虛擬機逃逸的檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息技術(shù)領(lǐng)域，特別是涉及一種虛擬機逃逸的檢測方法及裝置。
【背景技術(shù)】
[0002]隨著信息技術(shù)的不斷發(fā)展，計算機軟件開發(fā)技術(shù)越來越普及，其中，虛擬機逃逸變成研發(fā)人員急需解決的問題。虛擬機逃逸是指利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊，以達到攻擊或控制虛擬機宿主操作系統(tǒng)的目的。
[0003]目前，虛擬機中的程序只能在虛擬機中運行，當虛擬機系統(tǒng)出現(xiàn)漏洞時，虛擬機中的程序?qū)⑼黄铺摂M機的界限，讀取虛擬機以外的資源。虛擬機逃逸可以通過虛擬出一個設(shè)備，將逃逸程序攜帶進宿主機中，對宿主機中的資源進行占用;還可以虛擬出一個仿真指令進行攜帶逃逸程序。無論哪種逃逸方式都不是系統(tǒng)運行的正常情況，會對宿主機造成安全隱患，所以要及時對虛擬機逃逸進行防護。

【發(fā)明內(nèi)容】

[0004]有鑒于此，本發(fā)明提供了一種虛擬機逃逸的檢測方法及裝置，主要目的在于可以及時檢測出虛擬機的逃逸行為，以便進行安全防護。
[0005]依據(jù)本發(fā)明一個方面，提供了一種虛擬機逃逸的檢測方法，該方法包括:
[0006]獲取虛擬機中當前執(zhí)行的二進制文件；
[0007]對所述二進制文件進行解析，得到對應(yīng)的訪問路徑信息；
[0008]檢測所述訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配；
[0009]若是，則確定存在虛擬機逃逸。
[0010]依據(jù)本發(fā)明另一個方面，提供了一種虛擬機逃逸的檢測裝置，該裝置包括:
[0011 ]獲取單元，用于獲取虛擬機中當前執(zhí)行的二進制文件；
[0012]解析單元，用于對所述獲取單元獲取的二進制文件進行解析，得到對應(yīng)的訪問路徑信息；
[0013]檢測單元，用于檢測所述解析單元解析得到的訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配；
[0014]確定單元，用于若所述檢測單元檢測出所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配，則確定存在虛擬機逃逸。
[0015]借由上述技術(shù)方案，本發(fā)明實施例提供的技術(shù)方案至少具有下列優(yōu)點:
[0016]本發(fā)明提供的一種虛擬機逃逸的檢測方法及裝置，首先獲取虛擬機中當前執(zhí)行的二進制文件;然后對所述二進制文件進行解析，得到對應(yīng)的訪問路徑信息;最后檢測所述訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配;若是，則確定存在虛擬機逃逸。本發(fā)明通過對虛擬機當前執(zhí)行的二進制文件對應(yīng)的訪問路徑信息進行檢測，具體檢測是否與預(yù)置逃逸訪問路徑信息匹配，可以通過分析二進制文件的運行行為，判斷出虛擬機是否存在逃逸，進而可以及時檢測出虛擬機的逃逸行為，以便進行安全防護。
[0017]上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的【具體實施方式】。
【附圖說明】
[0018]通過閱讀下文優(yōu)選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0019]圖1示出了本發(fā)明實施例提供的一種虛擬機逃逸的檢測方法流程示意圖；
[0020]圖2示出了本發(fā)明實施例提供的另一種虛擬機逃逸的檢測方法流程示意圖；
[0021]圖3示出了本發(fā)明實施例提供的一種虛擬機逃逸的檢測裝置結(jié)構(gòu)示意圖；
[0022]圖4示出了本發(fā)明實施例提供的另一種虛擬機逃逸的檢測裝置結(jié)構(gòu)示意圖。
【具體實施方式】
[0023]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。
[0024]本發(fā)明實施例提供了一種虛擬機逃逸的檢測方法，如圖1所示，所述方法包括:
[0025]101、獲取虛擬機中當前執(zhí)行的二進制文件。
[0026]其中，所述二進制文件包含在ASCII及擴展ASCII字符中編寫的數(shù)據(jù)或程序指令的文件。計算機文件基本上分為二種:二進制文件和ASCII(也稱純文本文件)，圖形文件及文字處理程序等計算機程序都屬于二進制文件。這些文件含有特殊的格式及計算機代碼。對于本發(fā)明實施例，所述二進制文件可以為ERF文件、驅(qū)動文件等。
