虛擬機(jī)異常檢測(cè)方法、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬機(jī)領(lǐng)域,具體而言,涉及一種虛擬機(jī)異常檢測(cè)方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]隨著信息技術(shù)的不斷發(fā)展,云計(jì)算技術(shù)的應(yīng)用變得越來(lái)越廣泛,其面臨的挑戰(zhàn)也越來(lái)越多,安全性問(wèn)題是其中的一個(gè)重要方面。虛擬機(jī)作為云計(jì)算基礎(chǔ)設(shè)施中基本的計(jì)算資源,成為了惡意軟件極具吸引力的攻擊目標(biāo)。云用戶(hù)被授予特權(quán)后可以通過(guò)網(wǎng)絡(luò)訪問(wèn)其虛擬機(jī)并安裝任意種類(lèi)任意版本的操作系統(tǒng)及應(yīng)用,而這些操作系統(tǒng)和應(yīng)用本身可能帶有漏洞,會(huì)給系統(tǒng)帶來(lái)風(fēng)險(xiǎn)。這些帶有漏洞的虛擬機(jī)極易被攻擊者攻陷,并成為攻擊者攻擊云系統(tǒng)內(nèi)其他虛擬機(jī)的跳板。因此,為保證整個(gè)云系統(tǒng)的安全,需要確保運(yùn)行在各服務(wù)器內(nèi)部的虛擬機(jī)的安全。
[0003]目前,以服務(wù)器為單位的安全防護(hù)措施雖然能夠保證該服務(wù)器環(huán)境的安全,但不能有效兼顧服務(wù)器內(nèi)部的虛擬機(jī)的安全性。傳統(tǒng)的基于進(jìn)程分析的安全檢測(cè)方法多應(yīng)用于單機(jī)環(huán)境,數(shù)據(jù)源比較單一,而云環(huán)境下的分布式部署模式使得分析方法可以利用不同數(shù)據(jù)源的數(shù)據(jù),這為進(jìn)程分析提供了新的檢測(cè)方法。目前基于進(jìn)程分析的網(wǎng)絡(luò)異常的安全檢測(cè)方法分析的是服務(wù)器或網(wǎng)絡(luò)的總體流量,流量大,干擾多,效率低?,F(xiàn)在的安全檢測(cè)方法在應(yīng)對(duì)云環(huán)境下虛擬機(jī)的安全威脅時(shí)存在著一些不足,當(dāng)某些虛擬機(jī)出現(xiàn)安全問(wèn)題時(shí),若不能及時(shí)發(fā)現(xiàn)解決則會(huì)給該服務(wù)器甚至整個(gè)系統(tǒng)帶來(lái)完全威脅。
[0004]針對(duì)相關(guān)技術(shù)中的安全檢測(cè)方法不能兼顧服務(wù)器內(nèi)部虛擬機(jī)的安全性的問(wèn)題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供了一種虛擬機(jī)異常檢測(cè)方法、裝置及系統(tǒng),以至少解決相關(guān)技術(shù)中的安全檢測(cè)方法不能兼顧服務(wù)器內(nèi)部虛擬機(jī)的安全性的技術(shù)問(wèn)題。
[0006]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種虛擬機(jī)異常檢測(cè)系統(tǒng),該系統(tǒng)用于檢測(cè)服務(wù)器內(nèi)部的虛擬機(jī)是否異常,該系統(tǒng)包括:進(jìn)程分析引擎,用于對(duì)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息進(jìn)行分析;網(wǎng)絡(luò)分析引擎,用于對(duì)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量進(jìn)行分析;以及決策引擎,分別與進(jìn)程分析引擎和網(wǎng)絡(luò)分析引擎相連接,用于根據(jù)進(jìn)程分析引擎和網(wǎng)絡(luò)分析引擎的分析結(jié)果做出安全決策。
[0007]進(jìn)一步地,服務(wù)器包括:進(jìn)程信息采集器,與進(jìn)程分析引擎相連接,用于采集服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息,并將采集到的進(jìn)程信息發(fā)送至進(jìn)程分析引擎進(jìn)行分析;進(jìn)程流量采集器,與網(wǎng)絡(luò)分析引擎相連接,用于采集服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息,并將采集到的進(jìn)程的網(wǎng)絡(luò)流量信息發(fā)送至網(wǎng)絡(luò)分析引擎進(jìn)行分析;以及執(zhí)行器,與決策引擎相連接,用于執(zhí)行決策引擎做出的安全決策。
[0008]進(jìn)一步地,決策引擎用于根據(jù)進(jìn)程分析引擎的分析結(jié)果確定是否啟動(dòng)網(wǎng)絡(luò)分析引擎對(duì)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量進(jìn)行分析,其中,在進(jìn)程分析引擎無(wú)法確定服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常時(shí),決策引擎啟動(dòng)網(wǎng)絡(luò)分析引擎對(duì)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量進(jìn)行分析。
[0009]進(jìn)一步地,決策引擎做出的安全決策至少包括以下任意一種決策:終止進(jìn)程、需要對(duì)進(jìn)程進(jìn)行網(wǎng)絡(luò)分析、將進(jìn)程進(jìn)行斷網(wǎng)、丟棄進(jìn)程的異常數(shù)據(jù)包、將進(jìn)程的數(shù)據(jù)包轉(zhuǎn)發(fā)至網(wǎng)絡(luò)分析器分析、增加進(jìn)程的檢測(cè)頻率。
