CN106778257A - 一种虚拟机防逃逸装置 - Google Patents
一种虚拟机防逃逸装置 Download PDFInfo
- Publication number
- CN106778257A CN106778257A CN201611119113.9A CN201611119113A CN106778257A CN 106778257 A CN106778257 A CN 106778257A CN 201611119113 A CN201611119113 A CN 201611119113A CN 106778257 A CN106778257 A CN 106778257A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- module
- target virtual
- release apparatus
- machine according
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/301—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟机防逃逸装置,属于虚拟机安全技术领域。本发明装置包含内部监控模块、外部监控模块、入侵检测模块和完整性保护模块等部分,能够为虚拟机和宿主机提供全方位、高效率、高等级的安全防护,从而极大降低虚拟机逃逸攻击的发生概率和影响危害,是对现有技术的一种重要改进。
Description
技术领域
本发明涉及虚拟机安全技术领域,特别是指一种虚拟机防逃逸装置。
背景技术
虚拟化技术可以将一台计算机虚拟为多台逻辑计算机,其中每台逻辑计算机可以运行不同的操作系统,并且不同逻辑计算机中的应用程序可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率以及计算资源的利用率,是合理分配计算资源的一种有效手段。通常,将物理计算机中虚拟出的逻辑计算机成为虚拟机,而将物理计算机称为宿主机。目前,虚拟机化技术在互联网云服务方面已经得到了广泛应用。
虚拟机是宿主机中一个相对独立的计算环境,类似于一个沙盒,具有较好的安全特性,但是,由于虚拟化软件自身的缺陷与不足,针对虚拟机的安全攻击仍然时有发生,其中最主要一种就是虚拟机逃逸攻击。
所谓虚拟机逃逸攻击是指攻击者从虚拟机环境中逃逸出来,从而能够对宿主机产生影响甚至获得控制,一旦宿主机受到攻击,则攻击者可以反过来轻易地控制该宿主机内的多个虚拟机,并能够访问到该宿主机中的大量敏感数据,可见这种攻击是一种非常危险的安全威胁。
由于虚拟机逃逸攻击主要涉及虚拟机与虚拟机监视器(也被称为hypervisor)之间的交互、共享资源的访问、对宿主机上其他虚拟机的影响,因此可以设计针对这几个关键属性的安全预防措施。现有技术中,为了使得攻击者难以攻破hypervisor,可以设计更加健壮的hypervisor,使得攻击者无法轻易获得权限,并且健壮的hypervisor还可以预防在虚拟化环境中其他更多的安全隐患。此外,为了防止逃逸攻击成功后,攻击者攻击其他的虚拟机,可以设计防止攻击蔓延的技术,将灾难降到最低。
但是,现有技术中的防护措施大都偏向于一个方面,难以对宿主机和虚拟机提供全方位的防护,此外,现有技术中的防护手段也存在效率低下、安全效果较差等等问题。
发明内容
有鉴于此,本发明的目的在于提出一种虚拟机防逃逸装置,该装置可以对宿主机和虚拟机提供全方位、高效率、高等级的安全防护,能够极大降低虚拟机逃逸攻击的发生概率和影响危害。
基于上述目的,本发明提供的技术方案是:
一种虚拟机防逃逸装置,其包括:
内部监控模块,用于从内部对目标虚拟机进行监控;
外部监控模块,用于从外部对目标虚拟机进行监控;
入侵检测模块,用于检测对于目标虚拟机的入侵行为;
完整性保护模块,用于保护数据及传输信息的完整性。
优选地,本装置还包括:
日志记录模块,用于记录宿主机和目标虚拟机的软件信息和硬件信息。
优选地,本装置还包括:
蜜罐模块,用于引诱恶意攻击。
优选地,本装置还包括:
