CN105718303A - 虚拟机异常检测方法、装置及系统 - Google Patents
虚拟机异常检测方法、装置及系统 Download PDFInfo
- Publication number
- CN105718303A CN105718303A CN201610037530.2A CN201610037530A CN105718303A CN 105718303 A CN105718303 A CN 105718303A CN 201610037530 A CN201610037530 A CN 201610037530A CN 105718303 A CN105718303 A CN 105718303A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- server
- analysis
- abnormal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟机异常检测方法、装置及系统。该方法包括:获取服务器内虚拟机的进程信息;分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;在检测到进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;在检测到无法确定进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;在检测到进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。本发明解决了相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题。
Description
技术领域
本发明涉及虚拟机领域,具体而言,涉及一种虚拟机异常检测方法、装置及系统。
背景技术
随着信息技术的不断发展,云计算技术的应用变得越来越广泛,其面临的挑战也越来越多,安全性问题是其中的一个重要方面。虚拟机作为云计算基础设施中基本的计算资源,成为了恶意软件极具吸引力的攻击目标。云用户被授予特权后可以通过网络访问其虚拟机并安装任意种类任意版本的操作系统及应用,而这些操作系统和应用本身可能带有漏洞,会给系统带来风险。这些带有漏洞的虚拟机极易被攻击者攻陷,并成为攻击者攻击云系统内其他虚拟机的跳板。因此,为保证整个云系统的安全,需要确保运行在各服务器内部的虚拟机的安全。
目前,以服务器为单位的安全防护措施虽然能够保证该服务器环境的安全,但不能有效兼顾服务器内部的虚拟机的安全性。传统的基于进程分析的安全检测方法多应用于单机环境,数据源比较单一,而云环境下的分布式部署模式使得分析方法可以利用不同数据源的数据,这为进程分析提供了新的检测方法。目前基于进程分析的网络异常的安全检测方法分析的是服务器或网络的总体流量,流量大,干扰多,效率低。现在的安全检测方法在应对云环境下虚拟机的安全威胁时存在着一些不足,当某些虚拟机出现安全问题时,若不能及时发现解决则会给该服务器甚至整个系统带来完全威胁。
针对相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种虚拟机异常检测方法、装置及系统,以至少解决相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题。
根据本发明实施例的一个方面,提供了一种虚拟机异常检测系统,该系统用于检测服务器内部的虚拟机是否异常,该系统包括:进程分析引擎,用于对服务器内虚拟机的进程信息进行分析;网络分析引擎,用于对服务器内虚拟机的进程的网络流量进行分析;以及决策引擎,分别与进程分析引擎和网络分析引擎相连接,用于根据进程分析引擎和网络分析引擎的分析结果做出安全决策。
进一步地,服务器包括:进程信息采集器,与进程分析引擎相连接,用于采集服务器内虚拟机的进程信息,并将采集到的进程信息发送至进程分析引擎进行分析;进程流量采集器,与网络分析引擎相连接,用于采集服务器内虚拟机的进程的网络流量信息,并将采集到的进程的网络流量信息发送至网络分析引擎进行分析;以及执行器,与决策引擎相连接,用于执行决策引擎做出的安全决策。
进一步地,决策引擎用于根据进程分析引擎的分析结果确定是否启动网络分析引擎对服务器内虚拟机的进程的网络流量进行分析,其中,在进程分析引擎无法确定服务器内虚拟机的进程是否异常时,决策引擎启动网络分析引擎对服务器内虚拟机的进程的网络流量进行分析。
进一步地,决策引擎做出的安全决策至少包括以下任意一种决策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据包转发至网络分析器分析、增加进程的检测频率。
根据本发明实施例的另一方面,还提供了一种虚拟机异常检测方法,包括:获取服务器内虚拟机的进程信息;分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。
进一步地,分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常包括:分析服务器内虚拟机的进程信息,检测预设进程库中是否存在进程,其中,预设进程库中包括正常进程数据库和异常进程数据库;在检测到正常进程数据库中存在进程时,确定进程为正常进程,并检测下一个进程是否异常;在检测到异常进程数据库中存在进程时,分别进行以下判断:判断进程是否资源使用异常、判断进程是否隐藏、判断进程中是否存在异常序列,其中,当进程资源使用异常,和/或,进程隐藏,和/或,进程中存在异常序列时,确定进程为异常进程。
进一步地,分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常包括:从服务器内虚拟机的进程的网络流量信息中获取进程的流量特征;检测预设特征库中是否存在进程的流量特征,其中,预设特征库中包括正常进程流量特征和异常进程流量特征;在检测到预设特征库中存在进程的流量特征,且进程的流量特征为正常进程流量特征时,确定进程为正常进程;在检测到预设特征库中不存在进程的流量特征或者预设特征库中存在进程的流量特征且进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断进程是否异常。