[0010]根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種虛擬機(jī)異常檢測(cè)方法,包括:獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息;分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常;在檢測(cè)到服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程異常時(shí),根據(jù)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息的分析結(jié)果確定安全決策;在檢測(cè)到無(wú)法確定服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常時(shí),獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息;分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常;以及在檢測(cè)到服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程異常時(shí),根據(jù)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息的分析結(jié)果和服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息的分析結(jié)果確定安全決策。
[0011]進(jìn)一步地,分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常包括:分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息,檢測(cè)預(yù)設(shè)進(jìn)程庫(kù)中是否存在進(jìn)程,其中,預(yù)設(shè)進(jìn)程庫(kù)中包括正常進(jìn)程數(shù)據(jù)庫(kù)和異常進(jìn)程數(shù)據(jù)庫(kù);在檢測(cè)到正常進(jìn)程數(shù)據(jù)庫(kù)中存在進(jìn)程時(shí),確定進(jìn)程為正常進(jìn)程,并檢測(cè)下一個(gè)進(jìn)程是否異常;在檢測(cè)到異常進(jìn)程數(shù)據(jù)庫(kù)中存在進(jìn)程時(shí),分別進(jìn)行以下判斷:判斷進(jìn)程是否資源使用異常、判斷進(jìn)程是否隱藏、判斷進(jìn)程中是否存在異常序列,其中,當(dāng)進(jìn)程資源使用異常,和/或,進(jìn)程隱藏,和/或,進(jìn)程中存在異常序列時(shí),確定進(jìn)程為異常進(jìn)程。
[0012]進(jìn)一步地,分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常包括:從服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息中獲取進(jìn)程的流量特征;檢測(cè)預(yù)設(shè)特征庫(kù)中是否存在進(jìn)程的流量特征,其中,預(yù)設(shè)特征庫(kù)中包括正常進(jìn)程流量特征和異常進(jìn)程流量特征;在檢測(cè)到預(yù)設(shè)特征庫(kù)中存在進(jìn)程的流量特征,且進(jìn)程的流量特征為正常進(jìn)程流量特征時(shí),確定進(jìn)程為正常進(jìn)程;在檢測(cè)到預(yù)設(shè)特征庫(kù)中不存在進(jìn)程的流量特征或者預(yù)設(shè)特征庫(kù)中存在進(jìn)程的流量特征且進(jìn)程的流量特征為異常進(jìn)程流量特征時(shí),根據(jù)機(jī)器學(xué)習(xí)算法利用預(yù)先建立的檢測(cè)模型判斷進(jìn)程是否異常。
[0013]進(jìn)一步地,在通過(guò)分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息確定進(jìn)程異常之后,該方法還包括:生成進(jìn)程的第一異常報(bào)告信息,其中,第一異常報(bào)告信息包括:進(jìn)程的基本屬性標(biāo)識(shí),進(jìn)程是否使用網(wǎng)絡(luò)資源,進(jìn)程檢測(cè)結(jié)果是否確定,進(jìn)程的異常狀態(tài),其中,當(dāng)進(jìn)程檢測(cè)結(jié)果不確定時(shí),執(zhí)行獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息的步驟;在通過(guò)分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息確定進(jìn)程異常之后,方法還包括:生成進(jìn)程的第二異常報(bào)告信息,其中,第二異常報(bào)告信息包括:進(jìn)程的基本屬性標(biāo)識(shí),進(jìn)程的網(wǎng)絡(luò)流量是否異常。