恶意代码检测模块,用于检测恶意代码的存在和行为。
优选地,内部监控模块的工作方式为:
向目标虚拟机内部署钩子函数和跳转模块;
通过事先插入目标虚拟机操作系统内核的内存保护模块对钩子函数和跳转模块所占用的内存空间提供安全保护;
通过钩子函数对目标虚拟机中发生的安全事件进行拦截;
通过跳转模块将安全事件传递到目标虚拟机外;
使用事先定义的安全策略对安全事件做出响应。
优选地,入侵检测模块的工作方式为:
借助虚拟机自省技术从外部对目标虚拟机进行入侵检测;
若检测到入侵,则使用事先定义的安全策略对入侵做出响应。
优选地,完整性保护模块还包含用于对虚拟机监视器提供完整性保护的子模块,该子模块具有不可绕过的内存锁以及受限制的指针索引。
优选地,完整性保护模块包括:
周期性文件保护子模块,用于周期性计算文件的哈希值,判断文件是否被篡改;
实时文件保护子模块,用于实时拦截对文件的操作。
从上面的叙述可以看出,本发明的有益效果在于:
1、本发明装置通过内部监控模块和外部监控模块对虚拟机进行全方位监控,其中,内部监控模块可以直接获得操作系统级语义,不需要语义重构,性能开销较低,而外部监控模块虽需要为语义重构付出一定的性能代价,但通用性较好,不需要对虚拟机系统进行改动;
2、本发明装置中的入侵检测模块可以检测外界对虚拟机的入侵行为,从而能够及时阻断攻击或采取其他的必要措施,将攻击带来的损害降到最低,防止攻击者逃逸到宿主机中;
3、本发明装置中的完整性保护模块可以对虚拟机、宿主机中的文件、数据以及传输信息进行完整性保护,防止文件和数据被篡改,尤其能够对本发明装置自身提供保护,进一步提高了本发明的安全性。
总之,本发明可以对宿主机和虚拟机提供全方位、高效率、高等级的安全防护,能够极大降低虚拟机逃逸攻击的发生概率和影响危害,是对现有技术的一种重要改进。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种虚拟机防逃逸装置的结构框图;
图2为本发明实施例中另一种虚拟机防逃逸装置的结构框图;
图3为内部监控模块的工作方式流程图;
图4为入侵检测模块的工作方式流程图;
图5为完整性保护模块的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
一种虚拟机防逃逸装置,其包括:
内部监控模块,用于从内部对目标虚拟机进行监控;
外部监控模块,用于从外部对目标虚拟机进行监控;
入侵检测模块,用于检测对于目标虚拟机的入侵行为;
完整性保护模块,用于保护数据及传输信息的完整性。
优选地,本装置还包括:
日志记录模块,用于记录宿主机和目标虚拟机的软件信息和硬件信息。
优选地,本装置还包括:
蜜罐模块,用于引诱恶意攻击。
优选地,本装置还包括:
恶意代码检测模块,用于检测恶意代码的存在和行为。
优选地,内部监控模块的工作方式为:
向目标虚拟机内部署钩子函数和跳转模块;
通过事先插入目标虚拟机操作系统内核的内存保护模块对钩子函数和跳转模块所占用的内存空间提供安全保护;
通过钩子函数对目标虚拟机中发生的安全事件进行拦截;
通过跳转模块将安全事件传递到目标虚拟机外;
使用事先定义的安全策略对安全事件做出响应。
优选地,入侵检测模块的工作方式为:
借助虚拟机自省技术从外部对目标虚拟机进行入侵检测;
若检测到入侵,则使用事先定义的安全策略对入侵做出响应。
优选地,完整性保护模块还包含用于对虚拟机监视器提供完整性保护的子模块,该子模块具有不可绕过的内存锁以及受限制的指针索引。
优选地,完整性保护模块包括:
周期性文件保护子模块,用于周期性计算文件的哈希值,判断文件是否被篡改;
实时文件保护子模块,用于实时拦截对文件的操作。
图1所示为一种虚拟机防逃逸装置,其包括:
内部监控模块101,用于从内部对目标虚拟机进行监控。
