CN102902920A - 一种虚拟化用户准入安全检测和隔离方法及其系统 - Google Patents

Abstract

本发明提供了一种虚拟化用户准入安全检测和隔离方法及其系统，通过在计算中的系统调用中使用改进的完美贝叶斯均衡(PBE)算法对用户行为的系统调用进行判定,利用算法构造策略引擎，使用引擎决策现有用户的行为以达到用户代码和服务器系统内核双方利益最大化，并且使用代理技术实现中断判定和访问同时实现计算和操作系统之间的隔离，改进沙箱技术从而达到在用户服务效率和安全保证之间的相对优化。本发明对于系统资源等消耗和读取判定速度一定程度上达到了大面积使用的要求，特别是能够有效地阻止恶意代码的特殊系统调用，极大程度上保护了系统的安全，并且在文件访问等几项经常性的系统调用操作中，检测速度和性能也相对有所提高。

Description

一种虚拟化用户准入安全检测和隔离方法及其系统

技术领域

本发明涉及网络检测和防护以及虚拟化安全计算，具体涉及一种虚拟化计算下的用户准入安全检测和隔离技术。

背景技术

对于现有操作系统安全来说，错误的软件架构和用户误操作或者恶意病毒对用户操作系统的破坏在所难免，先前的大多数访问控制技术只是阻止可疑程序对系统访问，容易判断失误。而沙箱技术则是把可以程序的阻止系统访问，转变成将可疑程序对磁盘、注册表等的访问重定向到指定文件夹下，从而更大程度上的保护用户操作系统。现有的沙箱技术在浏览器或其他程序中的使用主要出自Greenborder公司的沙箱技术，根据其使用环境和技术路线可分为两种：第一种是采用虚拟技术的传统沙盘，如sandboxie；第二种就是采用策略限制的沙盘，主要有：

windows下的ACL文件访问控制列表和SID安全标识符；

linux的chroot权限隔离技术和SElinux技术；

MAC OS X的Seatbelt技术；

Linux的seccomp技术；

其中Seccomp（Secure Computing Mode）既安全计算模式是在linux 2.6.23和以后的一种内核模式，当进程进入此模式中，只能进行exit()、sigreturn()、read()和write()四种系统调用，而其他的syscall则会使内核发送SIGKILL信号结束进程。

现有的沙箱技术是运行在进程级的粒度。这就意味着沙盒需要独占一个进程。最小化的沙箱应该有两个模块：一个模块可以被称为代理人机制，即沙箱进程中会产生一个或多个被称为特权控制器的线程来控制在沙箱内部运行的状态。另一个则是包括一个静态库在内的模块，这个模块必须与前面的代理人和目标可执行文件一致。

现有使用的沙箱技术是一个基于用户模式下的沙箱。一方面，在云环境下运行其上的程序需要给网络中不同用户提供服务，甚至其执行的代码也是由不同网络用户申请提交并进行运行的，这就需要用到强制访问控制MAC来提供可靠的白名单访问，但是原有的模型只是基于自身判断，容易由于自身的原因产生误操作，从而错误的撤销并回滚无关用户并行执行的服务。另一方面，虽然Seccomp使用的系统调用过滤技术，允许进程将其本身严格的限制到受限的系统调用集。但是Seccomp模式的进程不能动态分配内存、不能与其它进程使用共享内存、不能使用新的文件描述符，这无形就限制了沙箱系统的一些安全功能的实现。并且PR_SET_SECCOMP功能也在其运行中存在错误，允许本地用户通过将32位进程切换到64位模式并在64位进程中使用syscall指令或interrupt 80h绕过安全执行某些受限制的系统调用，从而对现有操作系统产生威胁。

