值���,所述預(yù)置MD5值用于判定是否存在虛擬機(jī)的逃逸行為。
[0044]需要說明的是�����,在執(zhí)行步驟201之前���,通過檢測所述二進(jìn)制文件對應(yīng)的MD5值是否與預(yù)置MD5值匹配���,若是��,則確定存在虛擬機(jī)逃逸���,可以提高檢測虛擬機(jī)逃逸行為的效率��。
[0045]202�、對二進(jìn)制文件進(jìn)行解析�����,得到對應(yīng)的訪問路徑信息���。
[0046]其中�,所述訪問路徑信息中包含每個(gè)訪問路徑節(jié)點(diǎn)對應(yīng)的執(zhí)行函數(shù)。所述執(zhí)行函數(shù)可以為讀寫函數(shù)�、進(jìn)程創(chuàng)建函數(shù)等。
[0047]對于本發(fā)明實(shí)施例��,通過解析得到的訪問路徑信息����,可以確定該二進(jìn)制文件對虛擬機(jī)中系統(tǒng)的操作過程。
[0048]對于本發(fā)明實(shí)施例���,所述步驟202之前還可以包括:提取所述二進(jìn)制文件中的關(guān)鍵片段信息;檢測所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度是否大于或等于預(yù)設(shè)閾值;若是����,則確定存在虛擬機(jī)逃逸;若否�����,則執(zhí)行步驟202���。其中��,所述關(guān)鍵片段信息中包含多個(gè)關(guān)鍵片段�,所述預(yù)置關(guān)鍵片段信息中包含多個(gè)預(yù)置關(guān)鍵片段,所述預(yù)置關(guān)鍵片段為可以確定存在逃逸行為的關(guān)鍵片段��,具體可以根據(jù)實(shí)際需求進(jìn)行配置�。所述預(yù)設(shè)閾值可以按照用戶的實(shí)際需求進(jìn)行配置,也可以由系統(tǒng)默認(rèn)進(jìn)行配置��,本發(fā)明實(shí)施例不做限定���。
[0049]例如��,提取的二進(jìn)制文件的關(guān)鍵片段信息中包含10個(gè)關(guān)鍵片段���,預(yù)設(shè)閾值為80%,將該關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息進(jìn)行匹配�,當(dāng)檢測出8個(gè)關(guān)鍵片段與預(yù)置關(guān)鍵片段信息中的關(guān)鍵片段匹配時(shí)�����,可以計(jì)算出該關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度為80%��,等于預(yù)設(shè)閾值�,確定存在虛擬機(jī)逃逸行為。
[0050]需要說明的是�����,在執(zhí)行步驟202之前,通過檢測二進(jìn)制文件中的關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度是否大于或等于預(yù)設(shè)閾值�,若是,則確定虛擬機(jī)的逃逸行為���,可以提高檢測虛擬機(jī)逃逸行為的效率�。
[0051]203����、檢測訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配。
[0052]其中���,所述預(yù)置逃逸訪問路徑信息中包含逃逸文件的訪問路徑�����,即逃逸文件對虛擬機(jī)中系統(tǒng)的操作過程����。所述預(yù)置逃逸訪問路徑信息具體可以根據(jù)實(shí)際需求進(jìn)行配置����。
[0053]對于本發(fā)明實(shí)施例�,所述步驟204具體包括:檢測所述執(zhí)行函數(shù)是否分別與預(yù)置逃逸訪問路徑信息中相對應(yīng)預(yù)置執(zhí)行函數(shù)匹配�����。例如��,訪問路徑信息中包含三個(gè)訪問路徑節(jié)點(diǎn)分別對應(yīng)的執(zhí)行函數(shù)��,具體為函數(shù)1����、函數(shù)2、函數(shù)3�,預(yù)置逃逸訪問路徑信息中包含三個(gè)訪問路徑節(jié)點(diǎn)分別對應(yīng)的預(yù)置執(zhí)行函數(shù),具體為函數(shù)a�、函數(shù)b、函數(shù)C����,當(dāng)函數(shù)I與函數(shù)a匹配��,函數(shù)2與函數(shù)b匹配�����,函數(shù)3與函數(shù)c匹配時(shí),確定訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配��。
