| 发明名称 | 一种基于虚拟化的主机行为主动检测系统及方法 | ||
| 摘要 | 本发明涉及一种基于虚拟化的主机行为实时主动检测系统及方法,包括:系统管理模块、VMI tools维护模块、行为检测模块及动态更新模块,系统管理模块根据虚拟计算环境完成主机行为主动检测点的部署、控制主机行为解析模型的更新以及存储主机行为检测数据;VMI tools维护模块完成VMI tools的快速匹配、VMI tools的动态生成以及VMI tools的快速部署;行为检测模块完成主机内存数据获取、借助VMI tools将机器底层语义转化为操作系统高层语义、通过行为解析模型获取用户关注的敏感数据、提供外部分析接口;动态更新模块主要完成VM状态维护、VM基础信息获取、行为解析模型维护。本发明提高信息获取的有效性及准确性;同时提供外部分析接口,以满足其他监测需求。 | ||
| 申请公布号 | CN104462955B | 申请公布日期 | 2017.04.05 |
| 申请号 | CN201410830426.X | 申请日期 | 2014.12.25 |
| 申请人 | 中国科学院信息工程研究所 | 发明人 | 云晓春;郝志宇;丁振全;张永铮;李伦;费海强 |
| 分类号 | G06F21/53(2013.01)I | 主分类号 | G06F21/53(2013.01)I |
| 代理机构 | 北京科迪生专利代理有限责任公司 11251 | 代理人 | 成金玉;孟卜娟 |
| 主权项 | 一种基于虚拟化的主机行为实时主动检测系统,其特征在于包括:系统管理模块、VMI tools维护模块、行为检测模块及动态更新模块;其中:系统管理模块,根据虚拟计算环境的仿真服务器信息,完成主机行为主动检测系统的部署;接收并记录动态更新模块递送的VM状态更新信息;根据VM状态更新信息及用户对主机行为的检测需求,向动态更新模块递送主机行为检测需求;接收并记录行为检测模块递送的用户关心的敏感数据;VMI tools维护模块,接收动态更新模块递送的VM状态更新信息;待接收VM启动信息及迁移信息时,判断当前是否存在相应VM的VMI tool,若不存在,则动态向此VM部署VMI tool生成工具,待VMI tool生成完毕时,将对应的VMI tool更新至VMI tools维护模块,并迅速完成部署;向行为检测模块提供VMI tools;行为检测模块,接收动态更新模块递送的行为解析模型的更新信息,完成行为解析模型的更新;接收从各个VM获取的内存数据,并从VMI tools维护模块获取与VM对应的VMI tool,完成机器底层语义与操作系统高层语义的转换,借助行为解析模型提取用户关心的敏感数据,并将敏感数据递送给系统管理模块;动态更新模块,接收VM的状态信息,进而获取VM状态更新信息,并将VM状态更新信息递送给系统管理模块;根据系统管理模块递送的主机行为检测需求,动态更新行为解析模型,并向行为检测模块递送更新后的行为解析模型。 | ||
| 地址 | 100093 北京市海淀区闵庄路甲89号 | ||