发明内容

为了克服现有技术的不足，本发明提供一种虚拟化用户准入安全检测和隔离方法，对在使用虚拟化技术的沙箱中用户和其代码的准入进行判定，通过前期历史数据中一些异常行为检出并且阻止其恶意代码进行特殊的系统调用，以便于减少用户代码对系统的破坏；同时希望提高原有seccomp沙箱对资源消耗和读取的判定速度，阻止恶意代码对系统内核的特殊调用，并且能够在判定文件访问等经常性的系统调用操作中体现出较快的检测速度和较高的检测性能。

本发明解决其技术问题所采用的技术方案包括以下步骤：

步骤1：在中间件中，建立目标主机的操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的模型，并在沙箱保护下的目标主机上记录syscall调用情况，针对记录的数据传递给策略引擎进行处理；

步骤2：策略引擎接收到用户代码和用户相关的特征信息后，则通过引擎中建立的信号博弈模型对这些信息进行识别，根据原有概率计算用户代码是否为恶意代码的概率；同时在策略引擎中建立内核验证模型，把通过算法分类的特征信息放入决策集中，在决策集中使用被改进的代价策略认证机制的完美贝叶斯算法对用户行为进行判断，并且同时使用目标主机中的中断器对用户代码的运行状况进行记录，然后在沙箱中运行的用户进程进行系统调用运行，在运行的同时IPC终端中对用户代码产生的用户进程进行重定向；

步骤3：在策略引擎进行判断后，中间件的IPC服务器利用目标进程和主机的交互信息核查其同步处理状况；同时中间件把目标进程和主机处理的作业在转移到中断管理器中，并且沙箱对在其内部运行的仿真代码产生的内核信号进行记录，当这些信号传递给运行时软件的时候，如果编译器正在执行解释，则其会在运行时把解释例程传递给用户中断例程，并且解释例程也会同时把控制权传递给用户中断例程进行处理；如果编译器未在执行，则软件对信号自行处理。在结束处理的时候，目标主机中的中断器更新中断处理表；

步骤4：针对放入虚拟化沙箱的用户策略，策略平台使用历史数据比较来逐渐剔除劣势策略，并且根据历史数据计算回滚代价和用户期望，形成相对优化策略；然后把这些写入策略引擎数据库形成历史数据，之后运行的时候策略引擎通过认证的方式触发或者进程保护方式触发提取策略引擎数据库中的历史数据；同时策略引擎使用步骤2的改进的完美贝叶斯算法对用户在主机内运行产生的代价进行记录更新，从而形成相对准确的沙箱完美贝叶斯算法优化模型。

本发明还提供一种实现上述虚拟化用户准入安全检测和隔离方法的系统，包括以下子模块：

中间件模块，包含中断管理器子模块，策略平台子模块，策略引擎子模块和IPC服务子模块；其中中间件模块主要是进行算法的预处理，中断管理子模块负责接收各个目标主机沙箱内的中断发出的信号，策略子平台负责对信号进行提取分类和储存策略数据，策略引擎子模块则进行算法处理，IPC服务子模块负责和目标机中的IPC模块进行通信，包括交换中断信号和命令处理；

沙箱模块，包括目标子模块下的IPC终端子模块，策略引擎终端子模块和中断器子模块；其中沙箱模块负责目标主机中各个用户程序或代码的单独运行，在各个目标主机中的策略引擎终端负责根据中间件中的策略引擎的给出的算法进行相应的执行处理，中断器则负责中断处理，并且把中断场景中的相应数据传输到中间件中进行相应的算法处理。

本发明的有益效果是：本发明使用完美均衡博弈策略对于沙箱判定用户行为和相应准入代价形成算法，在策略引擎中进行判定，从而减小用户代价，并且对历史数据中一些异常行为能够检出并且阻止其恶意代码进行特殊的系统调用从而减少其对系统的破坏。

针对用户准入判断的方法，能够对系统资源等消耗和读取判定速度一定程度上较原来seccomp沙箱中恶意代码的特殊系统调用能够有效地阻止，并且在判定文件访问等几项经常性的系统调用操作体现出较好的检测速度和性能。