[0054]進(jìn)一步地��,可以預(yù)先從云服務(wù)器中獲取所述預(yù)置逃逸訪問路徑信息��;并將所述預(yù)置逃逸訪問路徑信息進(jìn)行保存�。再進(jìn)一步地,在此之后���,還可以檢測所述預(yù)置逃逸訪問路徑信息是否存在更新;若是�����,則對所述預(yù)置逃逸訪問路徑信息進(jìn)行更新���。需要說明的是,通過對所述預(yù)置逃逸訪問路徑信息進(jìn)行更新�,可以更準(zhǔn)確的檢測出虛擬機(jī)的逃逸行為。
[0055]204�����、若檢測出訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配�����,則確定存在虛擬機(jī)逃逸。
[0056]需要說明的是�,當(dāng)檢測出訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配時(shí),可以確定當(dāng)前虛擬機(jī)中存在逃逸行為��,會(huì)對宿主機(jī)造成安全隱患��,需要對該逃逸行為進(jìn)行及時(shí)防護(hù)��。
[0057]205�����、輸出告警信息��。
[0058]其中��,所述告警信息可以為文本告警信息�����、圖片告警信息���、音頻告警信息��、視頻告警信息等����。
[0059]例如����,當(dāng)確定存在虛擬機(jī)逃逸時(shí),可以通過輕代理客戶端所在的終端設(shè)備對應(yīng)的音頻輸出端輸出告警信息�����,還可以通過輕代理客戶端所在的終端設(shè)備對應(yīng)的視頻輸出端輸出告警信息��,用于提示用戶當(dāng)前虛擬機(jī)中存在逃逸行為�����,并已對其進(jìn)行安全防護(hù)����。
[0060]本發(fā)明實(shí)施例提供的另一種虛擬機(jī)逃逸的檢測方法,首先獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件;然后對所述二進(jìn)制文件進(jìn)行解析�����,得到對應(yīng)的訪問路徑信息;最后檢測所述訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配;若是,則確定存在虛擬機(jī)逃逸�����。本發(fā)明通過對虛擬機(jī)當(dāng)前執(zhí)行的二進(jìn)制文件對應(yīng)的訪問路徑信息進(jìn)行檢測���,具體檢測是否與預(yù)置逃逸訪問路徑信息匹配�����,可以通過分析二進(jìn)制文件的運(yùn)行行為�����,判斷出虛擬機(jī)是否存在逃逸��,進(jìn)而可以及時(shí)檢測出虛擬機(jī)的逃逸行為��,以便進(jìn)行安全防護(hù)���。
[0061]進(jìn)一步地,作為圖1所述方法的具體實(shí)現(xiàn)���,本發(fā)明實(shí)施例提供了一種虛擬機(jī)逃逸的檢測裝置���,如圖3所示,所述裝置包括:獲取單元31�����、解析單元32����、檢測單元33、確定單元34���。
[0062]所述獲取單元31����,可以用于獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件�。
[0063]所述解析單元32,可以用于對所述獲取單元31獲取的二進(jìn)制文件進(jìn)行解析�����,得到對應(yīng)的訪問路徑信息��。
[0064]所述檢測單元33,可以用于檢測所述解析單元32解析得到的訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配�����。
[0065]所述確定單元34����,可以用于若所述檢測單元33檢測出所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配,則確定存在虛擬機(jī)逃逸���。
[0066]需要說明的是��,本發(fā)明實(shí)施例提供的一種虛擬機(jī)逃逸的檢測裝置所涉及各功能單元的其他相應(yīng)描述�,可以參考圖1中的對應(yīng)描述�,在此不再贅述。
