键片段匹配时,可以计算出该关键片段信息与预置关键片段信息之间的匹配度为75%,大于预设阈值,确定存在虚拟机逃逸行为。
[0045]需要说明的是,在执行步骤203之后,在检测出二进制文件对应的MD5值与预设逃逸列表中的预置MD5值不匹配的情况下,通过检测二进制文件中的关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值,若是,则确定虚拟机的逃逸行为,可以提尚检测虚拟机逃逸彳丁为的准确性。
[0046]再进一步地,在检测所述关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值之后,还可以包括:若检测出所述关键片段信息与预置关键片段信息之间的匹配度小于预设阈值,则对所述二进制文件进行解析,得到对应的访问路径信息;检测所述访问路径信息是否与预置访问路径信息匹配;若是,则确定存在虚拟机逃逸。其中,所述访问路径信息中包含每个访问路径节点对应的执行函数。所述预置访问路径信息中包含逃逸文件的访问路径,即逃逸文件对虚拟机中系统的操作过程。
[0047]具体地,所述检测所述访问路径信息是否与预置访问路径信息匹配包括:检测所述执行函数是否分别与预置访问路径信息中相对应预置执行函数匹配。例如,访问路径信息中包含两个访问路径节点分别对应的执行函数,具体为函数1、函数2,预置访问路径信息中包含两个访问路径节点分别对应的预置执行函数,具体为函数a、函数b,当函数I与函数a匹配,函数2与函数b匹配时,确定访问路径信息与预置访问路径信息匹配。
[0048]需要说明的是,在检测所述关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值之后,通过检测二进制文件解析得到的访问路径信息是否与预置访问路径信息匹配,若是,则确定虚拟机的逃逸行为,可以进一步地提高检测虚拟机逃逸行为的准确性,避免出现检测虚拟机逃逸行为遗漏的情况。
[0049]进一步地,在执行所述步骤203之后,还可以包括:若检测出二进制文件对应的MD5值与预设逃逸列表中的预置MD5值不匹配,则检测执行所述二进制文件时是否触发执行预置关键函数;若是,则确定存在虚拟机逃逸。其中,所述预置关键函数可以根据实际需求进行配置,也可以根据实际需求进行配置。所述预置关键函数可以为只有在出现虚拟机逃逸时才触发执行的函数,所述预置关键函数用于判定是否存在虚拟机的逃逸行为。
[0050]需要说明的是,在执行步骤203之后,在检测出二进制文件对应的MD5值与预设逃逸列表中的预置MD5值不匹配的情况下,通过检测执行所述二进制文件时是否触发执行预置关键函数;若是,则确定存在虚拟机逃逸,可以提高检测虚拟机逃逸行为的准确性。
[0051]进一步地,可以预先从云服务器中获取不同逃逸文件分别对应的预置MD5值;将所述预置MD5值保存在所述预设逃逸列表中。再进一步地,在此之后,还可以检测所述预置MD5值是否存在更新;若是,则对所述预设逃逸列表进行更新。需要说明的是,当检测出所述预置MD5值存在更新时,通过对预设逃逸列表进行及时更新,可以更准确的检测出虚拟机的逃逸行为。
[0052]204、若检测出MD5值与预设逃逸列表中的预置MD5值匹配,则确定存在虚拟机逃逸。
[0053]需要说明的是,当检测出MD5值与预设逃逸列表中的预置MD5值匹配时,可以确定当前虚拟机中存在逃逸行为,会对宿主机造成安全威胁,需要对该逃逸行为进行及时防护。
[0054]205、输出告警信息。
[0055]其中,所述告警信息可以为文本告警信息、图片告警信息、音频告警信息、视频告警信息等。
[0056]例如,当确定存在虚拟机逃逸时,可以通过轻代理客户端所在的终端设备对应的音频输出端输出告警信息,还可以通过轻代理客户端所在的终端设备对应的视频输出端输出告警信息,用于提示用户当前虚拟机中存在逃逸行为,并已对其进行安全防护。
[0057]本发明实施例提供的另一种虚拟机逃逸的检测方法,首先获取虚拟机中当前执行的二进制文件;然后计算所述二进制文件对应的MD5值;最后检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的MD5值,具体检测是否与预设逃逸列表中的预置MD5值匹配,可以判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0058]进一步地,作为图1所述方法的具体实现,本发明实施例提供了一种虚拟机逃逸的检测装置,如图3所示,所述装置包括:获取单元31、计算单元32、检测单元33、确定单元34。
[0059]所述获取单元31,可以用于获取虚拟机中当前执行的二进制文件。
[0060]所述计算单元32,可以用于计算所述获取单元31获取的二进制文件对应的MD5值。
[0061]所述检测单元33,可以用于检测所述计算单元32计算的MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值。
[0062]所述确定单元34,可以用于若所述检测单元33检测出所述MD5值与预设逃逸列表中的预置MD5值匹配,则确定存在虚拟机逃逸。
[0063]需要说明的是,本发明实施例提供的一种虚拟机逃逸的检测装置所涉及各功能单元的其他相应描述,可以参考图1中的对应描述,在此不再赘述。
[0064]本发明实施例提供的一种虚拟机逃逸的检测装置,首先获取虚拟机中当前执行的二进制文件;然后计算所述二进制文件对应的MD5值;最后检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的MD5值,具体检测是否与预设逃逸列表中的预置MD5值匹配,可以判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0065]进一步地,作为图2所述方法的具体实现,本发明实施例提供了另一种虚拟机逃逸的检测装置,如图4所示,所述装置包括:获取单元41、计算单元42、检测单元43、确定单元44 ο
[0066]所述获取单元41,可以用于获取虚拟机中当前执行的二进制文件。
[0067]所述计算单元42,可以用于计算所述获取单元41获取的二进制文件对应的MD5值。
[0068]所述检测单元43,可以用于检测所述计算单元42计算的MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值。
[0069]所述确定单元44,可以用于若所述检测单元43检测出所述MD5值与预设逃逸列表中的预置MD5值匹配,则确定存在虚拟机逃逸。
[0070]进一步地,所述装置还包括:提取单元45。
[0071]所述提取单元45,可以用于若所述检测单元43检测出所述MD5值与预设逃逸列表中的预置MD5值都不匹配,则提取所述二进制文件中的关键片段信息。
[0072]所述检测单元43,还可以用于检测所述提取单元45提取的关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值。
[0073]所述确定单元44,还可以用于若所述检测单元43检测出所述关键片段信息与预置关键片段信息之间的匹配度大于或等于预设阈值,则确定存在虚拟机逃逸。
[0074]进一步地,所述装置还包括:解析单元46。
[0075]所述解析单元46,可以用于若所述检测单元43检测出所述关键片段信息与预置关键片段信息之间的匹配度小于预设阈值,则对所述二进制文件进行解析,得到对应的访问路径信息。
[0076]所述检测单元43,还可以用于检测所述解析单元46解析到的访问路径信息是否与预置访问路径信息匹配。
[0077]所述确定单元44,还可以用于若所述检测单元43检测出所述访问路径信息与预置访问路径信息匹配,则确定存在虚拟机逃逸。
[0078]可选地,所述访问路径信息中包含每个访问路径节点对应的执行函数。
[0079]所述检测单元43,具体可以用于检