进一步地,在通过分析服务器内虚拟机的进程信息确定进程异常之后,该方法还包括:生成进程的第一异常报告信息,其中,第一异常报告信息包括:进程的基本属性标识,进程是否使用网络资源,进程检测结果是否确定,进程的异常状态,其中,当进程检测结果不确定时,执行获取服务器内虚拟机的进程的网络流量信息的步骤;在通过分析服务器内虚拟机的进程的网络流量信息确定进程异常之后,方法还包括:生成进程的第二异常报告信息,其中,第二异常报告信息包括:进程的基本属性标识,进程的网络流量是否异常。
进一步地,生成进程的第一异常报告信息或者进程的第二报告信息之后,该方法还包括:根据进程的第一异常报告信息或者进程的第二异常报告信息分析进程异常的原因;根据分析得到的进程异常的原因确定安全决策,其中,安全决策至少包括以下任意一种决策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据表转发至网络分析器分析、增加进程的检测频率。
根据本发明实施例的另一方面,还提供了一种虚拟机异常检测装置,包括:第一获取模块,用于获取服务器内虚拟机的进程信息;第一检测模块,用于分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;第一确定模块,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;第二获取模块,用于在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;第二检测模块,用于分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及第二确定模块,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。
在本发明实施例中,采用获取服务器内虚拟机的进程信息;分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全决策;在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策的方式,通过综合分析服务器内虚拟机的进程的基本信息以及进程的网络流量判断该进程是否异常,达到了准确分析虚拟机进程是否异常的目的,从而实现了提高服务器内虚拟机异常检测的准确度的技术效果,进而解决了相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的虚拟机异常检测系统的示意图;
图2是根据本发明实施例的虚拟机异常检测系统的两级分析策略的示意图;
图3是根据本发明实施例的虚拟机异常检测系统的执行流程图;
图4是根据本发明实施例的进程分析引擎的分析流程图;
图5是根据本发明实施例的网络分析引擎的分析流程图;
图6是根据本发明实施例的决策引擎的分析流程图;
图7是根据本发明实施例的虚拟机异常检测方法的流程图;以及
图8是根据本发明实施例的虚拟机异常检测的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种虚拟机异常检测系统的实施例,该系统可以从系统进程和网络流量两个层面检测服务器内部的虚拟机是否异常。该系统可以部署在云系统内,图1是根据本发明实施例的虚拟机异常检测系统的示意图,如图1所示,该系统可以包括:
进程分析引擎,用于对服务器内虚拟机的进程信息进行分析;网络分析引擎,用于对服务器内虚拟机的进程的网络流量进行分析;以及决策引擎,分别与进程分析引擎和网络分析引擎相连接,用于根据进程分析引擎和网络分析引擎的分析结果做出安全决策。
需要说明的是,进程分析引擎、网络分析引擎以及决策引擎可以针对至少一个服务器内至少一个虚拟机的至少一个进程进行检测。服务器中可以包括至少一个虚拟机,还可以包括:进程信息采集器,与进程分析引擎相连接,用于采集服务器内虚拟机的进程信息,并将采集到的进程信息发送至进程分析引擎进行分析;进程流量采集器,与网络分析引擎相连接,用于采集服务器内虚拟机的进程的网络流量信息,并将采集到的进程的网络流量信息发送至网络分析引擎进行分析;以及执行器,与决策引擎相连接,用于执行决策引擎做出的安全决策。
本发明实施例的虚拟机异常检测系统采用两级分析策略,图2是根据本发明实施例的虚拟机异常检测系统的两级分析策略的示意图,如图2所示,进程分析引擎对服务器内虚拟机的所有进程的进程信息进行异常分析,对进程的相关属性,活动行为等基本信息进行分析,并将分析结果提交给决策引擎,决策引擎根据进程分析引擎的分析结果决定是否需要启动网络分析引擎做二级分析。如果需要,网络分析引擎结合进程的网络流量信息对进程继续进行异常分析,并将分析结果提交给决策引擎。决策引擎依据进程分析引擎的分析结果和网络分析引擎的分析结果做出安全决策,并交由执行器执行。
依据本发明实施例的虚拟机异常检测系统检测虚拟机内进程是否异常的具体流程可以如图3所示,该系统执行流程可以包括以下步骤:
步骤S11,服务器内的进程信息采集器采集各虚拟机内的进程信息,并将其发送至进程分析引擎。
步骤S12,进程分析引擎分析进程信息,并将分析结果提交给决策引擎。
步骤S13,决策引擎将决策结果交由执行器执行。
步骤S14,决策引擎根据预先建立的决策库判断是否需要启动网络分析引擎。若决策库表明无需进一步启动网络分析引擎,则返回步骤S11;若决策库表明进程分析引擎的分析结果不足以判断进程是否异常,则执行步骤S15。
步骤S15,决策引擎向执行器发送启动网络分析引擎命令,执行器接到指令后通过服务器内的进程流量采集器将进程的网络流量信息传输到网络分析引擎进行分析。
步骤S16,网络分析引擎对进程的网络流量信息进行分析,并将分析结果提交给决策引擎。
步骤S17,决策引擎结合进程分析引擎分析结果和网络分析引擎分析结果生成相应决策并发送给执行器执行,并返回执行步骤S11继续对下一个进程进行分析。
