虛擬機逃逸的檢測方法及裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及一種信息技術領域，特別是涉及一種虛擬機逃逸的檢測方法及裝置。
【背景技術】
[0002]隨著信息技術的不斷發(fā)展，計算機軟件開發(fā)技術越來越普及，其中，虛擬機逃逸變成研發(fā)人員急需解決的問題。虛擬機逃逸是指利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊，以達到攻擊或控制虛擬機宿主操作系統(tǒng)的目的。
[0003]目前，虛擬機中的程序只能在虛擬機中運行，當虛擬機系統(tǒng)出現(xiàn)漏洞時，虛擬機中的程序將突破虛擬機的界限，讀取虛擬機以外的宿主機資源，會對宿主機造成安全隱患，所以要及時對虛擬機逃逸進行防護。

【發(fā)明內容】

[0004]有鑒于此，本發(fā)明提供了一種虛擬機逃逸的檢測方法及裝置，主要目的在于可以及時檢測出虛擬機的逃逸行為，以便進行安全防護。
[0005]依據本發(fā)明一個方面，提供了一種虛擬機逃逸的檢測方法，該方法包括:
[0006]接收虛擬機中的預置設備傳遞過來的待檢測逃逸文件，所述待檢測逃逸文件為所述預置設備中的驅動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關鍵函數時傳遞過來的；
[0007]對所述待檢測逃逸文件進行解析，得到對應的訪問路徑信息；
[0008]檢測所述訪問路徑信息是否與預置逃逸訪問路徑信息匹配；
[0009]若是，則確定所述虛擬機中存在逃逸行為。
[0010]依據本發(fā)明另一個方面，提供了一種虛擬機逃逸的檢測裝置，該裝置包括:
[0011 ]接收單元，用于接收虛擬機中的預置設備傳遞過來的待檢測逃逸文件，所述待檢測逃逸文件為所述預置設備中的驅動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關鍵函數時傳遞過來的；
[0012]解析單元，用于對所述接收單元接收的待檢測逃逸文件進行解析，得到對應的訪問路徑信息；
[0013]檢測單元，用于檢測所述解析單元解析得到的訪問路徑信息是否與預置逃逸訪問路徑信息匹配；
[0014]確定單元，用于若所述檢測單元檢測出所述訪問路徑信息與預置逃逸訪問路徑信息匹配，則確定所述虛擬機中存在逃逸行為。
[0015]借由上述技術方案，本發(fā)明實施例提供的技術方案至少具有下列優(yōu)點:
[0016]本發(fā)明提供的一種虛擬機逃逸的檢測方法及裝置，首先接收虛擬機中的預置設備傳遞過來的待檢測逃逸文件，所述待檢測逃逸文件為所述預置設備中的驅動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關鍵函數時傳遞過來的;然后對所述待檢測逃逸文件進行解析，得到對應的訪問路徑信息；最后檢測所述訪問路徑信息是否與預置逃逸訪問路徑信息匹配;若是，則確定所述虛擬機中存在逃逸行為。本發(fā)明通過對虛擬機中預置設備傳遞過來的待檢測逃逸文件對應的訪問路徑信息進行檢測，具體檢測該訪問路徑信息是否與預置逃逸訪問路徑信息匹配，可以通過分析待檢測逃逸文件的運行行為，判斷虛擬機中是否存在逃逸行為，進而可以及時檢測出虛擬機的逃逸行為，以便進行安全防護。
[0017]上述說明僅是本發(fā)明技術方案的概述，為了能夠更清楚了解本發(fā)明的技術手段，而可依照說明書的內容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的【具體實施方式】。
【附圖說明】
[0018]通過閱讀下文優(yōu)選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0019]圖1示出了本發(fā)明實施例提供的一種虛擬機逃逸的檢測方法流程示意圖；
[0020]圖2示出了本發(fā)明實施例提供的另一種虛擬機逃逸的檢測方法流程示意圖；
[0021]圖3示出了本發(fā)明實施例提供的一種虛擬機逃逸的檢測裝置結構示意圖；
[0022]圖4示出了本發(fā)明實施例提供的另一種虛擬機逃逸的檢測裝置結構示意圖。
【具體實施方式】
[0023]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠將本公開的范圍完整的傳達給本領域的技術人員。
[0024]本發(fā)明實施例提供了一種虛擬機逃逸的檢測方法，如圖1所示，所述方法包括:
