CN106059826A - 一种虚拟化平台的监控方法和装置 - Google Patents
一种虚拟化平台的监控方法和装置 Download PDFInfo
- Publication number
- CN106059826A CN106059826A CN201610538472.1A CN201610538472A CN106059826A CN 106059826 A CN106059826 A CN 106059826A CN 201610538472 A CN201610538472 A CN 201610538472A CN 106059826 A CN106059826 A CN 106059826A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- event
- information
- traps
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出了一种虚拟化平台的监控方法和装置,该方法包括:获取虚拟机在启动时的初始化进程信息;获取所述虚拟机的系统调用事件信息;根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。本发明可以全面地监控网络靶场虚拟化平台中虚拟机的行为,从而为测试评估提供依据。与现有技术相比,本发明采用了主被动自省相结合的方法,能够实现对目标虚拟机透明地、全面地、实时地监控。
Description
技术领域
本发明涉及网络监控技术领域,尤其涉及一种虚拟化平台的监控方法和装置。
背景技术
基于网络靶场,可以开展大规模的网络空间攻防对抗演练,为对抗演练各方提供攻防场景构建、计算、存储、网络等基础硬件资源,以及对抗结果评价机制。网络靶场对抗演练需要对演练过程进行监视,对各方的操作进行捕获,进而重现网络攻防对抗演练的各个环节,为靶场对抗演练的各方力量分析对比、结果评价等任务提供基础数据支撑。为此,有必要在网络靶场开展的攻防对抗演练中,对各方用户的行为数据进行监控和采集。
由于在网络靶场中广泛使用了虚拟化技术,传统的网络监控技术并不能适用于网络靶场中。因此,需要在深入分析网络靶场运行机理的基础上,面向虚拟计算环境,对攻防演练中的虚拟化主机进行监控。
目前针对虚拟化平台进行监控的方法主要分为内部监控和外部监控两种,在内部监控架构中,一般通过在被监控的操作系统内核中部署钩子函数来实现对进程创建等事件的拦截,进而跳转至隔离的安全域中,再由安全工具根据相应的监控策略做出响应。此类架构能够直接获取操作系统级的语义,不存在低级语义与高级语义之间的语义鸿沟,但是由于其需要在被监控操作系统中部署钩子函数,导致对被监控系统不具有透明性,且容易被绕过。在外部监控架构中,监控的安全域独立于被监控虚拟机,部署在虚拟机监控器中,在虚拟机外部进行事件拦截。外部监控架构未考虑虚拟化主机的动态变化特点,不能动态实时监测主机行为;还未考虑被监控虚拟机操作系统的多样性。
发明内容
本发明要解决的技术问题是,提供一种虚拟化平台的监控方法和装置,实现了对目标虚拟机透明、全面、实时地监控。
本发明采用的技术方案是,所述虚拟化平台的监控方法,包括:
获取虚拟机在启动时的初始化进程信息;
获取所述虚拟机的系统调用事件信息;
根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。
进一步的,所述获取虚拟机在启动时的初始化进程信息,包括:
通过Libvmi库获得所述虚拟机的符号表信息;
通过分析所述符号表信息中的字段,得到所述虚拟机在启动时的初始化进程信息。
进一步的,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件。
进一步的,所述获取所述虚拟机的系统调用事件信息,包括:
针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;
针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的。
进一步的,所述通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息,包括:
将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
本发明还提供一种虚拟化平台的监控装置,包括:
主动自省管理模块,用于获取虚拟机在启动时的初始化进程信息;
被动自省管理模块,用于获取所述虚拟机的系统调用事件信息;
进程行为监控模块,用于根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。
进一步的,所述主动自省管理模块,具体用于通过Libvmi库获得所述虚拟机的符号表信息;通过分析所述符号表信息中的字段,得到所述虚拟机在启动时的初始化进程信息。
进一步的,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件。
进一步的,所述被动自省管理模块,具体用于针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;
其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的。
进一步的,所述被动自省管理模块,具体用于将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
采用上述技术方案,本发明至少具有下列优点:
本发明所述的虚拟化平台的监控方法和装置,可以全面地监控网络靶场虚拟化平台中虚拟机的行为,从而为测试评估提供依据。与现有技术相比,本发明采用了主被动自省相结合的方法,能够实现对目标虚拟机透明地、全面地、实时地监控。此外,网络靶场管理员可以实时地监控目标虚拟机中运行的进程和打开的网络连接等详细信息,可以全方位了解网络靶场虚拟化平台之上虚拟机的运行状态。对于提高网络靶场的安全性、可控制性和易管理性具有重要的应用价值。
附图说明
图1为本发明第一实施例的虚拟化平台的监控方法的流程图;
图2为本发明第三实施例的虚拟化平台的监控装置的组成结构示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,提供一种虚拟化平台的监控方法,如图1所述,具体包括以下步骤:
步骤S101:获取虚拟机在启动时的初始化进程信息;
具体的,所述步骤S101,包括:通过Libvmi库获得所述虚拟机的符号表信息;通过分析所述符号表信息中的字段,得到所述虚拟机在启动时的初始化进程信息。
步骤S102:获取所述虚拟机的系统调用事件信息;
具体的,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件;
针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;
进一步的,所述通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息,包括:
将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的。
步骤S103:根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。
本发明第二实施例,提供一种虚拟化平台的监控装置,具体包括以下组成部分:主动自省管理模块、被动自省管理模块和进程行为监控模块。
主动自省管理模块,用于获取虚拟机在启动时的初始化进程信息;
具体的,所述主动自省管理模块,具体用于通过Libvmi库获得所述虚拟机的符号表信息;通过分析所述符号表信息中的字段,得到所述虚拟机在启动时的初始化进程信息。
被动自省管理模块,用于获取所述虚拟机的系统调用事件信息;
具体的,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件。
所述被动自省管理模块,具体用于针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;
其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的。
进一步的,所述被动自省管理模块,具体用于将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
进程行为监控模块,用于根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。
本发明第三实施例,提供一种虚拟化平台的监控装置,如图2所述,具体包括以下组成部分:进程行为监控模块31、主动自省管理模块32、被动自省管理模块33和事件截获模块34;
其中,进程行为监控模块31、主动自省管理模块32和被动自省管理模块33位于宿主机用户态;事件截获模块34位于宿主机内核态;
进程行为监控模块31,用于实时维护一个被监控虚拟机的进程列表及相应的进程信息;
主动自省管理模块32,用于获取被监控虚拟机在启动时的初始化进程列表及相应的进程信息;进程行为监控模块31可搭配Libvmi和volatility使用,Libvmi是由美国的Sandia国家实验室的Brian D.Payne等人开发的提供虚拟机内省功能的函数库;Volatility是开源的Windows、Linux等操作系统的内存取证分析工具;
事件截获模块33,用于获取被监控虚拟机的系统调用事件信息;
被动自省管理模块34,用于控制所有的被动自省驱动,当需要对任一虚拟机进行监控时,被动自省管理模块34生成并加载与所述任一虚拟机的操作系统相对应的被动自省驱动;在图2中,虚拟机内不同形状的椭圆和矩阵代表了虚拟机平台上不同类型的虚拟机操作系统,在宿主机用户态中不同形状的被动自省驱动分别与不同类型的虚拟机操作系统相对应;被动自省驱动用于将事件截获模块33获取的系统调用事件信息语义转换为可被被动自省管理模块34识别的信息。
本实施例中的事件截获模块33和被动自省管理模块34共同完成了获取被监控虚拟机的系统调用事件信息的过程,相当于第二实施例中的事件截获模块。
基于进程行为监控模块、主动自省管理模块、被动自省管理模块和事件截获模块,对虚拟化平台进行监控的过程,包括以下步骤:
步骤S301:当被监控虚拟机启动时,进程行为监控模块判断被监控虚拟机是否存在与其相对应的被动自省驱动;
若是,则执行步骤S302;
若否,则通过被动自省管理模块生成并加载与所述被监控虚拟机的操作系统相对应的被动自省驱动;
步骤S302:主动自省管理模块获取被监控虚拟机在启动时的初始化进程列表及相应的进程信息;
具体的,步骤S302包括:
通过Libvmi库获得所述虚拟机的符号表信息;
通过分析所述符号表信息中的字段,得到所述虚拟机的初始化进程列表及相应的进程信息。
例如:当虚拟机的操作系统为Linux时,Linux内核通过双向循环链表将所述虚拟机的进程信息的task_struct结构组织起来;所述链表的虚拟地址存储在符号表中;通过所述符号表,即可找到存储在所述符号表中的虚拟地址,并完成虚拟机的虚拟地址、虚拟机的物理地址和物理机的机器地址的三级地址转换;根据转换得到的物理机的机器地址读取内存;通过分析内存得到所述虚拟机的初始化进程列表及相应的进程信息。
