虚拟机逃逸的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及一种信息技术领域,特别是涉及一种虚拟机逃逸的检测方法及装置。
【背景技术】
[0002]随着信息技术的不断发展,计算机软件开发技术越来越普及,其中,虚拟机逃逸变成研发人员急需解决的问题。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。
[0003]目前,虚拟机中的程序只能在虚拟机中运行,当虚拟机系统出现漏洞时,虚拟机中的程序将突破虚拟机的界限,读取虚拟机以外的资源。例如,虚拟机逃逸可以通过一个虚拟出的U盘,将逃逸程序携带进宿主机中,对宿主机中的资源进行占用;还可以虚拟出一个仿真指令进行携带逃逸程序。无论哪种逃逸方式都不是系统运行的正常情况,所以要及时对逃逸进行防护。
【发明内容】
[0004]有鉴于此,本发明提供了一种虚拟机逃逸的检测方法及装置,主要目的在于可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0005]依据本发明一个方面,提供了一种虚拟机逃逸的检测方法,该方法包括:
[0006]获取虚拟机中当前执行的二进制文件;
[0007]计算所述二进制文件对应的MD5值;
[0008]检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;
[0009]若是,则确定存在虚拟机逃逸。
[0010]依据本发明另一个方面,提供了一种虚拟机逃逸的检测装置,该装置包括:
[0011 ]获取单元,用于获取虚拟机中当前执行的二进制文件;
[0012]计算单元,用于计算所述获取单元获取的二进制文件对应的MD5值;
[0013]检测单元,用于检测所述计算单元计算的MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;
[0014]确定单元,用于若所述检测单元检测出所述MD5值与预设逃逸列表中的预置MD5值匹配,则确定存在虚拟机逃逸。
[0015]借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
[0016]本发明提供的一种虚拟机逃逸的检测方法及装置,首先获取虚拟机中当前执行的二进制文件;然后计算所述二进制文件对应的MD5值;最后检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的MD5值,具体检测是否与预设逃逸列表中的预置MD5值匹配,可以判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0017]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0018]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0019]图1示出了本发明实施例提供的一种虚拟机逃逸的检测方法流程示意图;
[0020]图2示出了本发明实施例提供的另一种虚拟机逃逸的检测方法流程示意图;
[0021]图3示出了本发明实施例提供的一种虚拟机逃逸的检测装置结构示意图;
[0022]图4示出了本发明实施例提供的另一种虚拟机逃逸的检测装置结构示意图。
【具体实施方式】
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]本发明实施例提供了一种虚拟机逃逸的检测方法,如图1所示,所述方法包括:
[0025]101、获取虚拟机中当前执行的二进制文件。
[0026]其中,所述二进制文件包含在ASCII及扩展ASCII字符中编写的数据或程序指令的文件。计算机文件基本上分为二种:二进制文件和ASCII(也称纯文本文件),图形文件及文字处理程序等计算机程序都属于二进制文件。这些文件含有特殊的格式及计算机代码。对于本发明实施例,所述二进制文件可以为ERF文件、驱动文件等。
[0027]需要说明的是,对于本发明实施例的执行主体可以为安装在虚拟机中的轻代理客户端,用于对虚拟机的逃逸行为进行监控。
[0028]102、计算二进制文件对应的MD5值。
[0029]其中,所述MD5(Message_Digest Algorithm 5,信息摘要算法5)是计算机广泛使用的散列算法之一。
[0030]103、检测MD5值是否与预设逃逸列表中的预置MD5值匹配。
[0031 ]其中,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值。
[0032]进一步地,可以预先从云服务器中获取得到不同逃逸文件分别对应的预置MD5值,并可以保存在本地缓存中的预设逃逸列表当中,用于进行访数据匹配校验,进而可以实现对虚拟机的逃逸行为进行检测。
[0033]104、若检测出MD5值与预设逃逸列表中的预置MD5值匹配,则确定存在虚拟机逃逸。
[0034]需要说明的是,当检测出MD5值与预设逃逸列表中的预置MD5值匹配时,可以确定当前虚拟机中存在逃逸行为,会对宿主机造成安全威胁,需要对该逃逸行为进行及时防护,并输出提示信息,用于提示用户当前虚拟机中存在逃逸行为,并已对其进行安全防护。
[0035]本发明实施例提供的一种虚拟机逃逸的检测方法,首先获取虚拟机中当前执行的二进制文件;然后计算所述二进制文件对应的MD5值;最后检测所述MD5值是否与预设逃逸列表中的预置MD5值匹配,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值;若是,则确定存在虚拟机逃逸。本发明通过对虚拟机当前执行的二进制文件对应的MD5值,具体检测是否与预设逃逸列表中的预置MD5值匹配,可以判断出虚拟机是否存在逃逸,进而可以及时检测出虚拟机的逃逸行为,以便进行安全防护。
[0036]本发明实施例提供了另一种虚拟机逃逸的检测方法,如图2所示,所述方法包括:
[0037]201、获取虚拟机中当前执行的二进制文件。
[0038]其中,所述二进制文件的概念解释可以参考步骤101中的相应描述,在此不再赘述。
[0039]需要说明的是,对于本发明实施例的执行主体可以为安装在虚拟机中的轻代理客户端,用于对虚拟机的逃逸行为进行监控。
[0040]202、计算二进制文件对应的MD5值。
[0041 ] 203、检测MD5值是否与预设逃逸列表中的预置MD5值匹配。
[0042]其中,所述预设逃逸列表中保存有不同逃逸文件分别对应的预置MD5值。
[0043]进一步地,在执行所述步骤203之后,还可以包括:若检测出二进制文件对应的MD5值与预设逃逸列表中的预置MD5值不匹配,则提取所述二进制文件中的关键片段信息;检测所述关键片段信息与预置关键片段信息之间的匹配度是否大于或等于预设阈值;若是,则确定存在虚拟机逃逸。其中,所述关键片段信息中包含多个关键片段,所述预置关键片段信息中包含多个预置关键片段,所述预置关键片段为可以确定存在逃逸行为的关键片段,具体可以根据实际需求进行配置。所述预设阈值可以按照用户的实际需求进行配置,也可以由系统默认进行配置,本发明实施例不做限定。
[0044]例如,提取的二进制文件的关键片段信息中包含100个关键片段,预设阈值为70%,将该关键片段信息与预置关键片段信息进行匹配,当检测出75个关键片段与预置关键片段信息中的关