虚拟机逃逸的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及一种信息技术领域,特别是涉及一种虚拟机逃逸的检测方法及装置。
【背景技术】
[0002]随着信息技术的不断发展,计算机软件开发技术越来越普及,其中,虚拟机逃逸变成研发人员急需解决的问题。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。
[0003]目前,虚拟机中的程序只允许在虚拟机中运行,当虚拟机系统出现漏洞时,虚拟机中的程序将突破虚拟机的界限,读取虚拟机以外的资源,例如读取宿主机中的资源。具体地,虚拟机逃逸可以通过虚拟出一个设备,将逃逸程序携带进宿主机中,对宿主机中的资源进行占用;还可以虚拟出一个仿真指令进行携带逃逸程序。无论哪种逃逸方式都不是系统运行的正常情况,会对宿主机造成安全隐患,所以要及时对虚拟机逃逸进行防护。
【发明内容】
[0004]有鉴于此,本发明提供了一种虚拟机逃逸的检测方法及装置,主要目的在于可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0005]依据本发明一个方面,提供了一种虚拟机逃逸的检测方法,该方法包括:
[0006]接收不同虚拟机中的预置设备传递过来的多个待检测逃逸文件,以及每个待检测逃逸文件对应的虚拟机标识信息,所述待检测逃逸文件为所述预置设备中的驱动感应到执行所述待检测逃逸文件触发了执行预置关键函数时传递过来的;
[0007]对所述多个待检测逃逸文件进行解析,得到分别对应的访问路径信息;
[0008]检测所述多个待检测逃逸文件中是否存在所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件;
[0009]若存在,则根据所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件对应的虚拟机标识信息,确定与所述虚拟机标识信息对应的虚拟机中存在逃逸行为。
[0010]依据本发明另一个方面,提供了一种虚拟机逃逸的检测装置,该装置包括:
[0011]接收单元,用于接收不同虚拟机中的预置设备传递过来的多个待检测逃逸文件,以及每个待检测逃逸文件对应的虚拟机标识信息,所述待检测逃逸文件为所述预置设备中的驱动感应到执行所述待检测逃逸文件触发了执行预置关键函数时传递过来的;
[0012]解析单元,用于对所述接收单元接收的多个待检测逃逸文件进行解析,得到分别对应的访问路径信息;
[0013]检测单元,用于检测所述解析单元解析得到的多个待检测逃逸文件中是否存在所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件;
[0014]确定单元,用于若所述检测单元检测出所述多个待检测逃逸文件中存在所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件,则根据所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件对应的虚拟机标识信息,确定与所述虚拟机标识信息对应的虚拟机中存在逃逸行为。
[0015]借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
[0016]本发明提供的一种虚拟机逃逸的检测方法及装置,首先接收不同虚拟机中的预置设备传递过来的多个待检测逃逸文件,以及每个待检测逃逸文件对应的虚拟机标识信息,所述待检测逃逸文件为所述预置设备中的驱动感应到执行所述待检测逃逸文件触发了执行预置关键函数时传递过来的;然后对所述多个待检测逃逸文件进行解析,得到分别对应的访问路径信息;最后检测所述多个待检测逃逸文件中是否存在所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件;若存在,则根据所述访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件对应的虚拟机标识信息,确定与所述虚拟机标识信息对应的虚拟机中存在逃逸行为。本发明通过检测多个待检测逃逸文件中是否存在访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件,可以实现通过分析待检测逃逸文件的运行行为,确定存在逃逸行为的虚拟机对应的虚拟机标识信息,进而可以及时检测出具体哪台虚拟机存在逃逸行为,以便进行安全防护。
[0017]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0019]图1示出了本发明实施例提供的一种虚拟机逃逸的检测方法流程示意图;
[0020]图2示出了本发明实施例提供的另一种虚拟机逃逸的检测方法流程示意图;
[0021]图3示出了本发明实施例提供的一种虚拟机逃逸的检测装置结构示意图;
[0022]图4示出了本发明实施例提供的另一种虚拟机逃逸的检测装置结构示意图。
【具体实施方式】
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]本发明实施例提供了一种虚拟机逃逸的检测方法,如图1所示,所述方法包括:
[0025]101、接收不同虚拟机中的预置设备传递过来的多个待检测逃逸文件,以及每个待检测逃逸文件对应的虚拟机标识信息。
[0026]其中,所述待检测逃逸文件为所述预置设备中的驱动感应到执行所述待检测逃逸文件触发了执行预置关键函数时传递过来的。所述待检测逃逸文件可以为ERF文件、驱动文件等。所述预置设备可以按照用户的实际需求进行配置,用于对待检测逃逸文件进行拦截和传递。所述预置关键函数可以根据实际需求进行配置,也可以由系统默认进行配置。所述预置关键函数可以为虚拟机中出现异常运行行为时才触发执行的函数。所述预置关键函数用于判定是否存在待检测逃逸文件。所述虚拟机标识信息可以为虚拟机的名称、ID(Identity,身份标识号码)号等。
[0027]需要说明的是,对于本发明实施例的执行主体可以为安装在宿主机中用于监测多台虚拟机逃逸行为的客户端,具体可以将接收到的多个待检测逃逸文件放入本地缓存内的预置行为分析引擎中进行行为分析,进而确定是否存在虚拟机的逃逸行为。所述预置设备用于在虚拟机中对待检测逃逸文件进行拦截,并将其从虚拟机传递到宿主机内的该预置行为分析引擎中。
[0028]102、对多个待检测逃逸文件进行解析,得到分别对应的访问路径信息。
[0029]其中,所述访问路径信息中包含每个路径节点对应的执行函数。所述执行函数可以为读写函数、进程创建函数等。
[0030]对于本发明实施例,通过解析得到的访问路径信息,可以确定待检测逃逸文件对应的在虚拟机系统中的操作过程。
[0031]103、检测多个待检测逃逸文件中是否存在访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件。
[0032]其中,所述预置逃逸访问路径信息中包含逃逸文件的访问路径,即逃逸文件对应的在虚拟机系统中的操作过程。所述预置逃逸访问路径信息具体可以根据实际需求进行配置。
[0033]进一步地,可以预先从云服务器中获取得到不同逃逸文件分别对应的访问路径信息,并可以保存在本地缓存中,用于进行访问路径数据的匹配校验,进而可以实现对虚拟机的逃逸行为进行检测。
[0034]104、若多个待检测逃逸文件中存在访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件,则根据待检测逃逸文件对应的虚拟机标识信息,确定与虚拟机标识信息对应的虚拟机中存在逃逸行为。
[0035]例如,当前需要对5个待检测逃逸文件进行检测,这5个待检测逃逸文件分别对应的虚拟机标识为I号、2号、3号、4号、5号,当检测出5号待检测逃逸文件的访问路径信息与预置逃逸访问路径信息匹配时,可以确定5号虚拟机中出现逃逸行为。
[0036]需要说明的是,当检测出多个待检测逃逸文件中存在访问路径信息与预置逃逸访问路径信息匹配的待检测逃逸文件时,可以确定存在逃逸行为的虚拟机对应的虚拟机标识信息,进而确定具体哪台虚拟机存在逃逸行为,该逃逸行为会对宿主机造成安全威胁,需要对该逃逸行为进行及时防护。
[0037]本发明实施例提供的一种虚拟机逃逸的检测方法,首先接收不同虚拟机中的预置设备传递过来的多个待检测逃逸文件,以及每个待检测逃逸文件对应的虚拟机标识信息,所述待检测逃逸文件为所述预置设备中的驱动感应到执行所述待检测逃逸文件