本发明通过在云系统中部署进程分析引擎、网络分析引擎以及决策引擎,通过进程分析引擎分析虚拟机内进程的基本信息判断虚拟机是否异常,在进程分析引擎无法确定进程是否异常时启动网络分析引擎分析虚拟机内进程的网络流量以判断虚拟机是否异常,在判断判断虚拟机异常时决策引擎结合进程分析引擎分析结果和网络分析引擎分析结果确定安全决策,本发明能够解决相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题,能够达到提高服务器内虚拟机异常检测的准确度的技术效果。
下面就进程分析引擎、网络分析引擎以及决策引擎分别进行介绍:
1.1进程分析引擎
进程分析引擎分析各虚拟机内进程信息以判断进程异常情况。通过服务器内的进程信息采集器采集虚拟机内的进程信息,将采集到的进程信息发送到进程分析引擎存储。进程分析引擎对各虚拟机内的进程信息进行分析并将分析结果提交给决策引擎。对于进程的检测采用进程对资源的使用率、进程是否为隐藏和进程序列检测相结合的方式,在进程分析引擎内部动态建立策略库,策略库可以包括正常进程数据库、异常进程数据库。进程的基本信息定义如下:
{host,vmId,name,id,hash,port}
通过服务器、虚拟机标识、进程名、进程号、进程hash值和端口号六个属性标识一个进行的基本信息。其中,host表示该进程来自哪个服务器,vmId表示该进程来自哪个虚拟机,id表示在一个虚拟机内唯一标识一个进程,hash值在进程分析引擎内唯一标识一个进程,port端口号表明该进程通过哪个端口与外部进行交互。检测时首先搜索策略库,若策略库有该进程的应决策略,说明该进程可确定是否异常无需检测,若策略库中不存在该进程的应决策略,则需要进程分析引擎进行分析。若策略库有该进程的应决策略,该进程可能是正常进程,也可能是异常进程。
服务器内的进程信息采集器采集虚拟机内进程的物理资源的使用信息、网络资源的使用信息和进程的序列信息发送到进程分析引擎,进程分析引擎存储来自各个服务器虚拟机的进程信息,通过大数据技术采用关联分析的方法对大量的进程信息进行分析,判断进程的资源使用是否异常、进程是否隐藏。通过机器学习的方法对进程的调用序列建立正常调用序列模型,根据建立的正常序列调用模型检测进程调用序列是否异常。通过对进程资源使用率、进程隐藏和序列检测的分析结果综合判断进程是否异常。
图4是根据本发明实施例的进程分析引擎的分析流程图,如图4所示,进程分析引擎通过以下步骤分析进程信息以判断进程是否异常:
步骤S21,根据进程的hash值搜索策略库。
步骤S22,判断是否为异常进程。若该进程存在策略库中,则无需进行分析,且当在异常进程数据库中搜索到该进程时,证明该进程为异常进程,则执行步骤S23;若该进程无法证明是否为异常进程时,则执行步骤S24。
步骤S23,将进程异常确定结果提交给决策引擎处理。
步骤S24,判断是否为正常进程。当该进程存在策略库中且在正常进程数据库中搜索到该进程时,证明该进程为正常进程,则无需进行处理直接进入下一个进程检测。若在策略库中不存在该进程或者即使该策略看中存在该进程且该进程无法确定是否异常或正常时,通过分别执行步骤S251、步骤S252、步骤S253对该进程的进程信息进行分析。
步骤S251,对该进程进行资源使用异常分析。根据进程信息通过大数据技术采用关联分析的方法判断该进程是否资源使用异常。
步骤S252,对该进程进行隐藏进程分析。根据进程信息通过大数据技术采用关联分析的方法判断该进程是为隐藏进程。
步骤S253,对该进程进行异常序列调用分析。通过机器学习的方法首先根据训练集建立正常序列调用模型,然后检测进程是否存在序列异常。
步骤S26,进程分析引擎将分析结果提交给决策引擎,并更新分析引擎内的决策库,返回执行步骤S21进行下一个进程的分析。
进程分析引擎提交给决策引擎的报告信息可以包含进程的属性标识以及进程的异常状态等。报告信息定义如下:
msg={进程属性标识,是否使用网络资源,结果是否确定,进程异常状态}
其中,进程属性标识={host,vmId,name,id,hash,port}
进程异常状态={进程是否隐藏、资源使用是否异常、行为是否异常}
进程属性标识表示一个进程的基本信息;是否使用网络资源表示该进程是否有网络活动,供网络分析引擎使用;结果是否确定表明该进程是否是在策略库中以确定的恶意进程,用certain/uncertain表示;进程异常状态表示该次检测结果,用异常状态中1表示是,0表示否。决策引擎可以根据收到的msg做出安全决策。
1.2网络分析引擎
网络分析引擎根据进程流量采集器采集的进程的网络流量信息对进程进行细粒度的流量分析。当进程分析引擎分析结果出现不确定时即启动网络分析引擎。网络分析引擎采用基于特征库的网络异常分析方法,并采用机器学习的方法根据正常网络流量数据的训练集建立正常网络流量数据模型,当特征库不匹配时,采用建立的流量数据模型进行检测,其核心思想是通过流量建模识别异常。选取网络流量中的部分指标参量进行熵值计算建立流量数据模型,通过和正常流量数据进行对比判断网络是否异常。
图5是根据本发明实施例的网络分析引擎的分析流程图,如图5所示,网络分析引擎可以通过以下步骤分析进程的网络流量信息以判断进程是否异常:
步骤S31,网络分析引擎收到进程的网络流量信息后,提取流量特征信息。
步骤S32,将提取到的流量特征信息与自身特征库进行对比。
步骤S33,判断进程网络流量是否异常。若该流量特征信息存在特征库中,则无需分析可直接得出网络异常结果,执行步骤S34;若该流量特征信息不存在特征库中,则执行步骤S35。
步骤S34,将进程网络流量异常结果确定信息提交给决策引擎。
步骤S35,采用机器学习的方法建立检测模型。
步骤S36,利用检测模型检测进程网络流量是否异常,若异常,则执行步骤S34;若正常,则执行步骤S37。
步骤S37,将进程网络流量检测结果存入数据库,以供下次检测模型更新时学习使用。
网络分析引擎提交给决策引擎的报告信息可以包含进程基本信息和异常检测结果。进程基本信息标识流量检测结果属于哪个进程,异常检测结果表明该进程是否异常。报告信息定义如下:
Msg={进程基本标识,进程网络流量是否异常}
其中,进程基本标识={host,vmId,name,id,hash,port}
