虚拟机异常检测方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及虚拟机领域,具体而言,涉及一种虚拟机异常检测方法、装置及系统。
【背景技术】
[0002]随着信息技术的不断发展,云计算技术的应用变得越来越广泛,其面临的挑战也越来越多,安全性问题是其中的一个重要方面。虚拟机作为云计算基础设施中基本的计算资源,成为了恶意软件极具吸引力的攻击目标。云用户被授予特权后可以通过网络访问其虚拟机并安装任意种类任意版本的操作系统及应用,而这些操作系统和应用本身可能带有漏洞,会给系统带来风险。这些带有漏洞的虚拟机极易被攻击者攻陷,并成为攻击者攻击云系统内其他虚拟机的跳板。因此,为保证整个云系统的安全,需要确保运行在各服务器内部的虚拟机的安全。
[0003]目前,以服务器为单位的安全防护措施虽然能够保证该服务器环境的安全,但不能有效兼顾服务器内部的虚拟机的安全性。传统的基于进程分析的安全检测方法多应用于单机环境,数据源比较单一,而云环境下的分布式部署模式使得分析方法可以利用不同数据源的数据,这为进程分析提供了新的检测方法。目前基于进程分析的网络异常的安全检测方法分析的是服务器或网络的总体流量,流量大,干扰多,效率低。现在的安全检测方法在应对云环境下虚拟机的安全威胁时存在着一些不足,当某些虚拟机出现安全问题时,若不能及时发现解决则会给该服务器甚至整个系统带来完全威胁。
[0004]针对相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的问题,目前尚未提出有效的解决方案。
【发明内容】
[0005]本发明实施例提供了一种虚拟机异常检测方法、装置及系统,以至少解决相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题。
[0006]根据本发明实施例的一个方面,提供了一种虚拟机异常检测系统,该系统用于检测服务器内部的虚拟机是否异常,该系统包括:进程分析引擎,用于对服务器内虚拟机的进程信息进行分析;网络分析引擎,用于对服务器内虚拟机的进程的网络流量进行分析;以及决策引擎,分别与进程分析引擎和网络分析引擎相连接,用于根据进程分析引擎和网络分析引擎的分析结果做出安全决策。
[0007]进一步地,服务器包括:进程信息采集器,与进程分析引擎相连接,用于采集服务器内虚拟机的进程信息,并将采集到的进程信息发送至进程分析引擎进行分析;进程流量采集器,与网络分析引擎相连接,用于采集服务器内虚拟机的进程的网络流量信息,并将采集到的进程的网络流量信息发送至网络分析引擎进行分析;以及执行器,与决策引擎相连接,用于执行决策引擎做出的安全决策。
[0008]进一步地,决策引擎用于根据进程分析引擎的分析结果确定是否启动网络分析引擎对服务器内虚拟机的进程的网络流量进行分析,其中,在进程分析引擎无法确定服务器内虚拟机的进程是否异常时,决策引擎启动网络分析引擎对服务器内虚拟机的进程的网络流量进行分析。
[0009]进一步地,决策引擎做出的安全决策至少包括以下任意一种决策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据包转发至网络分析器分析、增加进程的检测频率。
[0010]根据本发明实施例的另一方面,还提供了一种虚拟机异常检测方法,包括:获取服务器内虚拟机的进程信息;分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。
[0011]进一步地,分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常包括:分析服务器内虚拟机的进程信息,检测预设进程库中是否存在进程,其中,预设进程库中包括正常进程数据库和异常进程数据库;在检测到正常进程数据库中存在进程时,确定进程为正常进程,并检测下一个进程是否异常;在检测到异常进程数据库中存在进程时,分别进行以下判断:判断进程是否资源使用异常、判断进程是否隐藏、判断进程中是否存在异常序列,其中,当进程资源使用异常,和/或,进程隐藏,和/或,进程中存在异常序列时,确定进程为异常进程。
[0012]进一步地,分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常包括:从服务器内虚拟机的进程的网络流量信息中获取进程的流量特征;检测预设特征库中是否存在进程的流量特征,其中,预设特征库中包括正常进程流量特征和异常进程流量特征;在检测到预设特征库中存在进程的流量特征,且进程的流量特征为正常进程流量特征时,确定进程为正常进程;在检测到预设特征库中不存在进程的流量特征或者预设特征库中存在进程的流量特征且进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断进程是否异常。
[0013]进一步地,在通过分析服务器内虚拟机的进程信息确定进程异常之后,该方法还包括:生成进程的第一异常报告信息,其中,第一异常报告信息包括:进程的基本属性标识,进程是否使用网络资源,进程检测结果是否确定,进程的异常状态,其中,当进程检测结果不确定时,执行获取服务器内虚拟机的进程的网络流量信息的步骤;在通过分析服务器内虚拟机的进程的网络流量信息确定进程异常之后,方法还包括:生成进程的第二异常报告信息,其中,第二异常报告信息包括:进程的基本属性标识,进程的网络流量是否异常。
[0014]进一步地,生成进程的第一异常报告信息或者进程的第二报告信息之后,该方法还包括:根据进程的第一异常报告信息或者进程的第二异常报告信息分析进程异常的原因;根据分析得到的进程异常的原因确定安全决策,其中,安全决策至少包括以下任意一种决策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据表转发至网络分析器分析、增加进程的检测频率。
[0015]根据本发明实施例的另一方面,还提供了一种虚拟机异常检测装置,包括:第一获取模块,用于获取服务器内虚拟机的进程信息;第一检测模块,用于分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;第一确定模块,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;第二获取模块,用于在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;第二检测模块,用于分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及第二确定模块,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。
[0016]在本发明实施例中,采用获取服务器内虚拟机的进程信息;分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策的方式,通过综合分析服务器内虚拟机的进程的基本信息以及进程的网络流量判断该进程是否异常,达到了准确分析虚拟机进程是否异常的目的,从而实现了提高服务器内虚拟机异常检测的准确度的技术效果,进而解决了相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题。
【附图说明】
[0017]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0018]图1是根据本发明实施例的虚拟机异常检测系统的示意图;
[0019]图2是根据本发明实施例的虚拟机异常检测系统的两级分析策略的示意图;
[0020]图3是根据本发明实施例的虚拟机异常检测系统的执行流程图;
[0021]图4是根据本发明实施例的进程分析引擎的分析流程图;
[0022]图5是根据本发明实施例的网络分析引擎的分析流程图;
[0023]图6是根据本发明实施例的决策引擎的分析流程图;
[0024]