专利名称 ---【 一种基于物理地址陷入的虚拟机行为监控方法及系统 】

基本信息
申请号
CN202110473606.7
申请日
20210429
公开(公告)号
CN113254147A
公开(公告)日
20210813
申请(专利权)人
中国科学院信息工程研究所
申请人地址
100093 北京市海淀区闵庄路甲89号
发明人
屈天恒;郝志宇;丁振全;程丰;李大辉;陈宇 专利类型 发明专利
摘要
本发明公开了一种基于物理地址陷入的虚拟机行为监控方法及系统。本方法为:1)GPA寻址模块获取所要监控API对应的客户机物理地址GPA;2)如果GPA对应的GFN已被标记过,则将该GAP与API对应关系写入到函数查找哈希表中,否则将该GPA所对应的GFN设置为不可访问状态,然后将该GAP与API对应关系写入到函数查找哈希表中;3)当虚拟机调用一所要监控的API时,保存当前CPU寄存器值,组成一个事件放入事件缓冲区中等待处理;4)根据事件中的GPA字段找到对应API,对API参数还原并存入数据库中;5)从数据库中读取一进程的函数调用数据生成该进程的调用序列,将其与高危序列匹配,确定虚拟机安全状态。
主权项
1.一种基于物理地址陷入的虚拟机行为监控方法,其步骤包括:1)GPA寻址模块获取虚拟机内部进程结构体,根据进程结构体遍历对应进程的所有动态库,得到各动态库的加载在内存中的首地址,将动态库的首地址与所要监控API的偏移地址相加,然后获取所要监控API对应的客户机物理地址GPA并发送给策略更新模块;2)策略更新模块根据接收的GPA找到对应的客户机页帧号GFN,根据GFN查找已标记哈希表,如果该GFN已被标记过,则将该GAP与API对应关系写入到函数查找哈希表中,否则将该GPA所对应的GFN设置为不可访问状态,然后将该GAP与API对应关系写入到函数查找哈希表中;3)当虚拟机调用一所要监控的API时,会陷入到VMM层,此时数据获取模块保存当前CPU寄存器值,组成一个事件放入事件缓冲区中等待处理;4)行为分析模块从事件缓冲区中读取事件,根据事件内容的GPA字段,从函数查找哈希表中找到对应API,通过解析寄存器值完成对API参数的还原并存入数据库中;5)安全分析模块从数据库中读取一进程的函数调用数据并根据所读取数据生成该进程的调用序列,将该调用序列与设定的高危序列进行匹配,根据匹配结果确定虚拟机安全状态。

 

IPC信息
IPC主分类号
G06F9/455

 

法律状态信息
法律状态公告日
20210813
法律状态
公开 法律状态信息
CN202110473606 20210813 公开 公开
法律状态公告日
20210831
法律状态
实质审查的生效 法律状态信息
CN202110473606 20210831 实质审查的生效 实质审查的生效IPC(主分类):G06F9/455

 

代理信息
代理机构名称
北京君尚知识产权代理有限公司 11200
代理人姓名
司立彬


| 联系我们 | 网站地图 | 版权声明 |

版权:中国科学院 主办:中国科学院科技促进发展局 承办:中国科学院成都文献情报中心 蜀ICP备05003827号-12

建议使用1024×768 分辨率 IE6.0以上版本浏览器