进程网络流量是否异常用0或1标识,0表示正常,1表示异常。
1.3决策引擎
决策引擎根据预先配置的决策库对进程分析引擎和网络分析引擎的分析结果做出安全决策,并将决策结果提交给服务器内的执行器执行。可选地,决策引擎可以用于根据进程分析引擎的分析结果确定是否启动网络分析引擎对服务器内虚拟机的进程的网络流量进行分析,其中,在进程分析引擎无法确定服务器内虚拟机的进程是否异常时,决策引擎启动网络分析引擎对服务器内虚拟机的进程的网络流量进行分析。具体地,决策引擎首先根据进程分析引擎的分析结果判断进程是否为已知恶意进程,若是则直接做出安全决策并提交给执行器,若不是则根据进程分析引擎的分析结果判断是否需要进行网络分析,若不需要则直接根据进程分析引擎的分析结果做出决策执行,若需要则进行启动网络分析引擎进行进程网络流量分析,待网络分析引擎分析结束后结合网络分析引擎分析结果和进程分析引擎分析结果综合做出安全决策。决策引擎的安全决策主要定义如下:
{terminate,need,disconnected,drop,forward,increasedetectionfrequency}
其中,terminate表示终止进程,need表示需要对进程进行网络分析,disconnected表示给该进程断网,drop表示丢弃该进程的异常数据包,forward表示转发该进程数据包给其他网络分析器分析,increasedetectionfrequency表示增加该进程的检测频率。决策引擎做出的安全决策可以为上述决策中的任意一种或几种。决策库根据每次的分析结果设置相应的安全决策,根据每次的危险等级可以决定是采取一种安全决策还是采取多种安全决策共同使用。
图6是根据本发明实施例的决策引擎的分析流程图,如图6所示,决策引擎的工作流程可以包括以下步骤:
步骤S41,接收进程分析引擎的分析结果。
步骤S42,根据结果信息内的是否为已知恶意进程标识判断是否为已知恶意进程。若是,则执行步骤S43;若不是,则执行步骤S44。
步骤S43,根据决策库做出安全决策。
步骤S44,根据结果信息做出安全诊断。
步骤S45,根据诊断结果做出安全决策。
步骤S46,依据该安全决策判断是否需要进行网络分析,根据结果信息判断该进程是否使用了网络资源,若没有使用则无需进行网络分析,若使用了则该安全决策会指示进行网络分析。若需要进行网络分析,则执行步骤S47;若不需要进行网络分析,则返回执行步骤S41。
步骤S47,执行器控制SDN将该进程网络流量传输到网络分析引擎,网络分析引擎对其进行分析,并将分析结果提交给决策引擎。
步骤S48,决策引擎根据网络分析引擎和进程分析引擎分析结果综合做出安全诊断。
步骤S49,根据诊断结果做出安全决策,并将决策结果提交给执行器执行,并返回步骤S41。每次做出决策结果后同时产生告警信息并将结果通知管理员。
本发明实施例的虚拟机异常检测系统通过进程检测提高服务器虚拟机的安全性,从而提高服务器乃至整个云系统的安全性。通过对虚拟机内进程信息和进程网络流量信息的检测判断虚拟机内进程是否安全,从系统进程和进程网络两个层面保证虚拟机的安全。首先对虚拟机进程信息进行检测,根据检测结果决定是否需要对进程网络信息进行检测。当不需要对进程网络信息进行检测时,直接根据进程检测结果做出决策,若需要对进程网络信息进行检测,则根据进程信息检测结果和进程网络信息检测结果综合做出决策。该系统能够解决相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题,进而实现提高服务器内虚拟机异常检测的准确度的技术效果。
根据本发明实施例,提供了一种虚拟机异常检测方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
需要说明的是,本发明实施例的虚拟机异常检测方法能够在本发明实施例的虚拟机异常检测系统中执行。
图7是根据本发明实施例的虚拟机异常检测方法的流程图,如图7所示,该方法包括如下步骤:
步骤S102,获取服务器内虚拟机的进程信息;
步骤S104,分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;
步骤S106,在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全对策;
步骤S108,在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;
步骤S110,分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;
步骤S112,在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全对策。
通过上述步骤,通过对虚拟机内进程信息和进程网络流量信息的检测判断虚拟机内进程是否安全,从系统进程和进程网络两个层面保证虚拟机的安全,能够解决相关技术中的安全检测方法不能兼顾服务器内部虚拟机的安全性的技术问题,进而实现提高服务器内虚拟机异常检测的准确度的技术效果。
在步骤S102提供的方案中,可以通过服务器内的进程信息采集器获取服务器内虚拟机的进程信息,进程信息的定义应经在本发明的虚拟机异常检测系统的实施例中进行了详细介绍,此处不再赘述。
在步骤S104提供的方案中,步骤S104可以包括:分析服务器内虚拟机的进程信息,检测预设进程库中是否存在进程,其中,预设进程库中包括正常进程数据库和异常进程数据库;在检测到正常进程数据库中存在进程时,确定进程为正常进程,并检测下一个进程是否异常;在检测到异常进程数据库中存在进程时,分别进行以下判断:判断进程是否资源使用异常、判断进程是否隐藏、判断进程中是否存在异常序列,其中,当进程资源使用异常,和/或,进程隐藏,和/或,进程中存在异常序列时,确定进程为异常进程。步骤S104可以由本发明实施例的虚拟机异常检测系统中的进程分析引擎执行,进程分析引擎执行对进程信息的具体分析过程已经在1.1部分进行了详细介绍,此处不再赘述。
在步骤S106提供的方案中,进程分析引擎在对进程信息分析之后,会将分析结果发送至本发明实施例的虚拟机异常检测系统中的决策引擎中,如果进程分析引擎的分析结果能够直接确定进程异常,则决策引擎将会根据该分析结果直接确定安全对策。