外部监控模块102,用于从外部对目标虚拟机进行监控。外部监控是指在目标虚拟机外部,由位于安全域的安全工具按照某种策略对其进行检测。外部监控包含监控点,监控点部署在虚拟机监视器中,它是安全域中的安全工具和目标虚拟机之间通信的桥梁。监控点可以拦截目标虚拟机中发生的事件,重构出高级语义并传递给安全工具。在该模块中,安全工具根据安全策略产生的响应,通过监控点来控制目标虚拟机。由于虚拟机监视器将安全工具与目标虚拟机隔离开来,因而增强了安全工具的安全性,另一方面,由于虚拟机监视器位于目标虚拟机的底层,因此监控点可以观测到目标虚拟机的状态(例如CPU信息、内存页面等),在虚拟机监视器的辅助下,安全工具能够对目标虚拟机进行检测。一般来说,外部监控可以包含两种基本功能:事件截获和语义重构。事件截获是指拦截虚拟机中发生的某些事件,从而触发安全工具对其进行检测。由于虚拟机监视器位于目标虚拟机的下层,因此只能获取低级语义(例如寄存器和内存页面),而监控工具是针对操作系统层的语义,因此两者之间存在语义鸿沟。为了使监控工具能够“理解”目标虚拟机中的事件,因此需要进行语义重构。语义重构是指由低级语义重构出高级语义,语义重构的过程与客户操作系统的类型和版本密切相关,可以通过某些寄存器或者内存地址来解析出内核关键的数据结构。
入侵检测模块103,用于检测对于目标虚拟机的入侵行为。入侵检测模块用于承载入侵检测系统(Intrusion Detection System,IDS),能够发现在非授权的情况下试图存取信息、处理信息或者破坏系统的行为。根据收集信息的来源不同,IDS可以分为基于网络的IDS(network-based IDS,简称NIDS)和基于主机的IDS(host-based IDS,简称RIDS)。NIDS部署在局域网中,实时地分析网络中的流量,而HIDS则是通过分析系统的内部状态和日志而发现入侵行为的。
完整性保护模块104,用于保护数据及传输信息的完整性。
本发明可以对宿主机和虚拟机提供全方位、高效率、高等级的安全防护,能够极大降低虚拟机逃逸攻击的发生概率和影响危害。
图2所示为另一种虚拟机防逃逸装置,其包括:
内部监控模块101,用于从内部对目标虚拟机进行监控。
外部监控模块102,用于从外部对目标虚拟机进行监控。
入侵检测模块103,用于检测对于目标虚拟机的入侵行为。
完整性保护模块104,用于保护数据及传输信息的完整性。
日志记录模块105,用于记录宿主机和目标虚拟机的软件信息和硬件信息。日志记录模块可以记录系统中硬件、软件和系统的问题信息,同时还可以监视系统中发生的事件,这样,系统管理员就可以通过日志来检查错误发生的原因,并可寻找攻击者留下的痕迹。
蜜罐模块106,用于引诱恶意攻击。蜜罐是通过构造类似于真实的系统环境,能够引诱恶意攻击,并分析攻击者的行为特征。本实施例可以采用内部蜜罐、外部蜜罐或同时采用内部蜜罐和外部蜜罐。本实施例中的蜜罐可以采用Honeyd。Honeyd是一种模拟计算机的虚拟蜜罐框架,它不仅能够模拟不同操作系统的网络栈,而且可以为大量虚拟系统提供任意的路由拓扑。通过部署Honeyd可应用于蠕虫检测、垃圾邮件防御等系统安全领域,此外,还可以基于虚拟化技术通过内存共享和推迟绑定资源技术来支持在单个物理节点上同时模拟上万个高度逼真的蜜罐,从而增强了蜜罐的可扩展性。为了探测本地的蠕虫,可以通过修改蜜罐来提高检测的准确性,同时具有低误报率。此外,还可以通过管理专用网络中的大量高交互式虚拟蜜罐来建立分布式网络攻击拘留中心,这种方法能够提供网络攻击的多样化视图,同时便于进行管理。
恶意代码检测模块107,用于检测恶意代码的存在和行为。恶意代码是指按照攻击者的意图在系统中执行的程序,一般具有隐蔽性,不易被监控工具发现。如果将检测工具都部署在被监控的系统中,则容易遭受到攻击。为了解决上述问题,本模块可以在被监控系统的外部检测内部的恶意软件。由于检测工具与被监控系统隔离在不同的虚拟机中,因此需要解决语义鸿沟的问题。通过语义重构,在虚拟机外部的检测软件能够发现虚拟机中的恶意软件。为此,可以利用因特尔(Intel)的硬件辅助虚拟化技术对可疑程序程序进行跟踪,同时对被监控系统完全透明。由于在虚拟机内部和外部进行观测时,两者之间具有一定的时间差,如果在这段时间内进程创建和撤销很频繁,则会对检测结果带来一定程度的误差。为此,可利用统计学的方法消除在两者之间观测带来的干扰,从而提高了检测的精确性。
该是实施例进一步完善了虚拟机防逃逸装置,能够提供更多的安全防护。