步骤S303:事件截获模块获取被监控虚拟机的系统调用事件信息;并将获取到的系统调用事件信息通过被动自省驱动进行语义转换后发送给被动自省管理模块;
具体的,windows、linux操作系统在进行创建进程、新建网络连接等重要操作时均会产生系统调用事件,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件。
事件截获模块,具体用于针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;
其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的;所述硬件指令包括:Intel的Sysenter/Sysexit指令和AMD的Syscall指令。
进一步的,所述通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,包括:
将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址优先执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
步骤S304:进程行为监控模块获取主动自省管理模块的初始化进程列表及相应的进程信息和被动自省管理模块的系统调用事件信息,并根据被监控虚拟机的系统调用事件信息对被监控虚拟机的初始化进程信息进行更新,以得到被监控虚拟机的实时进程信息。
步骤S305:当被监控虚拟机关闭时,进程行为监控模块关闭被动自省驱动,主动自省管理模块和被动自省管理模块停止对被监控虚拟机的监控。
本发明实施例中介绍的虚拟化平台的监控方法和装置,可以全面地监控网络靶场虚拟化平台中虚拟机的行为,从而为测试评估提供依据。与现有技术相比,本实施例采用了主被动自省相结合的方法,能够实现对目标虚拟机透明地、全面地、实时地监控。通过采用本实施例中的方法和装置,网络靶场管理员可以实时地监控目标虚拟机中运行的进程和打开的网络连接等详细信息,可以全方位了解网络靶场虚拟化平台之上虚拟机的运行状态。对于提高网络靶场的安全性、可控制性和易管理性具有重要的应用价值。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (10)
1.一种虚拟化平台的监控方法,其特征在于,包括:
获取虚拟机在启动时的初始化进程信息;
获取所述虚拟机的系统调用事件信息;
根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。
2.根据权利要求1所述的虚拟化平台的监控方法,其特征在于,所述获取虚拟机在启动时的初始化进程信息,包括:
通过Libvmi库获得所述虚拟机的符号表信息;
通过分析所述符号表信息中的字段,得到所述虚拟机在启动时的初始化进程信息。
3.根据权利要求1所述的虚拟化平台的监控方法,其特征在于,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件。
4.根据权利要求3所述的虚拟化平台的监控方法,其特征在于,所述获取所述虚拟机的系统调用事件信息,包括:
针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;
针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的。
5.根据权利要求4所述的虚拟化平台的监控方法,其特征在于,所述通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息,包括:
将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
6.一种虚拟化平台的监控装置,其特征在于,包括:主动自省管理模块、被动自省管理模块和进程行为监控模块;
主动自省管理模块,用于获取虚拟机在启动时的初始化进程信息;
被动自省管理模块,用于获取所述虚拟机的系统调用事件信息;
进程行为监控模块,用于根据所述虚拟机的系统调用事件信息对所述初始化进程信息进行更新,以得到所述虚拟机的实时进程信息。
7.根据权利要求6所述的虚拟化平台的监控装置,其特征在于,所述主动自省管理模块,具体用于通过Libvmi库获得所述虚拟机的符号表信息;通过分析所述符号表信息中的字段,得到所述虚拟机在启动时的初始化进程信息。
8.根据权利要求6所述的虚拟化平台的监控装置,其特征在于,所述系统调用事件包括:软中断系统调用事件和快速系统调用事件。
9.根据权利要求8所述的虚拟化平台的监控装置,其特征在于,
所述被动自省管理模块,具体用于针对软中断系统调用事件,通过修改所述虚拟机内管理器的中断处理程序入口地址来监控软中断系统调用事件,从而获取软中断系统调用事件信息;针对快速系统调用事件,通过对快速系统调用事件进行缺页异常处理,以获取快速系统调用事件信息;
其中,所述快速系统调用事件是通过虚拟机中的硬件指令触发方式得到的。
10.根据权利要求9所述的虚拟化平台的监控装置,其特征在于,
