獲取虛擬機(jī)中的系統(tǒng)狀態(tài)。3.如權(quán)利要求1所述的系統(tǒng)，其特征在于，所述被動(dòng)監(jiān)控獲取數(shù)據(jù)模塊通過事件接收器不斷攔截虛擬機(jī)中發(fā)生的事件，事件接收器攔截到異常信息時(shí)，判斷是否由syscall或sysret引起的，若是由這兩條指令引起的，則收集系統(tǒng)調(diào)用號(hào)、系統(tǒng)調(diào)用參數(shù)、系統(tǒng)調(diào)用進(jìn)程號(hào)、發(fā)生系統(tǒng)調(diào)用的地址、虛擬機(jī)的基本信息;事件接收器將收集到的數(shù)據(jù)放入由共享內(nèi)存實(shí)現(xiàn)的環(huán)形緩沖區(qū)內(nèi)；系統(tǒng)調(diào)用信息收集結(jié)束之后，事件接收器通過事件通道機(jī)制通知數(shù)據(jù)轉(zhuǎn)發(fā)模塊取走數(shù)據(jù)，同時(shí)模擬syscal I或sysret指令的運(yùn)行，恢復(fù)虛擬機(jī)的操作。4.如權(quán)利要求1所述的系統(tǒng)，其特征在于，所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊實(shí)時(shí)接收事件通道信號(hào)，分析事件通道信號(hào)內(nèi)容，從中提取數(shù)據(jù)在異步環(huán)形緩沖區(qū)的ID范圍，然后判斷當(dāng)前是否存在空閑的數(shù)據(jù)提取線程;若不存在空閑的數(shù)據(jù)提取線程，則新建線程用于數(shù)據(jù)提取，并進(jìn)行相應(yīng)初始化;若存在空閑的數(shù)據(jù)提取線程，則根據(jù)數(shù)據(jù)塊ID范圍，從異步環(huán)形緩沖區(qū)內(nèi)取走數(shù)據(jù)內(nèi)容，并重置異步環(huán)形緩沖區(qū)內(nèi)相應(yīng)位置上的內(nèi)容，將數(shù)據(jù)臨時(shí)存放在本地緩存隊(duì)列，等待轉(zhuǎn)發(fā)至行為分析服務(wù)器，同時(shí)重置此數(shù)據(jù)提取線程為空閑；數(shù)據(jù)轉(zhuǎn)發(fā)線程依次從本地緩存隊(duì)列中取出數(shù)據(jù)，轉(zhuǎn)發(fā)至行為分析服務(wù)器。5.如權(quán)利要求1所述的系統(tǒng)，其特征在于，所述行為分析模塊創(chuàng)建多線程用以接收不同服務(wù)器發(fā)來的數(shù)據(jù)，并轉(zhuǎn)存在本地緩存隊(duì)列，然后分析數(shù)據(jù)內(nèi)容來源，根據(jù)數(shù)據(jù)內(nèi)容來源的不同，采用不同方式進(jìn)行分析;對(duì)主動(dòng)監(jiān)控方式及異步偵聽檢測(cè)方式最終生成的語義視圖采用多視圖對(duì)比分析模型進(jìn)行對(duì)比分析，得出最終的數(shù)據(jù)分析結(jié)果。6.—種采用權(quán)利要求1所述系統(tǒng)的基于虛擬化的主機(jī)行為主被動(dòng)結(jié)合檢測(cè)方法，其特征在于，包括如下步驟: 1)主動(dòng)監(jiān)控獲取數(shù)據(jù)模塊獲取虛擬機(jī)中的系統(tǒng)狀態(tài)，并根據(jù)當(dāng)前系統(tǒng)狀態(tài)構(gòu)造出所需要的語義信息，然后經(jīng)數(shù)據(jù)轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)至遠(yuǎn)程的行為分析服務(wù)器上的行為分析模塊； 2)被動(dòng)監(jiān)控獲取數(shù)據(jù)模塊通過事件接收器不斷攔截虛擬機(jī)中發(fā)生的事件，事件接收器將收集到的數(shù)據(jù)放入由共享內(nèi)存實(shí)現(xiàn)的環(huán)形緩沖區(qū)內(nèi)；系統(tǒng)調(diào)用信息收集結(jié)束之后，事件接收器通過事件通道機(jī)制通知數(shù)據(jù)轉(zhuǎn)發(fā)模塊取走數(shù)據(jù);數(shù)據(jù)轉(zhuǎn)發(fā)模塊將事件接收器收集到的數(shù)據(jù)取走，并發(fā)往遠(yuǎn)程行為分析服務(wù)器上的行為分析模塊； 3)行為分析模塊接收數(shù)據(jù)轉(zhuǎn)發(fā)模塊發(fā)來的行為數(shù)據(jù)，并根據(jù)數(shù)據(jù)來源分發(fā)給不同的行為分析線程； 4)行為分析線程根據(jù)數(shù)據(jù)量大小，動(dòng)態(tài)控制線程創(chuàng)建與消亡，對(duì)行為數(shù)據(jù)進(jìn)行分析，對(duì)不同視圖進(jìn)行操作。