[0067]本發(fā)明實(shí)施例提供的一種虛擬機(jī)逃逸的檢測裝置�,首先獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件;然后對所述二進(jìn)制文件進(jìn)行解析,得到對應(yīng)的訪問路徑信息;最后檢測所述訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配;若是�����,則確定存在虛擬機(jī)逃逸���。本發(fā)明通過對虛擬機(jī)當(dāng)前執(zhí)行的二進(jìn)制文件對應(yīng)的訪問路徑信息進(jìn)行檢測����,具體檢測是否與預(yù)置逃逸訪問路徑信息匹配,可以通過分析二進(jìn)制文件的運(yùn)行行為�����,判斷出虛擬機(jī)是否存在逃逸��,進(jìn)而可以及時(shí)檢測出虛擬機(jī)的逃逸行為���,以便進(jìn)行安全防護(hù)。
[0068]進(jìn)一步地���,作為圖2所述方法的具體實(shí)現(xiàn)�����,本發(fā)明實(shí)施例提供了另一種虛擬機(jī)逃逸的檢測裝置����,如圖4所示����,所述裝置包括:獲取單元41����、解析單元42��、檢測單元43����、確定單元44 ο
[0069]所述獲取單元41,可以用于獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件�。
[0070]所述解析單元42,可以用于對所述獲取單元41獲取的二進(jìn)制文件進(jìn)行解析��,得到對應(yīng)的訪問路徑信息�。
[0071]所述檢測單元43,可以用于檢測所述解析單元42解析得到的訪問路徑信息是否與預(yù)置逃逸訪問路徑信息匹配����。
[0072]所述確定單元44,可以用于若所述檢測單元43檢測出所述訪問路徑信息與預(yù)置逃逸訪問路徑信息匹配��,則確定存在虛擬機(jī)逃逸�����。
[0073]可選地����,所述訪問路徑信息中包含每個(gè)訪問路徑節(jié)點(diǎn)對應(yīng)的執(zhí)行函數(shù)�����。
[0074]所述檢測單元43�,具體可以用于檢測所述執(zhí)行函數(shù)是否分別與預(yù)置逃逸訪問路徑信息中相對應(yīng)預(yù)置執(zhí)行函數(shù)匹配�。
[0075]所述檢測單元43,還可以用于檢測執(zhí)行所述二進(jìn)制文件時(shí)是否觸發(fā)執(zhí)行預(yù)置關(guān)鍵函數(shù)����。
[0076]所述確定單元44����,還可以用于若所述檢測單元43檢測出執(zhí)行所述二進(jìn)制文件時(shí)觸發(fā)執(zhí)行預(yù)置關(guān)鍵函數(shù),則確定存在虛擬機(jī)逃逸���。
[0077]所述獲取單元41�����,具體可以用于若所述檢測單元43檢測出執(zhí)行所述二進(jìn)制文件時(shí)沒有觸發(fā)執(zhí)行預(yù)置關(guān)鍵函數(shù)�,則獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件���。
[0078]所述獲取單元41��,還可以用于獲取所述二進(jìn)制文件對應(yīng)的MD5值�。
[0079]所述檢測單元43,還可以用于檢測所述獲取單元41獲取的MD5值是否與預(yù)置MD5值匹配�。
[0080]所述確定單元44,還可以用于若所述檢測單元43檢測出所述MD5值與預(yù)置MD5值匹配�����,則確定存在虛擬機(jī)逃逸��。
[0081]所述獲取單元41�����,具體可以用于若所述檢測單元43檢測出所述MD5值與預(yù)置MD5值不匹配����,則獲取虛擬機(jī)中當(dāng)前執(zhí)行的二進(jìn)制文件。
[0082]進(jìn)一步地�,所述裝置還包括:提取單元45。
[0083]所述提取單元45��,可以用于提取所述二進(jìn)制文件中的關(guān)鍵片段信息。
[0084]所述檢測單元43�,還可以用于檢測所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度是否大于或等于預(yù)設(shè)閾值。
[0085]所述