测所述执行函数是否分别与预置访问路径信息中相对应预置执行函数匹配。
[0080] 所述检测单元43,还可以用于若所述MD5值与预设逃逸列表中的预置MD5值都不匹配,则检测执行所述二进制文件时是否触发执行预置关键函数。
[0081 ] 所述确定单元44,还可以用于若所述检测单元43检测出执行所述二进制文件时触发了执行预置关键函数,则确定存在虚拟机逃逸。
[0082]进一步地,所述装置还包括:输出单元47。
[0083]所述输出单元47,可以用于输出告警信息。
[0084]进一步地,所述装置还包括:保存单元48。
[0085]所述获取单元41,还可以用于从云服务器中获取不同逃逸文件分别对应的预置MD5 值。
[0086]所述保存单元48,可以用于将所述预置MD5值保存在所述预设逃逸列表中。
[0087]进一步地,所述装置还包括:更新单元49。
[0088]所述检测单元43,还可以用于检测所述预置MD5值是否存在更新。
[0089]所述更新单元49,用于若所述检测单元43检测出所述预置MD5值存在更新,则对所述预设逃逸列表进行更新。
[0090]需要说明的是,本发明实施例提供的另一种虚拟机逃逸的检测装置所涉及各功能单元的其他相应描述,可以参考图2中的对应描述,在此不再赘述。
[0091]本发明实施例提供的另一种虚拟机逃逸的检测装置,首先获取虚拟机中当前执行的二进制文件;然后计算所述二进制文件对应的MD5值;最后检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的MD5值,具体检测是否与预设逃逸列表中的预置MD5值匹配,可以判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0092]本发明的实施例公开了:
[0093]Al、一种虚拟机逃逸的检测方法,包括:
[0094]获取虚拟机中当前执行的二进制文件;
[0095]计算所述二进制文件对应的信息摘要算法MD5值;
[0096]检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;
[0097]若是,则确定存在虚拟机逃逸。
[0098]A2、根据Al所述的虚拟机逃逸的检测方法,所述检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配之后,所述方法还包括:
[0099]若否,则提取所述二进制文件中的关键片段信息;
[0100]检测所述关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值;
[0101]若是,则确定存在虚拟机逃逸。
[0102]A3、根据A2所述的虚拟机逃逸的检测方法,所述检测所述关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值之后,所述方法还包括:
[0103]若否,则对所述二进制文件进行解析,得到对应的访问路径信息;
[0104]检测所述访问路径信息是否与预置访问路径信息匹配;
[0105]若是,则确定存在虚拟机逃逸。
[0106]A4、根据A3所述的虚拟机逃逸的检测方法,所述访问路径信息中包含每个访问路径节点对应的执行函数,所述检测所述访问路径信息是否与预置访问路径信息匹配包括:
[0107]检测所述执行函数是否分别与预置访问路径信息中相对应预置执行函数匹配。
[0108]A5、根据Al所述的虚拟机逃逸的检测方法,所述检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配之后,所述方法还包括:
[0109]若否,则检测执行所述二进制文件时是否触发执行预置关键函数;
[0110]若是,则确定存在虚拟机逃逸。
[0111]A6、根据Al所述的虚拟机逃逸的检测方法,所述若是,则确定存在虚拟机逃逸之后,所述方法还包括:
[0112]输出告警信息。
[0113]A7、根据Al所述的虚拟机逃逸的检测方法,所述方法还包括:
[0114]从云服务器中获取不同逃逸文件分别对应的预置MD5值;
[0115]将所述预置MD5值保存在所述预设逃逸列表中。
[0116]AS、根据A7所述的虚拟机逃逸的检测方法,所述将所述预置MD5值保存在所述预设逃逸列表中之后,所述方法还包括:
[0117]检测所述预置MD5值是否存在更新;
[0118]若是,则对所述预设逃逸列表进行更新。
[0119]B9、一种虚拟机逃逸的检测装置,包括:
[0120]获取单元,用于获取虚拟机中当前执行的二进制文件;
[0121]计算单元,用于计算所述获取单元获取的二进制文件对应的MD5值;
[0122]检测单元,用于检测所述计算单元计算的MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;
[0123]确定单元,用于若所述检测单元检测出所述MD5值与预设逃逸列表中的预置MD5值匹配,则确定存在虚拟机逃逸。
[0124]B10、根据B9所述的虚拟机逃逸的检测装置,所述装置还包括:提取单元;
[0125]所述提取单元,用于若所述检测单元检测出所述MD5值与预设逃逸列表中的预置MD5值都不匹配,则提取所述二进制文件中的关键片段信息;
[0126]所述检测单元,还用于检测所述提取单元提取的关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值;
[0127]所述确定单元,还用于若所述检测单元检测出所述关键片段信息与预置关键片段信息之间的匹配度大于或等于预设阈值,则确定存在虚拟机逃逸。
[0128]B11、根据BlO所述的虚拟机逃逸的检测装置,所述装置还包括:解析单元;
[0129]所述解析单元,用于若所述检测单元检测出所述关键片段信息与预置关键片段信息之间的匹配度小于预设阈值,则对所述二进制文件进行解析,得到对应的访问路径信息;
[0130]所述检测单元,还用于检测所述解析单元解析到的访问路径信息是否与预置访问路径信息匹配;
[0131]所述确定单元,还用于若所述检测单元检测出所述访问路径信息与预置访问路径信息匹配,则确定存在虚拟机逃逸。
[0132]B12、根据Bll所述的虚拟机逃逸的检测装置,所述访问路径信息中包含每个访问路径节点对应的执行函数,
[0133]所述检测单元,具体用于检测所述执行函数是否分别与预置访问路径信息中相对应预置执行函数匹配。
[0134]B13、根据B9所述的虚拟机逃逸的检测装置,
[0135]所述检测单元,还用于若所述MD5值与预设逃逸列表中的预置MD5值都不匹配,则检测执行所述二进制文件时是否触发执行预置关键函数;
[0136]所述确定单元,还用于若所述检测单元检测出执行所述二进制文件时触发了执行预置关键函数,则确定存在虚拟机逃逸。
[0137]B14、根据B9所述的虚拟机逃逸的检测装置,所述装置还包括:
[0138]输出单元,用于输出告警信息。
[0139]B15、根据B9所述的虚拟机逃逸的检测装置,所述装置还包括:保存单元;
[0140]所述获取单元,还用于从云服务器中获取不同逃逸文件分别对应的预置MD5值;
[0141 ]所述保存单元,用于将所述预置MD5值保存在所述预设逃逸列表中。
[0142]B16、根据B15所述的虚拟机逃逸的检测装置,所述装置还包括:更新单元;
[0143]所述检测单元,还用于检测所述预置MD5值是否存在更新;
[0144]所述更新单元,用于若所述检测单元检测出所述预置MD5值存在更新,则对所述预设逃逸列表进行更新。
[0145]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述