7.如權(quán)利要求6所述的方法，其特征在于，步驟I)通過主動(dòng)監(jiān)控獲取數(shù)據(jù)的方法是: (1)初始化定時(shí)器，并設(shè)置定時(shí)時(shí)間； (2)判斷是否到達(dá)定時(shí)時(shí)間，或是否有其他模塊調(diào)用主動(dòng)監(jiān)控?cái)?shù)據(jù)獲取，若是則轉(zhuǎn)向步驟⑶； (3)借助Libvmi獲取虛擬機(jī)整塊內(nèi)存數(shù)據(jù)； (4)對(duì)內(nèi)存數(shù)據(jù)進(jìn)行簡(jiǎn)要整理分析后，形成主動(dòng)監(jiān)控語義信息； (5)由數(shù)據(jù)轉(zhuǎn)發(fā)模塊將整理后的內(nèi)存數(shù)據(jù)及相應(yīng)語義信息轉(zhuǎn)發(fā)至遠(yuǎn)程分析服務(wù)器； (6)若是由定時(shí)器定時(shí)觸發(fā)，則重置定時(shí)時(shí)間； (7)返回步驟(2)。8.如權(quán)利要求6所述的方法，其特征在于，步驟2)通過被動(dòng)監(jiān)控獲取數(shù)據(jù)的方法是: (1)設(shè)置EFER寄存器的SCE字段為O; (2)時(shí)刻監(jiān)聽異常#UD，攔截到異常#UD后，陷入到VMM中； (3)將當(dāng)前指令編碼與syscal1、sysret對(duì)應(yīng)的指令編碼對(duì)比，觀察是否由syscal I或sysret指令引起，若是由這兩條指令引起，則轉(zhuǎn)向步驟(4)，否則轉(zhuǎn)向步驟(I); (4)分析指令類型，若為syscall指令，則轉(zhuǎn)向步驟(5)，若為sysret指令，則轉(zhuǎn)向步驟(6)； (5)分析EAX寄存器，獲取系統(tǒng)調(diào)用號(hào)，同時(shí)分析EBX、EDI等5個(gè)寄存器，獲取系統(tǒng)調(diào)用參數(shù)等，轉(zhuǎn)向步驟(7); (6)分析EAX寄存器，獲取系統(tǒng)調(diào)用返回值，轉(zhuǎn)向步驟(7); (7)獲取指令所在的進(jìn)程編號(hào)以及指令在內(nèi)存中的地址eip，獲取虛擬機(jī)的標(biāo)識(shí)Domid，并根據(jù)這些信息生成被動(dòng)監(jiān)控語義，將生成的被動(dòng)監(jiān)控語義信息及相應(yīng)監(jiān)控?cái)?shù)據(jù)遞送至異步環(huán)型緩沖區(qū)內(nèi)； (8)使用事件通道機(jī)制通知數(shù)據(jù)轉(zhuǎn)發(fā)模塊有新事件產(chǎn)生； (9)模擬syscalI或sysret指令的執(zhí)行，恢復(fù)系統(tǒng)調(diào)用的執(zhí)行； (10)調(diào)用主動(dòng)監(jiān)控獲取數(shù)據(jù)模塊生成主動(dòng)監(jiān)控語義，轉(zhuǎn)向步驟(I)。9.如權(quán)利要求6所述的方法，其特征在于，步驟3)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的方法是: (1)實(shí)時(shí)接收事件通道信號(hào)； (2)判斷是否收到事件通道信號(hào)，若收到事件通道信號(hào)，則轉(zhuǎn)向步驟(3)，否則轉(zhuǎn)向步驟(I); (3)分析事件通道信號(hào)內(nèi)容，從中提取數(shù)據(jù)在異步環(huán)形緩沖區(qū)的ID范圍； (4)判斷當(dāng)前是否存在空閑的數(shù)據(jù)提取線程； (5)若不存在空閑的數(shù)據(jù)提取線程，則轉(zhuǎn)向步驟(6)，否則轉(zhuǎn)向步驟(7); (6)新建線程用于數(shù)據(jù)提取，并進(jìn)行相應(yīng)初始化； (7)根據(jù)數(shù)據(jù)塊ID范圍，從異步環(huán)形緩沖區(qū)內(nèi)取走數(shù)據(jù)內(nèi)容，并重置異步環(huán)形緩沖區(qū)內(nèi)相應(yīng)位置上的內(nèi)容，將數(shù)據(jù)臨時(shí)存放在本地緩存隊(duì)列，等待轉(zhuǎn)發(fā)至行為分析服務(wù)器，同時(shí)重置此數(shù)據(jù)提取線程為空閑； (8)清除對(duì)應(yīng)的事件通道信號(hào)； (9)數(shù)據(jù)轉(zhuǎn)發(fā)線程依次從本地緩存隊(duì)列中取出數(shù)據(jù)，轉(zhuǎn)發(fā)至行為分析服務(wù)器，轉(zhuǎn)向步驟(I)。