>[0148]可以理解的是�����,上述方法及裝置中的相關(guān)特征可以相互參考����。另外����,上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例���,而并不代表各實(shí)施例的優(yōu)劣���。
[0149]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡(jiǎn)潔��,上述描述的系統(tǒng)��,裝置和單元的具體工作過(guò)程��,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程���,在此不再贅述�。
[0150]在此提供的算法和顯示不與任何特定計(jì)算機(jī)�、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)���。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述�����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的����。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言����。應(yīng)當(dāng)明白��,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容���,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式����。
[0151]在此處所提供的說(shuō)明書(shū)中�����,說(shuō)明了大量具體細(xì)節(jié)。然而�,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐���。在一些實(shí)例中��,并未詳細(xì)示出公知的方法����、結(jié)構(gòu)和技術(shù)��,以便不模糊對(duì)本說(shuō)明書(shū)的理解���。
[0152]類似地����,應(yīng)當(dāng)理解��,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)��,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中�����,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖��、或者對(duì)其的描述中��。然而�,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)�,如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征�����。因此�,遵循【具體實(shí)施方式】的權(quán)利要求書(shū)由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。
[0153]本領(lǐng)域那些技術(shù)人員可以理解����,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?����?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件��。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外�,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合�����。除非另外明確陳述�����,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求���、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同���、等同或相似目的的替代特征來(lái)代替。
[0154]此外�����,本領(lǐng)域的技術(shù)人員能夠理解����,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征�����,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例�。例如�,在下面的權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用�����。
[0155]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)���,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�,或者以它們的組合實(shí)現(xiàn)��。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一種虛擬機(jī)逃逸的檢測(cè)方法及裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如��,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)����。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上�,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式�。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到���,或者在載體信號(hào)上提供�,或者以任何其他形式提供��。
[0156]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制��,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例����。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)�����。單詞第一、第二�����、以及第三等的使用不表示任何順序�����?����?蓪⑦@些單詞解釋為名稱��。
【主權(quán)項(xiàng)】
1.一種虛擬機(jī)逃逸的檢測(cè)方法���,其特征在于�,包括: 接收虛擬機(jī)中的預(yù)置設(shè)備傳遞過(guò)來(lái)的待檢測(cè)逃逸文件�,所述待檢測(cè)逃逸文件為所述預(yù)置設(shè)備中的驅(qū)動(dòng)感應(yīng)到執(zhí)行所述待檢測(cè)逃逸文件觸發(fā)了執(zhí)行預(yù)置關(guān)鍵函數(shù)時(shí)傳遞過(guò)來(lái)的;對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析����,得到對(duì)應(yīng)的訪問(wèn)路徑信息; 檢測(cè)所述訪問(wèn)路徑信息是否與預(yù)置逃逸訪問(wèn)路徑信息匹配����; 若是,則確定所述虛擬機(jī)中存在逃逸行為��。2.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測(cè)方法��,其特征在于��,所述訪問(wèn)路徑信息中包含每個(gè)訪問(wèn)路徑節(jié)點(diǎn)對(duì)應(yīng)的執(zhí)行函數(shù)��,所述檢測(cè)所述訪問(wèn)路徑信息是否與預(yù)置逃逸訪問(wèn)路徑信息匹配包括: 檢測(cè)所述執(zhí)行函數(shù)是否分別與預(yù)置逃逸訪問(wèn)路徑信息中相對(duì)應(yīng)預(yù)置執(zhí)行函數(shù)匹配�。