附图说明

图1是资源代理机制图；

图2是认证策略代价；

图3是中断触发处理。

具体实施方式

下面结合附图和实施例对本发明进一步说明。

1.系统模型改进原则

本方法根据如下四点设计原则进行方法和系统的设计：

其一，假设云环境下几乎所有云用户的软件代码都在其平台上执行I/O操作。那么现有的很多行为是在Seccomp中严格受限的。这就要求软件打开文件描述符的时候作为通信信道确保非可信代码在进行操作时候严格受到安全监控。这就意味着必须在应用程序代码进行调整的时候分离其更新的部分，进行安全检查来确保其更新部分的安全。

其二，系统最大程度设计于执行非可信程序代码。这就要求沙箱控制普通用户不能提升到超级用户的权限。

其三，现有的模拟环境和虚拟化安全解决方案本身并不能提供安全保障。沙箱不应该依赖代码仿真、代码转换或代码修补来提供安全保障[8]。

其四，改进的Seccomp模式应该通过智能算法对进程进行动态分配内存、并且其算法或者策略也能够让其保护的应用程序产生的进程与其它进程使用共享内存、也可以使用新的文件描述符。

2.沙箱的资源认证和服务模型

根据上述原则，以避免本地用户通过进程切换绕过seccomp对系统产生破坏，应该建立操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的多阶段模型。

其中沙箱内资源的提供与使用通过提供服务但随时可能回滚的方式来实现安全性，但回滚的同时可能因为颗粒度原因会撤销回滚在同一进程或者服务组的其他正常服务用户。现有针对服务分为两种角色：代理人(Broker)和代理对象(Target)，双方的目的是实现资源最大化使用从而提供最大化服务。相当于对服务资源的交易[9]。

考察syscall调用的情况实际就是一种资源的交易情况：假设代理对象提供的若干种资源可靠性可能不相同，资源的重要属性为K。这里的“可靠性”是指，在实际使用时，代理对象不会因为某种原因而中断服务并实现回滚的概率。代理对象知道自身服务可靠性但不知道对方使用可靠性，如果判断服务行为错误则重新提供服务F，任务代理根据观察到的F决定成交策略。我们可以通过建立信号传递博弈方式，根据用户代码可靠性来选择代理对象类型，并且依据此类型作为代理对象进行服务并向代理人发出信号，之后就可以利用回滚概率推断资源代理的类型并做出相应的决策，据此以建立相应的信号博弈模型。

3.沙箱中用户准入的PBE模型

针对信号博弈模型，可以得出现有的信息传递博弈中对于认证策略的组合公式：

定义一：信息传递博弈的一个完美贝叶斯均衡是一个认证策略组合σ*和后验信念μ(·｜a₁)，使得：

$\left(P_1\right)\∀\mathrm{\θ},{\mathrm{\σ}}_1^{*}(\·|\mathrm{\θ}){\∈\arg \max }_{a_1}{u}_1(a_1,{\mathrm{\σ}}_2^{*},\mathrm{\θ})---\left(1\right)$

$\left(P_2\right)\∀a_1,{\mathrm{\σ}}_2^{*}(\·|\mathrm{\θ})\∈\arg m{\mathrm{ax}}_{a_2}{\mathrm{\Σ}}_{\mathrm{\θ}}u\left(\mathrm{\θ}\right|a_1)u_2(a_1,a_2,\mathrm{\θ})---\left(2\right)$

$\left(B\right)\mathrm{\μ}\left(\mathrm{\θ}\right|a_1)=\frac{p\left(\mathrm{\θ}\right){\mathrm{\σ}}_1^{*}\left(a_1\right|\mathrm{\θ})}{{\mathrm{\Σ}}_{{\mathrm{\θ}}^{\′}\∈\mathrm{\Θ}}p\left({\mathrm{\θ}}^{\′}\right){\mathrm{\σ}}_1^{*}\left(a_1\right|{\mathrm{\θ}}^{\′})}---\left(3\right)$

