发明名称 |
一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法 |
摘要 |
本发明涉及云计算安全技术领域,特别是一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法。本发明首先将恶意代码检测工具部署在Xen系统的Domain0中,然后启动Linux虚拟机,每隔一段时间检测工具使用Xen的虚拟机管理器的DomainU访问接口层获取Linux虚拟机中的硬件资源信息。通过这些信息构造出进程列表p1;然后通过调用Linux虚拟机操作系统内的工具,得到进程列表p2;通过对比p1与p2中的每一个进程,如果进程P出现在p1中,而未出现在p2中,则说明P为隐藏进程;如果P出现在两个进程中,则说明系统是安全的,继续进行检测。本发明解决了传统恶意软件检测工具容易受到攻击而失效,从而导致隐藏进程检测不出来的问题;可以用于Linux虚拟机恶意代码攻击的隐藏进程检测。 |
申请公布号 |
CN105468967A |
申请公布日期 |
2016.04.06 |
申请号 |
CN201510801972.5 |
申请日期 |
2015.11.19 |
申请人 |
国云科技股份有限公司 |
发明人 |
莫展鹏;杨松;季统凯 |
分类号 |
G06F21/53(2013.01)I;G06F21/56(2013.01)I |
主分类号 |
G06F21/53(2013.01)I |
代理机构 |
广东莞信律师事务所 44332 |
代理人 |
余伦 |
主权项 |
一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法,其特征在于:所述的方法包括以下步骤:步骤1:将恶意代码检测工具部署在Xen系统的DomainO中;步骤2:启动Linux虚拟机;步骤3:每隔一段时间,检测工具使用Xen的虚拟机管理器的DomainU访问接口层获取Linux虚拟机中的硬件资源信息。通过这些信息构造出进程列表p1;步骤4:通过调用Linux虚拟机操作系统内的工具,得到进程列表p2;步骤5:对比p1与p2中的每一个进程,如果进程P出现在p1中,而未出现在p2中,则说明P为隐藏进程;如果P出现在两个进程中,则说明系统是安全的,跳转到步骤3。 |
地址 |
523808 广东省东莞市松山湖科技产业园区松科苑14号楼 |