3.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測(cè)方法,其特征在于�,所述對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析,得到對(duì)應(yīng)的訪問(wèn)路徑信息之前��,所述方法還包括: 計(jì)算所述待檢測(cè)逃逸文件對(duì)應(yīng)的信息摘要算法MD5值���; 檢測(cè)所述MD5值是否與預(yù)置MD5值匹配���; 若是,則確定所述虛擬機(jī)中存在逃逸行為�; 所述對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析�,得到對(duì)應(yīng)的訪問(wèn)路徑信息包括: 若否�����,則對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析���,得到對(duì)應(yīng)的訪問(wèn)路徑信息�。4.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測(cè)方法���,其特征在于��,所述對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析���,得到對(duì)應(yīng)的訪問(wèn)路徑信息之前,所述方法還包括: 提取所述待檢測(cè)逃逸文件中的關(guān)鍵片段信息��; 檢測(cè)所述關(guān)鍵片段信息與預(yù)置關(guān)鍵片段信息之間的匹配度是否大于或等于預(yù)設(shè)閾值�����; 若是�����,則確定所述虛擬機(jī)中存在逃逸行為; 所述對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析����,得到對(duì)應(yīng)的訪問(wèn)路徑信息包括: 若否����,則對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析,得到對(duì)應(yīng)的訪問(wèn)路徑信息�。5.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測(cè)方法,其特征在于����,所述若是,則確定所述虛擬機(jī)中存在逃逸行為之后��,所述方法還包括: 輸出告警信息�����,所述告警信息用于提示所述虛擬機(jī)中存在逃逸行為����。6.根據(jù)權(quán)利要求1所述的虛擬機(jī)逃逸的檢測(cè)方法,其特征在于��,所述方法還包括: 從云服務(wù)器中獲取所述預(yù)置逃逸訪問(wèn)路徑信息; 將所述預(yù)置逃逸訪問(wèn)路徑信息進(jìn)行保存�����。7.根據(jù)權(quán)利要求6所述的虛擬機(jī)逃逸的檢測(cè)方法����,其特征在于,所述將所述預(yù)置逃逸訪問(wèn)路徑信息進(jìn)行保存之后����,所述方法還包括: 檢測(cè)所述預(yù)置逃逸訪問(wèn)路徑信息是否存在更新; 若是�����,則對(duì)所述預(yù)置逃逸訪問(wèn)路徑信息進(jìn)行更新���。8.一種虛擬機(jī)逃逸的檢測(cè)裝置�����,其特征在于�����,包括: 接收單元���,用于接收虛擬機(jī)中的預(yù)置設(shè)備傳遞過(guò)來(lái)的待檢測(cè)逃逸文件����,所述待檢測(cè)逃逸文件為所述預(yù)置設(shè)備中的驅(qū)動(dòng)感應(yīng)到執(zhí)行所述待檢測(cè)逃逸文件觸發(fā)了執(zhí)行預(yù)置關(guān)鍵函數(shù)時(shí)傳遞過(guò)來(lái)的���; 解析單元,用于對(duì)所述接收單元接收的待檢測(cè)逃逸文件進(jìn)行解析���,得到對(duì)應(yīng)的訪問(wèn)路徑信息���; 檢測(cè)單元,用于檢測(cè)所述解析單元解析得到的訪問(wèn)路徑信息是否與預(yù)置逃逸訪問(wèn)路徑信息匹配����; 確定單元,用于若所述檢測(cè)單元檢測(cè)出所述訪問(wèn)路徑信息與預(yù)置逃逸訪問(wèn)路徑信息匹配���,則確定所述虛擬機(jī)中存在逃逸行為��。9.根據(jù)權(quán)利要求8所述的虛擬機(jī)逃逸的檢測(cè)裝置��,其特征在于����,所述訪問(wèn)路徑信息中包含每個(gè)訪問(wèn)路徑節(jié)點(diǎn)對(duì)應(yīng)的執(zhí)行函數(shù), 所述檢測(cè)單元�,具體用于檢測(cè)所述執(zhí)行函數(shù)是否分別與預(yù)置逃逸訪問(wèn)路徑信息中相對(duì)應(yīng)預(yù)置執(zhí)行函數(shù)匹配。10.根據(jù)權(quán)利要求8所述的虛擬機(jī)逃逸的檢測(cè)裝置��,其特征在于��,所述裝置還包括:計(jì)算單元���; 所述計(jì)算單元��,用于計(jì)算所述待檢測(cè)逃逸文件對(duì)應(yīng)的MD5值����; 所述檢測(cè)單元���,還用于檢測(cè)所述計(jì)算單元計(jì)算得到的MD5值是否與預(yù)置逃逸列表中的預(yù)置MD5值匹配��; 所述確定單元��,還用于若所述檢測(cè)單元檢測(cè)出所述MD5值與預(yù)置MD5值匹配�����,則確定所述虛擬機(jī)中存在逃逸行為�; 所述解析單元,具體用于若所述檢測(cè)單元檢測(cè)出所述MD5值與預(yù)置逃逸列表中的預(yù)置MD5值不匹配��,則對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析���,得到對(duì)應(yīng)的訪問(wèn)路徑信息�。
【專利摘要】本發(fā)明公開(kāi)了一種虛擬機(jī)逃逸的檢測(cè)方法及裝置��,涉及信息技術(shù)領(lǐng)域����,可以及時(shí)檢測(cè)出虛擬機(jī)的逃逸行為��,以便進(jìn)行安全防護(hù)��。所述方法包括:首先接收虛擬機(jī)中的預(yù)置設(shè)備傳遞過(guò)來(lái)的待檢測(cè)逃逸文件�����,所述待檢測(cè)逃逸文件為所述預(yù)置設(shè)備中的驅(qū)動(dòng)感應(yīng)到執(zhí)行所述待檢測(cè)逃逸文件觸發(fā)了執(zhí)行預(yù)置關(guān)鍵函數(shù)時(shí)傳遞過(guò)來(lái)的;然后對(duì)所述待檢測(cè)逃逸文件進(jìn)行解析�����,得到對(duì)應(yīng)的訪問(wèn)路徑信息��;最后檢測(cè)所述訪問(wèn)路徑信息是否與預(yù)置逃逸訪問(wèn)路徑信息匹配���;若是���,則確定所述虛擬機(jī)中存在逃逸行為。本發(fā)明適用于對(duì)虛擬機(jī)逃逸行為的檢測(cè)�。
【IPC分類】G06F21/55, G06F21/53
【公開(kāi)號(hào)】CN105608374
【申請(qǐng)?zhí)枴緾N201510958956
【發(fā)明人】汪圣平, 唐青昊
【申請(qǐng)人】北京奇虎科技有限公司, 北京奇安信科技有限公司
【公開(kāi)日】2016年5月25日
【申請(qǐng)日】2015年12月18日