如果

${\mathrm{\ρ}}_i=\underset{{\mathrm{\θ}}^{\′}\∈\mathrm{\Θ}}{\mathrm{\Σ}}p\left({\mathrm{\θ}}^{\′}\right){\mathrm{\σ}}_1^{*}\left(a_1\right|{\mathrm{\θ}}^{\′})>0$

并且u₂(·｜a₁)是Θ上任意的概率分布

如果

${\mathrm{\ρ}}_i=\underset{{\mathrm{\θ}}^{\′}\∈\mathrm{\Θ}}{\mathrm{\Σ}}p\left({\mathrm{\θ}}^{\′}\right){\mathrm{\σ}}_1^{*}\left(a_1\right|{\mathrm{\θ}}^{\′})=0$

其中P₁和P₂分别是模型中的两方用户执行代码和内核验证模型的条件。其中P1表明用户a₁对于系统内核验证的行动的影响，其中条件P₁在混合验证模型采取用户最大化原则，则条件等价于：

$a_1\∈\mathrm{support}{\mathrm{\σ}}_1^{*}(\·|\mathrm{\θ})\⇔a_1\∈\arg \mathrm{ma}{x}_{\widetilde{a_1}}{u}_1(\widetilde{a_1},{\mathrm{\σ}}_2^{*}(\·|\widetilde{a_1}),\mathrm{\θ})---\left(4\right)$

P₂表明系统内核验证在给定系统调用类型θ的后验期望时，对于用户代码的行动做出最优化执行策略。B表明贝叶斯法则在决策中的使用。其中a₁如果不作为最优执行策略的部分条件，则a₁只能是零散事件，且后验概率也不能被确定。

其次在观察行动非完全信息博弈下，对每个服务用户i在有限集合Θ_i下都具有服务属性θ_i，则有θ_i＝(θ₁，θ₂...θ_I)，假设其属性各自独立，且边缘分布积为p，则有

$p_{\mathrm{\θ}}={\∏}_{i=1}^I{p}_{\mathrm{\θ}}\left({\mathrm{\θ}}_i\right)---\left(5\right)$

其中，p_θ(θ_i)是参与人i类型为θ_i的概率。在t=0，1，2…，T时间内进行，并且每一时刻t都有参与人选择一个服务，这些服务由代理对象执行。

下面考虑下行为策略的后验概率问题，假定用户使用服务在每一阶段的行动与类型无关。令

表示云服务i在时间t的行动，

是时间t时候的行为向量。并令h^t＝(a⁰，...，a^t-1)表示时间t的行为记录。行为策略的记录和类型集映射到行动空间上：σ_i(a_i｜h^t，θ_i)其中a_i是给定h^t和θ_i时的概率。云用户i的收益为u_i(h^T+1，θ)。

希望使得每一个使用的用户代码得到的服务最大化，则策略中引入贝叶斯纳什均衡，且对于每个t开始的每一个可能的记录h^t的”后续博弈”同样生效。如果其转化为真实策略，则必须在后续博弈的开始阶段设定用户i的服务期望。用户代码i在对手类型是θ_-i时的条件概率表示为μ_i＝(θ_-i|θ_i，h^t)，并假设所有用户i，时间t，记录h^t，和属性θ_i有定义。

B(i)定义类型间互相独立，且用户i的所有类型都具有相同目标，获取服务。对于所有的θ，t，h^t，有：

μ_i(θ_-i｜θ_i，h^t)＝П_j≠iμ_i(θ_i｜h^t)                                    (6)

B(i)中内核未预料到的用户代码行为也不会让用户i相信沙箱验证系统的类型之间是相关的。对于云用户执行代码的策略抉择，可以考虑当时期t的系统记录概率0的时候从h^t到t时的t+1更新，并且同时参考当h^t正概率且用户k≠j在时间t选择0概率的行动时用户j的决策。则有：