[0014]進(jìn)一步地,生成進(jìn)程的第一異常報(bào)告信息或者進(jìn)程的第二報(bào)告信息之后,該方法還包括:根據(jù)進(jìn)程的第一異常報(bào)告信息或者進(jìn)程的第二異常報(bào)告信息分析進(jìn)程異常的原因;根據(jù)分析得到的進(jìn)程異常的原因確定安全決策,其中,安全決策至少包括以下任意一種決策:終止進(jìn)程、需要對(duì)進(jìn)程進(jìn)行網(wǎng)絡(luò)分析、將進(jìn)程進(jìn)行斷網(wǎng)、丟棄進(jìn)程的異常數(shù)據(jù)包、將進(jìn)程的數(shù)據(jù)表轉(zhuǎn)發(fā)至網(wǎng)絡(luò)分析器分析、增加進(jìn)程的檢測(cè)頻率。
[0015]根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種虛擬機(jī)異常檢測(cè)裝置,包括:第一獲取模塊,用于獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息;第一檢測(cè)模塊,用于分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常;第一確定模塊,用于在檢測(cè)到服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程異常時(shí),根據(jù)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息的分析結(jié)果確定安全決策;第二獲取模塊,用于在檢測(cè)到無(wú)法確定服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常時(shí),獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息;第二檢測(cè)模塊,用于分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常;以及第二確定模塊,用于在檢測(cè)到服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程異常時(shí),根據(jù)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息的分析結(jié)果和服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息的分析結(jié)果確定安全決策。
[0016]在本發(fā)明實(shí)施例中,采用獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息;分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常;在檢測(cè)到服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程異常時(shí),根據(jù)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息的分析結(jié)果確定安全決策;在檢測(cè)到無(wú)法確定服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常時(shí),獲取服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息;分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息,檢測(cè)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程是否異常;以及在檢測(cè)到服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程異常時(shí),根據(jù)服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程信息的分析結(jié)果和服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的網(wǎng)絡(luò)流量信息的分析結(jié)果確定安全決策的方式,通過(guò)綜合分析服務(wù)器內(nèi)虛擬機(jī)的進(jìn)程的基本信息以及進(jìn)程的網(wǎng)絡(luò)流量判斷該進(jìn)程是否異常,達(dá)到了準(zhǔn)確分析虛擬機(jī)進(jìn)程是否異常的目的,從而實(shí)現(xiàn)了提高服務(wù)器內(nèi)虛擬機(jī)異常檢測(cè)的準(zhǔn)確度的技術(shù)效果,進(jìn)而解決了相關(guān)技術(shù)中的安全檢測(cè)方法不能兼顧服務(wù)器內(nèi)部虛擬機(jī)的安全性的技術(shù)問(wèn)題。
【附圖說(shuō)明】
[0017]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0018]圖1是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)異常檢測(cè)系統(tǒng)的示意圖;
[0019]圖2是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)異常檢測(cè)系統(tǒng)的兩級(jí)分析策略的示意圖;
[0020]圖3是根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)異常檢測(cè)系統(tǒng)的執(zhí)行流程圖;
[0021]圖4是根據(jù)本發(fā)明實(shí)施例的進(jìn)程分析引擎的分析流程圖;
[0022]圖5是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)分析引擎的分析流程圖;
[0023]圖6是根據(jù)本發(fā)明實(shí)施例的決策引擎的分析流程圖;
[0024]