所述被动自省管理模块,具体用于将虚拟机内管理器中的中断向量表中预设的中断处理程序入口地址修改为执行监控程序的地址,并根据修改后的地址执行监控程序,以监控软中断系统调用事件,从而获取软中断系统调用事件信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610538472.1A CN106059826A (zh) | 2016-07-08 | 2016-07-08 | 一种虚拟化平台的监控方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610538472.1A CN106059826A (zh) | 2016-07-08 | 2016-07-08 | 一种虚拟化平台的监控方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106059826A true CN106059826A (zh) | 2016-10-26 |
Family
ID=57185313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610538472.1A Pending CN106059826A (zh) | 2016-07-08 | 2016-07-08 | 一种虚拟化平台的监控方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106059826A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107463430A (zh) * | 2017-08-03 | 2017-12-12 | 哈尔滨工业大学 | 一种基于内存和Swap空间的虚拟机内存动态管理系统及方法 |
CN108228319A (zh) * | 2018-01-10 | 2018-06-29 | 天津理工大学 | 一种基于多桥的语义重构方法 |
CN109597675A (zh) * | 2018-10-25 | 2019-04-09 | 中国科学院信息工程研究所 | 虚拟机恶意软件行为检测方法及系统 |
CN110351255A (zh) * | 2019-06-25 | 2019-10-18 | 北京永信至诚科技股份有限公司 | 一种网络靶场系统中的数据采集方法及数据采集系统 |
CN110362380A (zh) * | 2019-06-17 | 2019-10-22 | 东南大学 | 一种面向网络靶场的多目标优化虚拟机部署方法 |
CN111212064A (zh) * | 2019-12-31 | 2020-05-29 | 北京安码科技有限公司 | 靶场攻击行为仿真方法、系统、设备及存储介质 |
CN111464548A (zh) * | 2020-04-07 | 2020-07-28 | 四川无声信息技术有限公司 | 网络通信方法、装置、网络攻防演练系统及电子设备 |
CN114363017A (zh) * | 2021-12-20 | 2022-04-15 | 北京华云安信息技术有限公司 | 系统函数调用方法、装置、设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103310152A (zh) * | 2013-04-19 | 2013-09-18 | 哈尔滨工业大学深圳研究生院 | 基于系统虚拟化技术的内核态Rootkit检测方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN105138388A (zh) * | 2014-06-09 | 2015-12-09 | 腾讯科技(深圳)有限公司 | 虚拟机监控方法及装置 |
US9400727B2 (en) * | 2012-05-15 | 2016-07-26 | Ca, Inc. | Agentless recording for virtual machine consoles |
-
2016
- 2016-07-08 CN CN201610538472.1A patent/CN106059826A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9400727B2 (en) * | 2012-05-15 | 2016-07-26 | Ca, Inc. | Agentless recording for virtual machine consoles |
CN103310152A (zh) * | 2013-04-19 | 2013-09-18 | 哈尔滨工业大学深圳研究生院 | 基于系统虚拟化技术的内核态Rootkit检测方法 |
CN105138388A (zh) * | 2014-06-09 | 2015-12-09 | 腾讯科技(深圳)有限公司 | 虚拟机监控方法及装置 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
Non-Patent Citations (1)
Title |
---|
缪天翔: "虚拟化环境下操作系统安全性和性能的研究", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107463430A (zh) * | 2017-08-03 | 2017-12-12 | 哈尔滨工业大学 | 一种基于内存和Swap空间的虚拟机内存动态管理系统及方法 |
CN107463430B (zh) * | 2017-08-03 | 2020-10-02 | 哈尔滨工业大学 | 一种基于内存和Swap空间的虚拟机内存动态管理系统及方法 |
CN108228319A (zh) * | 2018-01-10 | 2018-06-29 | 天津理工大学 | 一种基于多桥的语义重构方法 |