B(ii)根据贝叶斯法则，对于判定μ_i(θ_i|θ_i，h^t)到μ_i(θ_i|θ_i，h^t+1)里面所有的i，j，h^t，和 $a_j^t\∈A_j\left(h^t\right),$ 若则有μ_i(θ_i｜θ_i，h^t)〉0并 ${\mathrm{\σ}}_j\left(a_j^t\right|h^t,\widehat{{\mathrm{\θ}}_j})>0,$ 则对于所有的θ_j有：

${\mathrm{\μ}}_i\left({\mathrm{\θ}}_i\right|(h^t,a^t))=\frac{{\mathrm{\μ}}_i\left({\mathrm{\θ}}_i\right|h^t){\mathrm{\σ}}_j\left(a_j^t\right|h^t,{\mathrm{\θ}}_j)}{{\mathrm{\Σ}}_{\widehat{{\mathrm{\θ}}_j}}{\mathrm{\μ}}_i\left(\widehat{{\mathrm{\θ}}_j}|h^t\right){\mathrm{\σ}}_j\left(a_j^t\right|h^t,\widehat{{\mathrm{\θ}}_j})}---\left(7\right)$

同时参考后验决策与给定h^t在Θ上面的共同联合分布一致，则有：

B(iii)对所有的h^t，θ_κ及l，j，k，

μ_i(θ_k｜h^t)＝μ_j(θ_k|h^t)＝μ(θ_k|h^t)                          (8)

且

μ(θ_-i｜h^t)μ(θ_i|h^t)＝μ(θ｜h^t)                              (9)

上述B(i)～B(iii)的联合策略σ和期望μ，对于任何t和h^t开始的策略则符合后续博弈的贝叶斯均衡，给定概率分布q和历史记录h^t，令μ_i(σ｜h^t，θ_i，q)表示θ_i在达到h^t的条件下在组合σ的期望。有：

(P)对于每一个云用户提交服务或执行代码i，系统调用类型θ，用户执行代码i的其他策略

以及syscall记录h^t，

${\mathrm{\μ}}_i\left(\mathrm{\σ}\right|h^t,{\mathrm{\θ}}_i,\mathrm{\μ}(\·|h^t))\≥u_i\left(({\mathrm{\σ}}_i^{\′},{\mathrm{\σ}}_{-i})\right|h^t,{\mathrm{\θ}}_i,\mathrm{\μ}(\·|h^t))---\left(10\right)$

一个完美贝叶斯均衡(σ，μ)，满足P和B(i)～B(iii)。上述策略引擎可以使用策略决策现有用户的行为以达到用户代码和服务器系统内核双方利益最大化。

根据上述策略，制定用户服务策略，其中通过原有linux kernel的权能模块(capabilities)进行权限限制，通过进程限制[10]，对syscall调用的进程进行重新仲裁。则结合上述条件形成：

假设准入策略对于程序判定根据(B)确定分布形式：

${\mathrm{\&rho;}}_i(\mathrm{\&Psi;},\mathrm{\&tau;})=\left\{\begin{array}{cc}0& \mathrm{if\&Psi;}<\mathrm{\&tau;}\\ {\mathrm{\&Xi;}}_{\mathrm{\&Psi;}}& \mathrm{if\&Psi;}=\mathrm{\&tau;}\end{array}\right.---\left(11\right)$

其中对于判定类型由两个随机参数Ψ，τ确定，其中是用户代码的执行时间，而Ψ是用户调用每种syscall的时间长度。

定理1：假设用户代码使用文件传输函数如公式(11)所示，使用Ξ在[ζ₁，ζ_n]上的分布有0<ζ₁〈ζ_n，和用户代码访问时长τ分布在{1…n}。并且Ψ，τ都有已知和未知的访问程序。假设限定的分布是有限的。下面有完美的贝叶斯均衡：