[0027]需要說明的是，對于本發(fā)明實施例的執(zhí)行主體可以為安裝在虛擬機中的輕代理客戶端，用于對虛擬機的逃逸行為進行監(jiān)控。
[0028]102、對二進制文件進行解析，得到對應(yīng)的訪問路徑信息。
[0029]其中，所述訪問路徑信息中包含每個路徑節(jié)點對應(yīng)的執(zhí)行函數(shù)。所述執(zhí)行函數(shù)可以為讀寫函數(shù)、進程創(chuàng)建函數(shù)等。
[0030]對于本發(fā)明實施例，通過解析得到的訪問路徑信息，可以確定該二進制文件對虛擬機中系統(tǒng)的操作過程。
[0031]103、檢測訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配。
[0032]其中，所述預(yù)置逃逸訪問路徑信息中包含逃逸文件的訪問路徑，即逃逸文件對虛擬機中系統(tǒng)的操作過程。所述預(yù)置逃逸訪問路徑信息具體可以根據(jù)實際需求進行配置。
[0033]進一步地，可以預(yù)先從云服務(wù)器中獲取得到不同逃逸文件分別對應(yīng)的訪問路徑信息，并可以保存在本地緩存中，用于進行訪問路徑數(shù)據(jù)的匹配校驗，進而可以實現(xiàn)對虛擬機的逃逸行為進行檢測。
[0034]104、若檢測出訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配，則確定存在虛擬機逃逸。
[0035]需要說明的是，當檢測出訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配時，可以確定當前虛擬機中存在逃逸行為，會對宿主機造成安全威脅，需要對該逃逸行為進行及時防護，并輸出提示信息，用于提示用戶當前虛擬機中存在逃逸行為，并已對其進行安全防護。
[0036]本發(fā)明實施例提供的一種虛擬機逃逸的檢測方法，首先獲取虛擬機中當前執(zhí)行的二進制文件;然后對所述二進制文件進行解析，得到對應(yīng)的訪問路徑信息;最后檢測所述訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配;若是，則確定存在虛擬機逃逸。本發(fā)明通過對虛擬機當前執(zhí)行的二進制文件對應(yīng)的訪問路徑信息進行檢測，具體檢測是否與預(yù)置逃逸訪問路徑信息匹配，可以通過分析二進制文件的運行行為，判斷出虛擬機是否存在逃逸，進而可以及時檢測出虛擬機的逃逸行為，以便進行安全防護。
[0037]本發(fā)明實施例提供了另一種虛擬機逃逸的檢測方法，如圖2所示，所述方法包括:
[0038]201、獲取虛擬機中當前執(zhí)行的二進制文件。
[0039]其中，所述二進制文件的概念解釋可以參考步驟101中的相應(yīng)描述，在此不再贅述。
[0040]需要說明的是，對于本發(fā)明實施例的執(zhí)行主體可以為安裝在虛擬機中的輕代理客戶端，用于對虛擬機的逃逸行為進行監(jiān)控。
[0041]對于本發(fā)明實施例，所述步驟201之前還可以包括:檢測執(zhí)行所述二進制文件時是否觸發(fā)執(zhí)行預(yù)置關(guān)鍵函數(shù);若是，則確定存在虛擬機逃逸;若否，則執(zhí)行步驟201。其中，所述預(yù)置關(guān)鍵函數(shù)可以根據(jù)實際需求進行配置，也可以根據(jù)實際需求進行配置。所述預(yù)置關(guān)鍵函數(shù)可以為只有在出現(xiàn)虛擬機逃逸時才觸發(fā)執(zhí)行的函數(shù)，所述預(yù)置關(guān)鍵函數(shù)用于判定是否存在虛擬機的逃逸行為。
[0042]需要說明的是，在執(zhí)行步驟201之前，通過檢測執(zhí)行所述二進制文件時是否觸發(fā)執(zhí)行預(yù)置關(guān)鍵函數(shù)，若是，則確定存在虛擬機逃逸，可以提高檢測虛擬機逃逸行為的效率。進一步地，在確定存在虛擬機逃逸之后，當需要輸出告警信息時，需要回溯到對應(yīng)的二進制文件，以便獲取告警目標。
[0043]對于本發(fā)明實施例，所述步驟201之前還可以包括:獲取所述二進制文件對應(yīng)的MD5(Message-Digest Algorithm 5，信息摘要算法5)值;檢測所述MD5值是否與預(yù)置MD5值匹配;若是，則確定存在虛擬機逃逸;若否，則執(zhí)行步驟201。所述預(yù)置MD5值可以為逃逸文件對應(yīng)的MD5