在步骤S108提供的方案中,进程分析引擎在对进程信息分析之后,会将分析结果发送至本发明实施例的虚拟机异常检测系统中的决策引擎中,如果不能从进程分析引擎的分析结果直接确定进程是否异常,则决策引擎将会生成决策指示服务器内的执行器控制SDN将该进程的网络流量信息发送至网络分析引擎,网络分析引擎启动并分析该进程的网络流量信息,并将分析结果发送至决策引擎。
在步骤S110提供的方案中,步骤S110可以包括:从服务器内虚拟机的进程的网络流量信息中获取进程的流量特征;检测预设特征库中是否存在进程的流量特征,其中,预设特征库中包括正常进程流量特征和异常进程流量特征;在检测到预设特征库中存在进程的流量特征,且进程的流量特征为正常进程流量特征时,确定进程为正常进程;在检测到预设特征库中不存在进程的流量特征或者预设特征库中存在进程的流量特征且进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断进程是否异常。步骤S110可以由本发明实施例的虚拟机异常检测系统中的网络分析引擎执行,网络分析引擎执行对进程网络流量信息的具体分析过程已经在1.2部分进行了详细介绍,此处不再赘述。
在步骤S112提供的方案中,决策引擎可以依据进程分析引擎分析结果和网络分析引擎分析结果确定安全决策,安全决策的确定过程可以参照1.3部分,此处不再赘述。
作为一种可选的实施例,在通过分析服务器内虚拟机的进程信息确定进程异常之后,该实施例的虚拟机异常检测方法还可以包括:生成进程的第一异常报告信息,其中,第一异常报告信息包括:进程的基本属性标识,进程是否使用网络资源,进程检测结果是否确定,进程的异常状态,其中,当进程检测结果不确定时,执行获取服务器内虚拟机的进程的网络流量信息的步骤;在通过分析服务器内虚拟机的进程的网络流量信息确定进程异常之后,该实施例的虚拟机异常检测方法还可以包括:生成进程的第二异常报告信息,其中,第二异常报告信息包括:进程的基本属性标识,进程的网络流量是否异常。
需要说明的是,第一异常报告信息为进程分析引擎对进程信息进行分析后生成的报告信息,此报告信息已经在1.1部分进行了介绍。第二异常报告信息为网络分析引擎对进行网络流量信息进行分析后生成的报告信息,此报告信息已经在1.2部分进行了介绍。
作为一种可选的实施例,生成第一异常报告信息或者生成第二报告信息之后,该实施例的虚拟机异常检测方法还可以包括:根据第一异常报告信息或者第二异常报告信息分析进程异常的原因;根据分析得到的进程异常的原因确定安全对策,其中,安全对策至少包括以下任意一种对策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据表转发至网络分析器分析、增加进程的检测频率。
需要说明的是,该可选的实施例可以有决策引擎执行,决策引擎的工作流量已经在1.3部分进行了详细介绍,此处不再赘述。
根据本发明实施例,还提供了一种虚拟机异常检测的装置实施例,需要说明的是,该虚拟机异常检测装置可以用于执行本发明实施例中的虚拟机异常检测方法,本发明实施例中的虚拟机异常检测方法可以在该虚拟机异常检测装置中执行。
图8是根据本发明实施例的虚拟机异常检测的示意图,如图8所示,该装置可以包括:
第一获取模块82,用于获取服务器内虚拟机的进程信息;第一检测模块84,用于分析服务器内虚拟机的进程信息,检测服务器内虚拟机的进程是否异常;第一确定模块86,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果确定安全对策;第二获取模块88,用于在检测到无法确定服务器内虚拟机的进程是否异常时,获取服务器内虚拟机的进程的网络流量信息;第二检测模块90,用于分析服务器内虚拟机的进程的网络流量信息,检测服务器内虚拟机的进程是否异常;以及第二确定模块92,用于在检测到服务器内虚拟机的进程异常时,根据服务器内虚拟机的进程信息的分析结果和服务器内虚拟机的进程的网络流量信息的分析结果确定安全对策。
需要说明的是,该实施例中的第一获取模块82可以用于执行本申请实施例中的步骤S102,该实施例中的第一检测模块84可以用于执行本申请实施例中的步骤S104,该实施例中的第一确定模块86可以用于执行本申请实施例中的步骤S106,该实施例中的第二获取模块88可以用于执行本申请实施例中的步骤S108;该实施例中的第二检测模块90可以用于执行本申请实施例中的步骤S110,该实施例中的第二确定模块92可以用于执行本申请实施例中的步骤S112。上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。
可选地,第一检测模块84可以包括:第一子检测模块,用于分析服务器内虚拟机的进程信息,检测预设进程库中是否存在进程,其中,预设进程库中包括正常进程数据库和异常进程数据库;第一子确定模块,用于在检测到正常进程数据库中存在进程时,确定进程为正常进程,并检测下一个进程是否异常;执行模块,用于在检测到异常进程数据库中存在进程时,分别进行以下判断:判断进程是否资源使用异常、判断进程是否隐藏、判断进程中是否存在异常序列,其中,当进程资源使用异常,和/或,进程隐藏,和/或,进程中存在异常序列时,确定进程为异常进程。
可选地,第二检测模块90可以包括:第一子获取模块,用于从服务器内虚拟机的进程的网络流量信息中获取进程的流量特征;第二子检测模块,用于检测预设特征库中是否存在进程的流量特征,其中,预设特征库中包括正常进程流量特征和异常进程流量特征;第二子确定模块,用于在检测到预设特征库中存在进程的流量特征,且进程的流量特征为正常进程流量特征时,确定进程为正常进程;判断模块,用于在检测到预设特征库中不存在进程的流量特征或者预设特征库中存在进程的流量特征且进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断进程是否异常。