用户代码执行“悲观的”策略：如果p_η＝0策略引擎接受Ψ〈τ。当Ψ＝τ，则Ξ_Ψ〉p_η有先前连接的所有接口可以被调用(如果Ξ_Ψ〈p_η则不进行服务，当Ξ_Ψ＝p_η则有可能进行服务)。

用户代码服务代价：

$p_{\mathrm{\&eta;}}=\left\{\begin{array}{cc}0& \mathrm{if\&eta;}<{\mathrm{\&eta;}}^{*}\\ u^{*}{\mathrm{\&eta;}}^{*}& \mathrm{otherwise}\end{array}\right.---\left(12\right)$

且(u^*，η^*)∈arg max_(u，η)uηP(U〉u，Ψ＝τ)。

证明：使用逆序归纳证明上述理论，并且迭代去除相对劣势策略。使得主动服务时长n的”劣势”策略。

假设使用主动时长n和效用参数U＝u。用户代码使用类型(u，n)。当博弈迭代n次，一个n的用户最佳策略是接受风险小于nu的服务，这是因为用户赔偿的最大效用高于用户拒绝完成最后一个syscall调用的效用。其中u的期望U低于最低边际I，而策略引擎在n次服务时候对应有nl。确切来讲，当去除用户的劣势策略时候，同时也应该去除沙箱决策的劣势策略，但沙箱决策仍然保留最低代价nl。

当使用最佳策略iP(K=i)有超过一个最大值的时候，现有的用户仍使用”悲观”策略，但必须保证验证服务对于客户端来讲能够对用户代码的”悲观”策略产生回应。特别当策略引擎能够在iP(k=i)中检出非零代价排列的最大化序列。

在B(i)中任何正数的t都能找到唯一的策略来剔除其劣势策略。当设置为0的时候，策略仍然在定理1中能形成贝叶斯均衡，但其技术路线上已经不构成唯一策略，因为用户代码的回应也不是一一对应的了。例如：开始的时候，未知用户在有损耗代价的情况下，会在接受或不接受调用服务之间自由选择，而选择与不选择对用户来讲都不是最优策略。

其中认证策略组函数

且完美贝叶斯博弈中参数x ∈[0，0.516]。而认证策略沙箱

和独立函数的定义如下：

是序列

在公式(12)的博弈体现，并且和

相互之间独立于x，公式如图2所示，现有的认证中假设函数为

$p_1^{*}=\frac{r_1-\mathrm{tx}}{2(1-x)(r_2-x)},$ $p_2^{*}=\frac{r_1-(t-2)x}{2(1-x)(r_2-x)}---\left(13\right)$

是认证策略代价函数，其中有p₁〈U 且p₂〈2U时候连接两个函数的短期函数。且有

用户期望代价达到

上面使用认证策略代价处理了用户期望概率，接下来使用”悲观”策略处理沙箱对于用户系统调用控制的策略和用户之间的关系。这里有

是一个PBE，且

并且用户策略如下定义：

代价策略序列{0，(1/2-x)}.

短期策略，且有 $S_C^P\left(\mathrm{Sandbox}\right)=s_c^{*}\left(\mathrm{Sandbox}\right).$

是一个悲观策略连接p₁=0并且有p₂〈2U。这里S^p中的p表示JPC中的悲观策略。

在图2中可以看到沙箱最大化的期望回报与用户期望相反，当

时每一种策略都会有最佳的结果，如同在博弈论[16]中论述的，当

不仅只有一种最佳PBE策略。

4.沙箱中的PBE博弈认证算法

根据上述总结出算法如下：

其中，进行判断的时候使用中断处理进入策略引擎。同时触发沙箱进行判定并重定向。对于目标责任块来讲可以利用目标进程和主机局部性降低调用核查同步处理量。现有在控制转移到中断处理器之前，被仿真的运行代码登记所有信号，当信号传递给运行时软件，如果正在执行解释，则会在运行时把解释例程传递给用户中断，并且解释例程也会提前把控制传递给用户中断进行处理，并结束处理，更新中断处理表。处理过程如图3所示：

