| 发明名称 | 基于虚拟机架构的恶意行为跟踪系统和方法 | ||
| 摘要 | 本发明公开了一种基于虚拟机架构的恶意行为跟踪方法,包括:接收污点数据,将污点数据存储于客户操作系统的虚拟内存中,并在实际内存中分配一块内存区域存储该污点信息,在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在,修改虚拟机控制结构域,并且客户操作系统陷入虚拟机管理器层执行,对操作系统状态进行语义翻译,以获取高级语义信息,并将高级语义信息记录在污点数据结构中,跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程,根据污点数据的传播过程生成传播图,对传播图进行检测,以判断是否存在有分支。本发明可实时准确地检测虚拟化平台上的操作系统内的恶意行为。 | ||
| 申请公布号 | CN102651062B | 申请公布日期 | 2014.06.18 |
| 申请号 | CN201210100509.4 | 申请日期 | 2012.04.09 |
| 申请人 | 华中科技大学 | 发明人 | 金海;王晓娣;邹德清;羌卫中;袁劲枫 |
| 分类号 | G06F21/56(2013.01)I;G06F9/455(2006.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 华中科技大学专利中心 42201 | 代理人 | 朱仁玲 |
| 主权项 | 一种基于虚拟机架构的恶意行为跟踪方法,其特征在于,包括:(1)接收污点数据,将污点数据存储于客户操作系统的虚拟内存中,并在实际内存中分配一块内存区域存储该污点数据;(2)在Xen中将客户操作系统内存中污点数据所处地方的对应影子页表处内存状态修改为不存在;(3)客户操作系统进入处理污点数据的状态,修改虚拟机控制结构域,并且客户操作系统陷入虚拟机管理器层执行;(4)对操作系统状态进行语义翻译,以获取高级语义信息,并将高级语义信息记录在污点数据结构中;(5)跟踪客户操作系统的指令流的单步执行以及污点数据的传播过程;(6)根据污点数据的传播过程生成传播图;(7)对传播图进行检测,以判断是否存在有分支,若存在有分支,则说明有恶意行为发生,并进入步骤(8),否则说明没有恶意行为发生,并进入步骤(10);(8)将传播图中分支处的进程信息通知给用户;(9)返回步骤(8),直到传播图中所有的分支均已检测完毕为止;(10)还原虚拟机控制结构域,以使客户操作系统能够正常执行。 | ||
| 地址 | 430074 湖北省武汉市洪山区珞喻路1037号 | ||