CN108228319B (zh) * | 2018-01-10 | 2021-03-30 | 天津理工大学 | 一种基于多桥的语义重构方法 |
CN109597675A (zh) * | 2018-10-25 | 2019-04-09 | 中国科学院信息工程研究所 | 虚拟机恶意软件行为检测方法及系统 |
CN110362380A (zh) * | 2019-06-17 | 2019-10-22 | 东南大学 | 一种面向网络靶场的多目标优化虚拟机部署方法 |
CN110362380B (zh) * | 2019-06-17 | 2022-08-26 | 东南大学 | 一种面向网络靶场的多目标优化虚拟机部署方法 |
CN110351255A (zh) * | 2019-06-25 | 2019-10-18 | 北京永信至诚科技股份有限公司 | 一种网络靶场系统中的数据采集方法及数据采集系统 |
CN110351255B (zh) * | 2019-06-25 | 2021-07-20 | 北京永信至诚科技股份有限公司 | 一种网络靶场系统中的数据采集方法及数据采集系统 |
CN111212064A (zh) * | 2019-12-31 | 2020-05-29 | 北京安码科技有限公司 | 靶场攻击行为仿真方法、系统、设备及存储介质 |
CN111464548A (zh) * | 2020-04-07 | 2020-07-28 | 四川无声信息技术有限公司 | 网络通信方法、装置、网络攻防演练系统及电子设备 |
CN114363017A (zh) * | 2021-12-20 | 2022-04-15 | 北京华云安信息技术有限公司 | 系统函数调用方法、装置、设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106059826A (zh) | 一种虚拟化平台的监控方法和装置 | |
CN105593870B (zh) | 用于恶意软件检测的复杂评分 | |
JP6212548B2 (ja) | カーネルレベル・セキュリティ・エージェント | |
CN103902885B (zh) | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 | |
CN104715201B (zh) | 一种虚拟机恶意行为检测方法和系统 | |
CN105892444A (zh) | 通过虚拟机自省进行安全事件检测 | |
CN102163161B (zh) | 一种进程管理方法及装置 | |
CN108762888A (zh) | 一种基于虚拟机自省的病毒检测系统及方法 | |
CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
CN103929502B (zh) | 基于虚拟机自省技术的云平台安全监控系统及方法 | |
CN104732145B (zh) | 一种虚拟机中的寄生进程检测方法和装置 | |
NL2028230B1 (en) | Methods and systems for preventing malicious activity in a computer system | |
Mishra et al. | NvCloudIDS: A security architecture to detect intrusions at network and virtualization layer in cloud environment | |
CN108446160A (zh) | 一种虚拟机隐藏进程检测方法及系统 | |
Drăgoicea et al. | A service oriented simulation architecture for intelligent building management | |
CN105550095B (zh) | 基于虚拟化的主机行为主被动结合检测系统和方法 | |
DE112020003578B4 (de) | Mindern von bedrohungen von arbeitslasten auf grundlage von containern | |
CN105704087B (zh) | 一种基于虚拟化实现网络安全管理的装置及其管理方法 | |
Sihag et al. | Opcode n-gram based malware classification in android | |
Biedermann et al. | Detecting computer worms in the cloud | |
Pendergrass et al. | Lkim: The linux kernel integrity measurer | |
CN116208514A (zh) | 一种多阶段攻击的防御趋势预测方法、系统、设备及介质 | |
CN105512025B (zh) | 基于模拟消息的Fuzz引擎优化方法与系统 | |
US11360871B1 (en) | Automatic optimization and hardening of application images | |
Liu et al. | A behavioral anomaly detection strategy based on time series process portraits for desktop virtualization systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161026 |