另一方面，针对策略的用户代价和系统代价，也要进行判定并且形成历史数据，从而让下一次判定更加高效和准确，在算法1中的writeset(T)写入算法2中使用代价博弈对历史数据使用PBE进行调整，达到判定的相对优化，算法2如下：

上面算法中针对劣势策略使用历史数据比较来逐渐剔除劣势策略，并且根据历史数据计算回滚代价和用户期望。形成相对优化策略，然后写入策略引擎数据库形成历史数据，之后通过沙箱认证或者进程保护来触发数据库的历史数据使用PBE算法对双方代价进行更新。从而形成相对准确的沙箱PBE算法优化模型。

Claims (2)

1.一种虚拟化用户准入安全检测和隔离方法，其特征在于包括下述步骤：

步骤1：在中间件中，建立目标主机的操作系统上执行的代码和操作系统内核之间的可观察行动和不完全信息的模型，并在沙箱保护下的目标主机上记录syscall调用情况，针对记录的数据传递给策略引擎进行处理；

步骤2：策略引擎接收到用户代码和用户相关的特征信息后，则通过引擎中建立的信号博弈模型对这些信息进行识别，根据原有概率计算用户代码是否为恶意代码的概率；同时在策略引擎中建立内核验证模型，把通过算法分类的特征信息放入决策集中，在决策集中使用被改进的代价策略认证机制的完美贝叶斯算法对用户行为进行判断，并且同时使用目标主机中的中断器对用户代码的运行状况进行记录，然后在沙箱中运行的用户进程进行系统调用运行，在运行的同时IPC终端中对用户代码产生的用户进程进行重定向；

步骤3：在策略引擎进行判断后，中间件的IPC服务器利用目标进程和主机的交互信息核查其同步处理状况；同时中间件把目标进程和主机处理的作业在转移到中断管理器中，并且沙箱对在其内部运行的仿真代码产生的内核信号进行记录，当这些信号传递给运行时软件的时候，如果编译器正在执行解释，则其会在运行时把解释例程传递给用户中断例程，并且解释例程也会同时把控制权传递给用户中断例程进行处理；如果编译器未在执行，则软件对信号自行处理。在结束处理的时候，目标主机中的中断器更新中断处理表；

步骤4：针对放入虚拟化沙箱的用户策略，策略平台使用历史数据比较来逐渐剔除劣势策略，并且根据历史数据计算回滚代价和用户期望，形成相对优化策略；然后把这些写入策略引擎数据库形成历史数据，之后运行的时候策略引擎通过认证的方式触发或者进程保护方式触发提取策略引擎数据库中的历史数据；同时策略引擎使用步骤2的改进的完美贝叶斯算法对用户在主机内运行产生的代价进行记录更新，从而形成相对准确的沙箱完美贝叶斯算法优化模型。

2.一种实现权利要求1所述虚拟化用户准入安全检测和隔离方法的系统，其特征在于包括以下子模块：

中间件模块，包含中断管理器子模块，策略平台子模块，策略引擎子模块和IPC服务子模块；其中中间件模块主要是进行算法的预处理，中断管理子模块负责接收各个目标主机沙箱内的中断发出的信号，策略子平台负责对信号进行提取分类和储存策略数据，策略引擎子模块则进行算法处理，IPC服务子模块负责和目标机中的IPC模块进行通信，包括交换中断信号和命令处理；

沙箱模块，包括目标子模块下的IPC终端子模块，策略引擎终端子模块和中断器子模块；其中沙箱模块负责目标主机中各个用户程序或代码的单独运行，在各个目标主机中的策略引擎终端负责根据中间件中的策略引擎的给出的算法进行相应的执行处理，中断器则负责中断处理，并且把中断场景中的相应数据传输到中间件中进行相应的算法处理。

Images