10.如權(quán)利要求6所述的方法，其特征在于，步驟4)進(jìn)行行為分析的方法是: (1)創(chuàng)建多線程用以接收不同服務(wù)器發(fā)來的數(shù)據(jù)，并轉(zhuǎn)存在本地緩存隊(duì)列； (2)分析數(shù)據(jù)內(nèi)容來源，根據(jù)數(shù)據(jù)內(nèi)容來源的不同，采用不同方式進(jìn)行分析:若為被動(dòng)監(jiān)控方式，則轉(zhuǎn)向步驟(3)，否則轉(zhuǎn)向步驟(4)。 (3)分析數(shù)據(jù)內(nèi)容，提取數(shù)據(jù)類型，根據(jù)不同數(shù)據(jù)類型，進(jìn)行不同的分析:若為打開文件類型，則在文件視圖的四級(jí)鏈表結(jié)構(gòu)中，增加相應(yīng)條目；若為關(guān)閉文件類型，則在文件視圖的四級(jí)鏈表結(jié)構(gòu)中，刪除相應(yīng)條目；否則根據(jù)具體信息，對(duì)虛擬機(jī)的語義視圖執(zhí)行增刪改查操作； (4)分析數(shù)據(jù)內(nèi)容，提取數(shù)據(jù)類型，根據(jù)不同數(shù)據(jù)類型，進(jìn)行不同的分析:若為進(jìn)程數(shù)據(jù)類型，則初始化相應(yīng)虛擬機(jī)的進(jìn)程列表視圖，根據(jù)<domO_ip，domU_id，pid>構(gòu)建一個(gè)三級(jí)鏈表結(jié)構(gòu);若為文件數(shù)據(jù)類型，則初始化相應(yīng)虛擬機(jī)的文件列表視圖，根據(jù)<domO_ip，domU_id，pid，文件描述符〉構(gòu)建一個(gè)四級(jí)鏈表結(jié)構(gòu);若為其他數(shù)據(jù)類型，則根據(jù)具體信息，使用合適的數(shù)據(jù)結(jié)構(gòu)，為虛擬機(jī)初始化語義視圖； (5)對(duì)主動(dòng)監(jiān)控方式及異步偵聽檢測(cè)方式最終生成的語義視圖采用多視圖對(duì)比分析模型進(jìn)行對(duì)比分析，得出最終的數(shù)據(jù)分析結(jié)果，轉(zhuǎn)向步驟(I)。
【專利摘要】本發(fā)明涉及一種基于虛擬化的主機(jī)行為主被動(dòng)結(jié)合檢測(cè)系統(tǒng)和方法。該系統(tǒng)包括主動(dòng)監(jiān)控獲取數(shù)據(jù)模塊、被動(dòng)監(jiān)控獲取數(shù)據(jù)模塊、數(shù)據(jù)轉(zhuǎn)發(fā)模塊和行為分析模塊，其中主動(dòng)監(jiān)控獲取數(shù)據(jù)模塊采用主動(dòng)監(jiān)控方式主動(dòng)獲取虛擬機(jī)內(nèi)部當(dāng)前時(shí)刻的靜態(tài)數(shù)據(jù)；被動(dòng)監(jiān)控獲取數(shù)據(jù)模塊采用異步偵聽方式截獲虛擬機(jī)內(nèi)部的系統(tǒng)調(diào)用和系統(tǒng)指令數(shù)據(jù)；數(shù)據(jù)轉(zhuǎn)發(fā)模塊負(fù)責(zé)將本地獲取的數(shù)據(jù)遠(yuǎn)程轉(zhuǎn)發(fā)至行為分析服務(wù)器進(jìn)行；行為分析模塊接收數(shù)據(jù)轉(zhuǎn)發(fā)模塊發(fā)送的行為數(shù)據(jù)，并根據(jù)數(shù)據(jù)來源，動(dòng)態(tài)控制分析線程對(duì)行為數(shù)據(jù)進(jìn)行分析。本發(fā)明采用主動(dòng)監(jiān)控與被動(dòng)監(jiān)控相結(jié)合的方式，實(shí)現(xiàn)了具有透明性、實(shí)時(shí)性、靈活性等特點(diǎn)的集中式虛擬機(jī)監(jiān)控機(jī)制。
【IPC分類】G06F11/30
【公開號(hào)】CN105550095
【申請(qǐng)?zhí)枴緾N201510970176
【發(fā)明人】丁振全, 郝志宇, 鄧鑫, 劉永繼
【申請(qǐng)人】中國(guó)科學(xué)院信息工程研究所
【公開日】2016年5月4日
【申請(qǐng)日】2015年12月22日