[0025]101、接收虛擬機中的預置設備傳遞過來的待檢測逃逸文件。
[0026]其中，所述待檢測逃逸文件為所述預置設備中的驅動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關鍵函數時傳遞過來的。所述待檢測逃逸文件可以為ERF文件、驅動文件等。所述預置設備可以按照用戶的實際需求進行配置，用于對待檢測逃逸文件進行攔截和傳遞。所述預置關鍵函數可以根據實際需求進行配置，也可以由系統(tǒng)默認進行配置。所述預置關鍵函數可以為虛擬機中出現(xiàn)異常運行行為時才觸發(fā)執(zhí)行的函數。所述預置關鍵函數用于判定是否存在待檢測逃逸文件。
[0027]需要說明的是，對于本發(fā)明實施例的執(zhí)行主體可以為安裝在宿主機中用于監(jiān)測虛擬機逃逸的客戶端，具體可以將接收到的待檢測逃逸文件放入本地緩存內的預置行為分析引擎中進行行為分析，進而確定是否存在虛擬機的逃逸行為。所述預置設備用于在虛擬機中對待檢測逃逸文件進行攔截，并將其從虛擬機傳遞到宿主機內的該預置行為分析引擎中。
[0028]102、對待檢測逃逸文件進行解析，得到對應的訪問路徑信息。
[0029]其中，所述訪問路徑信息中包含每個路徑節(jié)點對應的執(zhí)行函數。所述執(zhí)行函數可以為讀寫函數、進程創(chuàng)建函數等。
[0030]對于本發(fā)明實施例，通過解析得到的訪問路徑信息，可以確定該待檢測逃逸文件對應的在虛擬機系統(tǒng)中的操作過程。
[0031]103、檢測訪問路徑信息是否與預置逃逸訪問路徑信息匹配。
[0032]其中，所述預置逃逸訪問路徑信息中包含逃逸文件的訪問路徑，即逃逸文件對應的在虛擬機系統(tǒng)中的運行過程。所述預置逃逸訪問路徑信息具體可以根據實際需求進行配置。
[0033]進一步地，可以預先從云服務器中獲取得到不同逃逸文件分別對應的訪問路徑信息，并可以保存在本地緩存中，用于進行訪問路徑數據的匹配校驗，進而可以實現(xiàn)對虛擬機的逃逸行為進行檢測。
[0034]104、若檢測出訪問路徑信息與預置逃逸訪問路徑信息匹配，則確定虛擬機中存在逃逸行為。
[0035]需要說明的是，當檢測出訪問路徑信息與預置逃逸訪問路徑信息匹配時，可以確定當前虛擬機中存在逃逸行為，會對宿主機造成安全威脅，需要對該逃逸行為進行及時防護，可以輸出提示信息，用于提示用戶當前虛擬機中存在逃逸行為，需要對其進行安全防護，并可以向虛擬機中的預置設備發(fā)送攔截指令，以便預置設備對該待檢測逃逸文件進行攔截，進而實現(xiàn)安全防護。
[0036]本發(fā)明實施例提供的一種虛擬機逃逸的檢測方法，首先接收虛擬機中的預置設備傳遞過來的待檢測逃逸文件，所述待檢測逃逸文件為所述預置設備中的驅動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關鍵函數時傳遞過來的;然后對所述待檢測逃逸文件進行解析，得到對應的訪問路徑信息；最后檢測所述訪問路徑信息是否與預置逃逸訪問路徑信息匹配;若是，則確定所述虛擬機中存在逃逸行為。本發(fā)明通過對虛擬機中預置設備傳遞過來的待檢測逃逸文件對應的訪問路徑信息進行檢測，具體檢測該訪問路徑信息是否與預置逃逸訪問路徑信息匹配，可以通過分析待檢測逃逸文件的運行行為，判斷虛擬機中是否存在逃逸行為，進而可以及時檢測出虛擬機的逃逸行為，以便進行安全防護。
[0037]本發(fā)明實施例提供了另一種虛擬機逃逸的檢測方法，如圖2所示，所述方法包括:
[0038]201、接收虛擬機中的預置設備傳遞過來的待檢測逃逸文件。
[0039]其中，所述待檢測逃逸文件為所述預置設備中的驅動感應到執(zhí)行所述待檢測逃逸文件觸發(fā)了執(zhí)行預置關鍵函數時傳遞過來的。所述待檢測逃逸文件可以為ERF文件、驅動文件等。所述預置設備可以按照用戶的實際需求進行配置，用于對待檢測逃逸文件進行攔截和傳遞。所述預置關鍵函數可以為虛擬機中出現(xiàn)異常運行行為時才觸發(fā)執(zhí)行的函數，具體可以根據實際需求進行配置。
[0040]需要說明的是，對于本發(fā)明實施例的執(zhí)行主體可以為安裝在宿主機中用于監(jiān)測虛擬機逃逸的客戶端，用于對虛擬機的逃逸行為進行監(jiān)控。
[0041]202、對待檢測逃逸文件進行解析，得到對應的訪問路徑信息。
[0042]其中，所述訪問路徑信息中包含每個訪問路徑節(jié)點對應的執(zhí)行函數。所述執(zhí)行函數可以為讀寫函數、進程創(chuàng)建函數等。
[0043]對于本發(fā)明實施