可选地,该装置还可以包括:第一生成模块,用于在通过分析服务器内虚拟机的进程信息确定进程异常之后生成进程的第一异常报告信息,其中,第一异常报告信息包括:进程的基本属性标识,进程是否使用网络资源,进程检测结果是否确定,进程的异常状态,其中,当进程检测结果不确定时,执行获取服务器内虚拟机的进程的网络流量信息的步骤;第二生成模块,用于在通过分析服务器内虚拟机的进程的网络流量信息确定进程异常之后,生成进程的第二异常报告信息,其中,第二异常报告信息包括:进程的基本属性标识,进程的网络流量是否异常。
可选地,该装置还可以包括:分析模块,用于根据第一异常报告信息或者第二异常报告信息分析进程异常的原因;第三确定模块,用于根据分析得到的进程异常的原因确定安全对策,其中,安全对策至少包括以下任意一种对策:终止进程、需要对进程进行网络分析、将进程进行断网、丢弃进程的异常数据包、将进程的数据表转发至网络分析器分析、增加进程的检测频率。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种虚拟机异常检测系统,其特征在于,所述系统用于检测服务器内部的虚拟机是否异常,所述系统包括:
进程分析引擎,用于对服务器内虚拟机的进程信息进行分析;
网络分析引擎,用于对服务器内虚拟机的进程的网络流量进行分析;以及
决策引擎,分别与所述进程分析引擎和所述网络分析引擎相连接,用于根据所述进程分析引擎和所述网络分析引擎的分析结果做出安全决策。
2.根据权利要求1所述的系统,其特征在于,所述服务器包括:
进程信息采集器,与所述进程分析引擎相连接,用于采集所述服务器内虚拟机的进程信息,并将采集到的进程信息发送至所述进程分析引擎进行分析;
进程流量采集器,与所述网络分析引擎相连接,用于采集所述服务器内虚拟机的进程的网络流量信息,并将采集到的进程的网络流量信息发送至所述网络分析引擎进行分析;以及
执行器,与所述决策引擎相连接,用于执行所述决策引擎做出的安全决策。
3.根据权利要求1或2所述的系统,其特征在于,
所述决策引擎用于根据所述进程分析引擎的分析结果确定是否启动所述网络分析引擎对服务器内虚拟机的进程的网络流量进行分析,其中,在所述进程分析引擎无法确定所述服务器内虚拟机的进程是否异常时,所述决策引擎启动所述网络分析引擎对服务器内虚拟机的进程的网络流量进行分析。
4.根据权利要求3所述的系统,其特征在于,所述决策引擎做出的安全决策至少包括以下任意一种决策:
终止所述进程、需要对所述进程进行网络分析、将所述进程进行断网、丢弃所述进程的异常数据包、将所述进程的数据包转发至网络分析器分析、增加所述进程的检测频率。
5.一种虚拟机异常检测方法,其特征在于,包括:
获取服务器内虚拟机的进程信息;
分析所述服务器内虚拟机的进程信息,检测所述服务器内虚拟机的进程是否异常;
在检测到所述服务器内虚拟机的进程异常时,根据所述服务器内虚拟机的进程信息的分析结果确定安全决策;
在检测到无法确定所述服务器内虚拟机的进程是否异常时,获取所述服务器内虚拟机的进程的网络流量信息;
分析所述服务器内虚拟机的进程的网络流量信息,检测所述服务器内虚拟机的进程是否异常;以及
在检测到所述服务器内虚拟机的进程异常时,根据所述服务器内虚拟机的进程信息的分析结果和所述服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。
6.根据权利要求5所述的方法,其特征在于,分析所述服务器内虚拟机的进程信息,检测所述服务器内虚拟机的进程是否异常包括:
分析所述服务器内虚拟机的进程信息,检测预设进程库中是否存在所述进程,其中,所述预设进程库中包括正常进程数据库和异常进程数据库;
在检测到所述正常进程数据库中存在所述进程时,确定所述进程为正常进程,并检测下一个进程是否异常;
在检测到所述异常进程数据库中存在所述进程时,分别进行以下判断:判断所述进程是否资源使用异常、判断所述进程是否隐藏、判断所述进程中是否存在异常序列,其中,当所述进程资源使用异常,和/或,所述进程隐藏,和/或,所述进程中存在异常序列时,确定所述进程为异常进程。
7.根据权利要求6所述的方法,其特征在于,分析所述服务器内虚拟机的进程的网络流量信息,检测所述服务器内虚拟机的进程是否异常包括:
从所述服务器内虚拟机的进程的网络流量信息中获取所述进程的流量特征;
检测预设特征库中是否存在所述进程的流量特征,其中,所述预设特征库中包括正常进程流量特征和异常进程流量特征;
在检测到所述预设特征库中存在所述进程的流量特征,且所述进程的流量特征为正常进程流量特征时,确定所述进程为正常进程;
在检测到所述预设特征库中不存在所述进程的流量特征或者所述预设特征库中存在所述进程的流量特征且所述进程的流量特征为异常进程流量特征时,根据机器学习算法利用预先建立的检测模型判断所述进程是否异常。
8.根据权利要求5至7中任一项所述的方法,其特征在于,
在通过分析所述服务器内虚拟机的进程信息确定所述进程异常之后,所述方法还包括:生成所述进程的第一异常报告信息,其中,所述第一异常报告信息包括:所述进程的基本属性标识,所述进程是否使用网络资源,所述进程检测结果是否确定,所述进程的异常状态,其中,当所述进程检测结果不确定时,执行获取所述服务器内虚拟机的进程的网络流量信息的步骤;
在通过分析所述服务器内虚拟机的进程的网络流量信息确定所述进程异常之后,所述方法还包括:生成所述进程的第二异常报告信息,其中,所述第二异常报告信息包括:所述进程的基本属性标识,所述进程的网络流量是否异常。
9.根据权利要求8所述的方法,其特征在于,生成所述进程的第一异常报告信息或者所述进程的第二报告信息之后,所述方法还包括:
根据所述进程的第一异常报告信息或者所述进程的第二异常报告信息分析所述进程异常的原因;
根据分析得到的所述进程异常的原因确定安全决策,其中,所述安全决策至少包括以下任意一种决策:终止所述进程、需要对所述进程进行网络分析、将所述进程进行断网、丢弃所述进程的异常数据包、将所述进程的数据表转发至网络分析器分析、增加所述进程的检测频率。
10.一种虚拟机异常检测装置,其特征在于,包括:
第一获取模块,用于获取服务器内虚拟机的进程信息;
第一检测模块,用于分析所述服务器内虚拟机的进程信息,检测所述服务器内虚拟机的进程是否异常;
第一确定模块,用于在检测到所述服务器内虚拟机的进程异常时,根据所述服务器内虚拟机的进程信息的分析结果确定安全决策;
