104提供的方案中,步骤S104可以包括:分析服务器内虚拟机的进程信息,检测预设进程库中是否存在进程,其中,预设进程库中包括正常进程数据库和异常进程数据库;在检测到正常进程数据库中存在进程时,确定进程为正常进程,并检测下一个进程是否异常;在检测到异常进程数据库中存在进程时,分别进行以下判断:判断进程是否资源使用异常、判断进程是否隐藏、判断进程中是否存在异常序列,其中,当进程资源使用异常,和/或,进程隐藏,和/或,进程中存在异常序列时,确定进程为异常进程。步骤S104可以由本发明实施例的虚拟机异常检测系统中的进程分析引擎执行,进程分析引擎执行对进程信息的具体分析过程已经在I.I部分进行了详细介绍,此处不再赘述。
[0102]在步骤S106提供的方案中,进程分析引擎在对进程信息分析之后,会将分析结果发送至本发明实施例的虚拟机异常检测系统中的决策引擎中,如果进程分析引擎的分析结果能够直接确定进程异常,则决策引擎将会根据该分析结果直接确定安全对策。
[0103]在步骤S108提供的方案中,进程分析引擎在对进程信息分析之后,会将分析结果发送至本发明实施例的虚拟机异常检测系统中的决策引擎中,如果不能从进程分析引擎的分析结果直接确定进程是否异常,则决策引擎将会生成决策指示服务器内的执行器控制SDN将该进程的网络流量信息发送至网络分析引擎,网络分析引擎启动并分析该进程的网络流量信息,并将分析结果发送至决策引擎。
[0104]在步骤SllO提供的方案中,步骤SllO可以包括:从服务器内虚拟机的进程的网络流量信息中获取进程的流量特征;检测预设特征库中是否存在进程的流量特征,其中,预设特征库中包括正常进程流量特征和异常进程流量特征;在检测到预设特征库中存在进程的流量特征,且进程的流量特征为正常进程流量特征时,确定进程为正常进程;在检测到预设特征库中不存在进程的流量特征或者预设特征库中存在进程的流量特征且进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断进程是否异常。步骤SllO可以由本发明实施例的虚拟机异常检测系统中的网络分析引擎执行,网络分析引擎执行对进程网络流量信息的具体分析过程已经在1.2部分进行了详细介绍,此处不再赘述。
[0105]在步骤S112提供的方案中,决策引擎可以依据进程分析引擎分析结果和网络分析引擎分析结果确定安全决策,安全决策的确定过程可以参照1.3部分,此处不再赘述。
[0106]作为一种可选的实施例,在通过分析服务器内虚拟机的进程信息确定进程异常之后,该实施例的虚拟机异常检测方法还可以包括:生成进程的第一异常报告信息,其中,第一异常报告信息包括:进程的基本属性标识,进程是否使用网络资源,进程检测结果是否确定,进程的异常状态,其中,当进程检测结果不确定时,执行获取服务器内虚拟机的进程的网络流量信息的步骤;在通过分析服务器内虚拟机的进程的网络流量信息确定进程异常之后,该实施例的虚拟机异常检测方法还可以包括:生成进程的第二异常报告信息,其中,第二异常报告信息包括:进程的基本属性标识,进程的网络流量是否异常。
[0107]需要说明的是,第一异常报告信息为进程分析引擎对进程信息进行分析后生成的报告信息,此报告信息已经在1.1部分进行了介绍。第二异常报告信息为网络分析引擎对进行网络流量信息进行分析后生成的报告信息,此报告信息已经在1.2部分进行了介绍。
[0108]作为一种可选的实施例,生成第一异常报告信息或者生成第二报告信息之后,该实施例的虚拟机异常检测方法还可以包括:根据第一异常报告信息或者第二异常报告信息分析进程异常的原因;根据分析得到的进程异常的原因确定安全对策,其中,安全对策至少包括以下任意一种对策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据表转发至网络分析器分析、增加进程的检测频率。
[0109]需要说明的是,该可选的实施例可以有决策引擎执行,决策引擎的工作流量已经在1.3部分进行了详细介绍,此处不再赘述。
[0110]根据本发明实施例,还提供了一种虚拟机异常检测的装置实施例,需要说明的是,该虚拟机异常检测装置可以用于执行本发明实施例中的虚拟机异常检测方法,本发明实施例中的虚拟机异常检测方法可以在该虚拟机异常检测装置中执行。
[0111]图8是根据本发明实施例的虚拟机异常检测的示意图,如图8所示,该装置可以包括:
[0112]第一获取模块82,用于获取服务器内虚拟机的进程信息;第一检测模块84,用于分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;第一确定模块86,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全对策;第二获取模块88,用于在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;第二检测模块90,用于分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及第二确定模块92,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全对策。
[0113]需要说明的是,该实施例中的第一获取模块82可以用于执行本申请实施例中的步骤S102,该实施例中的第一检测模块84可以用于执行本申请实施例中的步骤S104,该实施例中的第一确定模块86可以用于执行本申请实施例中的步骤S106,该实施例中的第二获取模块88可以用于执行本申请实施例中的步骤S108;该实施例中的第二检测模块90可以用于执行本申请实施例中的步骤SI 10,该实施例中的第二确定模块92可以用于执行本申请实施例中的步骤S112。上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。
[0114]可选地,第一检测模块84可以包括:第一子检测模块,用于分析服务器内虚拟机的进程信息,检测预设进程库中是否存在进程,其中,预设进程库中包括正常进程数据库和异常进程数据库;第一子确定模块,用于在检测到正常进程数据库中存在进程时,确定进程为正常进程,并检测下一个进程是否异常;执行模块,用于在检测到异常进程数据库中存在进程时,分别进行以下判断:判断进程是否资源使用异常、判断进程是否隐藏、判断进程中是否存在异常序列,其中,当进程资源使用异常,和/或,进程隐藏,和/或,进程中存在异常序列时,确定进程为异常进程。
[0115]可选地,第二检测模块90可以包括:第一子获取模块,用于从服务器内虚拟机的进程的网络流量信息中获取进程的流量特征;第二子检测模块,用于检测预设特征库中是否存在进程的流量特征,其中,预设特征库中包括正常进程流量特征和异常进程流量特征;第二子确定模块,用于在检测到预设特征库中存在进程的流量特征,且进程的流量特征为正常进程流量特征时,确定进程为正常进程;判断模块,用于在检测到预设特征库中不存在进程的流量特征或者预设特征库中存在进程的流量特征且进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断进程是否异常。
[0116]可选地,该装置还可以包括:第一生成模块,用于在通过分析服务器内虚拟机的进程信息确定进程异常之后生成进程的第一异常报告信息,其中,第一异常报告信息包括:进程的基本属性标识,进程是否使用网络资源,进程检测结果是否确定,进程的异常状态,其中,当进程检测结果不确定时,执行获取服务器内虚拟机的进程的网络流量信息的步骤;第二生成模块,用于在通过分析服务器内虚拟机的进程的网络流量信息确定进程异常之后,生成进程的第二异常报告信息,其中,第二异常报告信息包括:进程的基本属性标识,进程的网络流量是否异常。
[0117]可选地,该装置还可以包括:分析模块,用于根据第一异常报告信息或者第二异常报告信息分析进程异常的原因;第三确定模块,用于根据分析得到的进程异常的原因确定安全对策,其中,安全对策至少包括以下任意一种对策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据表转发至网络分析器分析、增加进程的检测频率。
[0118]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0119]在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0120]在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以