虚拟机逃逸的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及一种信息技术领域,特别是涉及一种虚拟机逃逸的检测方法及装置。
【背景技术】
[0002]随着信息技术的不断发展,计算机软件开发技术越来越普及,其中,虚拟机逃逸变成研发人员急需解决的问题。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。
[0003]目前,虚拟机中的程序只能在虚拟机中运行,当虚拟机系统出现漏洞时,虚拟机中的程序将突破虚拟机的界限,读取虚拟机以外的资源。虚拟机逃逸可以通过虚拟出一个设备,将逃逸程序携带进宿主机中,对宿主机中的资源进行占用;还可以虚拟出一个仿真指令进行携带逃逸程序。无论哪种逃逸方式都不是系统运行的正常情况,会对宿主机造成安全隐患,所以要及时对虚拟机逃逸进行防护。
【发明内容】
[0004]有鉴于此,本发明提供了一种虚拟机逃逸的检测方法及装置,主要目的在于可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0005]依据本发明一个方面,提供了一种虚拟机逃逸的检测方法,该方法包括:
[0006]获取虚拟机中当前执行的二进制文件;
[0007]对所述二进制文件进行解析,得到对应的访问路径信息;
[0008]检测所述访问路径信息是否与预置逃逸访问路径信息匹配;
[0009]若是,则确定存在虚拟机逃逸。
[0010]依据本发明另一个方面,提供了一种虚拟机逃逸的检测装置,该装置包括:
[0011 ]获取单元,用于获取虚拟机中当前执行的二进制文件;
[0012]解析单元,用于对所述获取单元获取的二进制文件进行解析,得到对应的访问路径信息;
[0013]检测单元,用于检测所述解析单元解析得到的访问路径信息是否与预置逃逸访问路径信息匹配;
[0014]确定单元,用于若所述检测单元检测出所述访问路径信息与预置逃逸访问路径信息匹配,则确定存在虚拟机逃逸。
[0015]借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
[0016]本发明提供的一种虚拟机逃逸的检测方法及装置,首先获取虚拟机中当前执行的二进制文件;然后对所述二进制文件进行解析,得到对应的访问路径信息;最后检测所述访问路径信息是否与预置逃逸访问路径信息匹配;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的访问路径信息进行检测,具体检测是否与预置逃逸访问路径信息匹配,可以通过分析二进制文件的运行行为,判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0017]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0019]图1示出了本发明实施例提供的一种虚拟机逃逸的检测方法流程示意图;
[0020]图2示出了本发明实施例提供的另一种虚拟机逃逸的检测方法流程示意图;
[0021]图3示出了本发明实施例提供的一种虚拟机逃逸的检测装置结构示意图;
[0022]图4示出了本发明实施例提供的另一种虚拟机逃逸的检测装置结构示意图。
【具体实施方式】
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]本发明实施例提供了一种虚拟机逃逸的检测方法,如图1所示,所述方法包括:
[0025]101、获取虚拟机中当前执行的二进制文件。
[0026]其中,所述二进制文件包含在ASCII及扩展ASCII字符中编写的数据或程序指令的文件。计算机文件基本上分为二种:二进制文件和ASCII(也称纯文本文件),图形文件及文字处理程序等计算机程序都属于二进制文件。这些文件含有特殊的格式及计算机代码。对于本发明实施例,所述二进制文件可以为ERF文件、驱动文件等。
[0027]需要说明的是,对于本发明实施例的执行主体可以为安装在虚拟机中的轻代理客户端,用于对虚拟机的逃逸行为进行监控。
[0028]102、对二进制文件进行解析,得到对应的访问路径信息。
[0029]其中,所述访问路径信息中包含每个路径节点对应的执行函数。所述执行函数可以为读写函数、进程创建函数等。
[0030]对于本发明实施例,通过解析得到的访问路径信息,可以确定该二进制文件对虚拟机中系统的操作过程。
[0031]103、检测访问路径信息是否与预置逃逸访问路径信息匹配。
[0032]其中,所述预置逃逸访问路径信息中包含逃逸文件的访问路径,即逃逸文件对虚拟机中系统的操作过程。所述预置逃逸访问路径信息具体可以根据实际需求进行配置。
[0033]进一步地,可以预先从云服务器中获取得到不同逃逸文件分别对应的访问路径信息,并可以保存在本地缓存中,用于进行访问路径数据的匹配校验,进而可以实现对虚拟机的逃逸行为进行检测。
[0034]104、若检测出访问路径信息与预置逃逸访问路径信息匹配,则确定存在虚拟机逃逸。
[0035]需要说明的是,当检测出访问路径信息与预置逃逸访问路径信息匹配时,可以确定当前虚拟机中存在逃逸行为,会对宿主机造成安全威胁,需要对该逃逸行为进行及时防护,并输出提示信息,用于提示用户当前虚拟机中存在逃逸行为,并已对其进行安全防护。
[0036]本发明实施例提供的一种虚拟机逃逸的检测方法,首先获取虚拟机中当前执行的二进制文件;然后对所述二进制文件进行解析,得到对应的访问路径信息;最后检测所述访问路径信息是否与预置逃逸访问路径信息匹配;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的访问路径信息进行检测,具体检测是否与预置逃逸访问路径信息匹配,可以通过分析二进制文件的运行行为,判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0037]本发明实施例提供了另一种虚拟机逃逸的检测方法,如图2所示,所述方法包括:
[0038]201、获取虚拟机中当前执行的二进制文件。
[0039]其中,所述二进制文件的概念解释可以参考步骤101中的相应描述,在此不再赘述。
[0040]需要说明的是,对于本发明实施例的执行主体可以为安装在虚拟机中的轻代理客户端,用于对虚拟机的逃逸行为进行监控。
[0041]对于本发明实施例,所述步骤201之前还可以包括:检测执行所述二进制文件时是否触发执行预置关键函数;若是,则确定存在虚拟机逃逸;若否,则执行步骤201。其中,所述预置关键函数可以根据实际需求进行配置,也可以根据实际需求进行配置。所述预置关键函数可以为只有在出现虚拟机逃逸时才触发执行的函数,所述预置关键函数用于判定是否存在虚拟机的逃逸行为。
[0042]需要说明的是,在执行步骤201之前,通过检测执行所述二进制文件时是否触发执行预置关键函数,若是,则确定存在虚拟机逃逸,可以提高检测虚拟机逃逸行为的效率。进一步地,在确定存在虚拟机逃逸之后,当需要输出告警信息时,需要回溯到对应的二进制文件,以便获取告警目标。
[0043]对于本发明实施例,所述步骤201之前还可以包括:获取所述二进制文件对应的MD5(Message-Digest Algorithm 5,信息摘要算法5)值;检测所述MD5值是否与预置MD5值匹配;若是,则确定存在虚拟机逃逸;若否,则执行步骤201。所述预置MD5值可以为逃逸文件对应的MD5