第二获取模块,用于在检测到无法确定所述服务器内虚拟机的进程是否异常时,获取所述服务器内虚拟机的进程的网络流量信息;
第二检测模块,用于分析所述服务器内虚拟机的进程的网络流量信息,检测所述服务器内虚拟机的进程是否异常;以及
第二确定模块,用于在检测到所述服务器内虚拟机的进程异常时,根据所述服务器内虚拟机的进程信息的分析结果和所述服务器内虚拟机的进程的网络流量信息的分析结果确定安全决策。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610037530.2A CN105718303A (zh) | 2016-01-20 | 2016-01-20 | 虚拟机异常检测方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610037530.2A CN105718303A (zh) | 2016-01-20 | 2016-01-20 | 虚拟机异常检测方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105718303A true CN105718303A (zh) | 2016-06-29 |
Family
ID=56148016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610037530.2A Pending CN105718303A (zh) | 2016-01-20 | 2016-01-20 | 虚拟机异常检测方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105718303A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106781094A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种atm系统资源异常报警系统及方法 |
CN107070889A (zh) * | 2017-03-10 | 2017-08-18 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
CN111131304A (zh) * | 2019-12-31 | 2020-05-08 | 嘉兴学院 | 面向云平台大规模虚拟机细粒度异常行为检测方法和系统 |
CN112835662A (zh) * | 2019-11-25 | 2021-05-25 | 深信服科技股份有限公司 | 桌面云场景下虚拟机运维方法、系统、设备及计算机介质 |
CN113672390A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种服务器内存回收方法、装置、设备及可读存储介质 |
CN114679315A (zh) * | 2022-03-25 | 2022-06-28 | 中国工商银行股份有限公司 | 攻击检测方法、装置、计算机设备、存储介质和程序产品 |
CN117032881A (zh) * | 2023-07-31 | 2023-11-10 | 广东保伦电子股份有限公司 | 一种虚拟机异常检测和恢复的方法、装置及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101515320A (zh) * | 2009-04-10 | 2009-08-26 | 中国科学院软件研究所 | 一种攻击时漏洞检测方法及其系统 |
US20130055246A1 (en) * | 2011-08-26 | 2013-02-28 | Rapid7, LLC. | Systems and methods for identifying virtual machines in a network |
CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN104732145A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇虎科技有限公司 | 一种虚拟机中的寄生进程检测方法和装置 |
CN104751056A (zh) * | 2014-12-19 | 2015-07-01 | 中国航天科工集团第二研究院七〇六所 | 一种基于攻击库的漏洞验证系统与方法 |
-
2016
- 2016-01-20 CN CN201610037530.2A patent/CN105718303A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101515320A (zh) * | 2009-04-10 | 2009-08-26 | 中国科学院软件研究所 | 一种攻击时漏洞检测方法及其系统 |
US20130055246A1 (en) * | 2011-08-26 | 2013-02-28 | Rapid7, LLC. | Systems and methods for identifying virtual machines in a network |
CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
CN104751056A (zh) * | 2014-12-19 | 2015-07-01 | 中国航天科工集团第二研究院七〇六所 | 一种基于攻击库的漏洞验证系统与方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN104732145A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇虎科技有限公司 | 一种虚拟机中的寄生进程检测方法和装置 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106781094A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种atm系统资源异常报警系统及方法 |
CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
CN108270722B (zh) * | 2016-12-30 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
CN107070889A (zh) * | 2017-03-10 | 2017-08-18 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
CN107070889B (zh) * | 2017-03-10 | 2020-04-07 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
CN112835662A (zh) * | 2019-11-25 | 2021-05-25 | 深信服科技股份有限公司 | 桌面云场景下虚拟机运维方法、系统、设备及计算机介质 |
CN111131304A (zh) * | 2019-12-31 | 2020-05-08 | 嘉兴学院 | 面向云平台大规模虚拟机细粒度异常行为检测方法和系统 |
CN111131304B (zh) * | 2019-12-31 | 2022-01-11 | 嘉兴学院 | 面向云平台大规模虚拟机细粒度异常行为检测方法和系统 |
CN113672390A (zh) * | 2021-08-23 | 2021-11-19 | 杭州安恒信息技术股份有限公司 | 一种服务器内存回收方法、装置、设备及可读存储介质 |
CN114679315A (zh) * | 2022-03-25 | 2022-06-28 | 中国工商银行股份有限公司 | 攻击检测方法、装置、计算机设备、存储介质和程序产品 |
CN114679315B (zh) * | 2022-03-25 | 2024-05-14 | 中国工商银行股份有限公司 | 攻击检测方法、装置、计算机设备、存储介质和程序产品 |
CN117032881A (zh) * | 2023-07-31 | 2023-11-10 | 广东保伦电子股份有限公司 | 一种虚拟机异常检测和恢复的方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105718303A (zh) | 虚拟机异常检测方法、装置及系统 | |
US10862918B2 (en) | Multi-dimensional heuristic search as part of an integrated decision engine for evolving defenses | |
Cheung et al. | Modeling multistep cyber attacks for scenario recognition | |
US11438385B2 (en) | User interface supporting an integrated decision engine for evolving defenses | |
CN105191257B (zh) | 用于检测多阶段事件的方法和装置 | |
US7917393B2 (en) | Probabilistic alert correlation | |
Ning et al. | Intrusion detection techniques | |
CN107135093A (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
US20050144480A1 (en) | Method of risk analysis in an automatic intrusion response system | |
CN108900467B (zh) | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 | |
CN105264861A (zh) | 用于检测多阶段事件的方法和设备 | |
CN111641653A (zh) | 基于云平台的网络安全威胁态势感知系统 | |
CN114499982B (zh) | 蜜网动态配置策略生成方法、配置方法及存储介质 | |
CN106453438A (zh) | 一种网络攻击的识别方法及装置 | |
CN110704846B (zh) | 一种人在回路的智能化安全漏洞发现方法 | |
CN111163065A (zh) | 异常用户检测方法及装置 | |
CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
Lin et al. | Real-time intrusion alert correlation system based on prerequisites and consequence | |
CN111783105A (zh) | 渗透测试方法、装置、设备及存储介质 | |
Bejoy et al. | A generic cyber immune framework for anomaly detection using artificial immune systems | |
CN111988322B (zh) | 一种攻击事件展示系统 | |
CN108494791A (zh) | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 | |
Lee et al. | Mining system audit data: Opportunities and challenges | |
CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
CN106411951A (zh) | 网络攻击行为检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160629 |