟机异常行为检测系统,其特征在于,包括异步采集模块、进程获取模块、通信模块和检测模块;
所述异步采集模块:截获虚拟机I/O模拟操作,提取所需的虚拟机IO序列并保存于数据缓存区,唤醒位于所述通信模块的自定义内核线程,恢复VMM正常执行流程;
所述进程获取模块:在VMM中实时透明地获取虚拟机进程信息,构造虚拟机进程信息与虚拟机IO序列的合理映射关系;
所述通信模块:分为通信模块服务端子模块与通信模块客户端子模块,实现数据从宿主机内核层到宿主机用户层的有效传输,并将数据保存至数据库;
所述检测模块:读取数据库中的待测虚拟机IO序列,采用马尔科夫链建模得到待测模型,比对待测模型与正常特征库并将检测结果输出到检测日志,检测日志中包括了恶意的虚拟机IO序列与对应的虚拟机进程信息。
4.如权利要求3所述的一种基于IO序列的虚拟机异常行为检测系统,其特征在于,所述通信模块采用全双工通信机制。