技術(shù)特征:1.一種檢測(cè)虛擬機(jī)逃逸的方法��,其特征在于����,所述方法包括:
獲取虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息;
通過預(yù)設(shè)的行為特征信息庫(kù)對(duì)所述異常數(shù)據(jù)信息進(jìn)行檢測(cè)���;
當(dāng)檢測(cè)所述異常數(shù)據(jù)信息為惡意行為的數(shù)據(jù)信息時(shí)��,將所述惡意行為的數(shù)據(jù)信息進(jìn)行攔截���;
當(dāng)檢測(cè)所述異常數(shù)據(jù)信息為非惡意行為的數(shù)據(jù)信息時(shí)��,將所述非惡意行為的數(shù)據(jù)信息傳遞至宿主機(jī)�。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述獲取虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息包括:
通過鉤子程序Hook截獲虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息���;
或者,通過訪問虛擬機(jī)控制結(jié)構(gòu)中記錄有異常數(shù)據(jù)信息的頁(yè)表來獲取虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息���。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于�����,所述通過預(yù)設(shè)的行為特征信息庫(kù)對(duì)所述異常數(shù)據(jù)信息進(jìn)行檢測(cè)包括:
在預(yù)設(shè)地址的空間內(nèi)模擬所述異常數(shù)據(jù)信息對(duì)應(yīng)的操作,所述預(yù)設(shè)地址的空間與宿主機(jī)內(nèi)核空間相隔離��;
將操作結(jié)果對(duì)應(yīng)的行為特征信息在預(yù)設(shè)的行為特征信息庫(kù)中進(jìn)行比對(duì)�,檢測(cè)所述異常數(shù)據(jù)信息是否為惡意行為的數(shù)據(jù)信息��。
4.根據(jù)權(quán)利要求3所述的方法��,其特征在于����,所述在預(yù)設(shè)地址的空間內(nèi)模擬所述異常數(shù)據(jù)信息對(duì)應(yīng)的操作包括:
讀取所述異常數(shù)據(jù)信息中記錄的數(shù)據(jù)信息類型及初始指針地址;
將所述初始指針地址更改為檢測(cè)指針地址���;
根據(jù)所述檢測(cè)指針地址跳轉(zhuǎn)到預(yù)設(shè)地址的空間內(nèi)�,執(zhí)行所述數(shù)據(jù)信息類型對(duì)應(yīng)的操作�。
5.根據(jù)權(quán)利要求3或4所述的方法,其特征在于����,將所述惡意行為的數(shù)據(jù)信息進(jìn)行攔截之后,所述方法還包括:
將攔截的惡意行為的數(shù)據(jù)信息返回給所述虛擬機(jī)�;或者,
將攔截的惡意行為的數(shù)據(jù)信息在預(yù)設(shè)地址的空間內(nèi)進(jìn)行銷毀處理�。
6.一種檢測(cè)虛擬機(jī)逃逸的裝置�����,其特征在于���,所述裝置包括:
獲取單元,用于獲取虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息�;
檢測(cè)單元,用于通過預(yù)設(shè)的行為特征信息庫(kù)對(duì)所述異常數(shù)據(jù)信息進(jìn)行檢測(cè)�;
攔截單元,用于當(dāng)檢測(cè)所述異常數(shù)據(jù)信息為惡意行為的數(shù)據(jù)信息時(shí)��,將所述惡意行為的數(shù)據(jù)信息進(jìn)行攔截��;
傳遞單元�����,用于當(dāng)檢測(cè)所述異常數(shù)據(jù)信息為非惡意行為的數(shù)據(jù)信息時(shí)�����,將所述非惡意行為的數(shù)據(jù)信息傳遞至宿主機(jī)��。
7.根據(jù)權(quán)利要求6所述的裝置�����,其特征在于,
所述獲取單元用于通過鉤子程序Hook截獲虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息�����;
所述獲取單元還用于通過訪問虛擬機(jī)控制結(jié)構(gòu)中記錄有異常數(shù)據(jù)信息的頁(yè)表來獲取虛擬機(jī)流向宿主機(jī)的異常數(shù)據(jù)信息����。
8.根據(jù)權(quán)利要求6所述的裝置���,其特征在于�����,所述檢測(cè)單元包括:
模擬模塊���,用于在預(yù)設(shè)地址的空間內(nèi)模擬所述異常數(shù)據(jù)信息對(duì)應(yīng)的操作,所述預(yù)設(shè)地址的空間與宿主機(jī)內(nèi)核空間相隔離���;
比對(duì)模塊�����,用于將操作結(jié)果對(duì)應(yīng)的行為特征信息在預(yù)設(shè)的行為特征信息庫(kù)中進(jìn)行比對(duì)���,檢測(cè)所述異常數(shù)據(jù)信息是否為惡意行為的數(shù)據(jù)信息�。
9.根據(jù)權(quán)利要求8所述的裝置����,其特征在于,所述模擬模塊用于讀取所述異常數(shù)據(jù)信息中記錄的數(shù)據(jù)信息類型及初始指針地址�����,還用于將所述初始指針地址更改為檢測(cè)指針地址����,還用于根據(jù)所述檢測(cè)指針地址跳轉(zhuǎn)到預(yù)設(shè)地址的空間內(nèi),執(zhí)行所述數(shù)據(jù)信息類型對(duì)應(yīng)的操作����。
10.根據(jù)權(quán)利要求8或9所述的裝置,其特征在于��,所述裝置還包括:
銷毀單元����,用于將攔截的惡意行為的數(shù)據(jù)信息在預(yù)設(shè)地址的空間內(nèi)進(jìn)行銷毀處理����;
所述傳遞單元����,用于將攔截的惡意行為的數(shù)據(jù)信息返回給所述虛擬機(jī)。