图3所示为上述实施例中内部监控模块101的工作方式流程图,其包括:
步骤301,向目标虚拟机内部署钩子函数和跳转模块;
步骤302,通过事先插入目标虚拟机操作系统内核的内存保护模块对钩子函数和跳转模块所占用的内存空间提供安全保护;
步骤303,通过钩子函数对目标虚拟机中发生的安全事件进行拦截;
步骤304,通过跳转模块将安全事件传递到目标虚拟机外;
步骤305,使用事先定义的安全策略对安全事件做出响应。
具体来说,可以将用于内部监控的安全工具部署在一个隔离的安全域中,该安全工具支持在虚拟机的客户操作系统的任何位置部署钩子函数,这些钩子函数可以拦截某些事件,例如进程创建、文件读写等。由于虚拟机操作系统不可信,因此这些钩子函数需要得到特殊的保护,为此,可以由内存保护模块对钩子函数所在的内存页面进行保护,从而防止恶意攻击者篡改。在探测到虚拟机中发生某些安全事件时,钩子函数主动地陷入到虚拟机监视器中,然后,通过跳转模块,将虚拟机中发生的事件传递到虚拟机的外面。最后,安全工具执行某种安全策略,从而对虚拟机中的安全事件采取响应措施。在该架构中,跳转模块的功能是虚拟机与安全域之间的通信桥梁。为了防止恶意攻击者篡改,截获事件的钩子函数和跳转模块可以是自包含的(self-contained),因而可以方便地被内存保护模块所保护。这种架构的优势在于,事件截获在虚拟机中实现,而且可以直接获取操作系统级语义。由于不需要进行语义重构,因此减少了性能开销。
图4所示为上述实施例中入侵检测模块103的工作方式流程图,其包括:
步骤401,借助虚拟机自省技术从外部对目标虚拟机进行入侵检测;
步骤402,若检测到入侵,则使用事先定义的安全策略对入侵做出响应。
这种架构能够利用虚拟化技术将入侵检测系统从被监控系统中转移出来,使得虚拟机监视器能够直接观察到被监控系统的内部状态,并通过直接访问其内存来重构出客户操作系统的内核数据结构,进而通过单独运行的入侵检测系统来进行检测,这种在虚拟机外部监控虚拟机内部运行状态的方法称为虚拟机自省。
图5所示为上述实施例中完整性保护模块104的结构框图,其包含:
虚拟机监视器保护子模块501,该子模块具有不可绕过的内存锁以及受限制的指针索引;其中,不可绕过的内存锁通过设置页表中的某些位来实现恶意程序修改时导致的缺页故障,而正常的页表更新则通过原子操作来实现;受限制的指针索引是指通过构造控制流程图来限制指针的位置;不可绕过的内存锁保证了虚拟机监视器代码的完整性,不可绕过的内存锁和受限制的指针索引保证了虚拟机管理数据的完整性。不可绕过的内存锁可以直接通过扩展虚拟机监视器的内存管理模块来实现,受限制的指针索引可以通过扩展开源的LLVM编译器并重新编译虚拟机监视器的代码而获得。
周期性文件保护子模块502,用于周期性计算文件的哈希值,判断文件是否被篡改。
实时文件保护子模块503,用于实时拦截对文件的操作。
该实施例给出了完整性保护模块的具体工作方式,该方式具有很好的防护效果。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种虚拟机防逃逸装置,其特征在于,包括:
内部监控模块,用于从内部对目标虚拟机进行监控;
外部监控模块,用于从外部对目标虚拟机进行监控;
入侵检测模块,用于检测对于目标虚拟机的入侵行为;
完整性保护模块,用于保护数据及传输信息的完整性。
2.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,还包括:
日志记录模块,用于记录宿主机和目标虚拟机的软件信息和硬件信息。
3.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,还包括:
蜜罐模块,用于引诱恶意攻击。
4.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,还包括:
恶意代码检测模块,用于检测恶意代码的存在和行为。
5.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,所述内部监控模块的工作方式为:
向目标虚拟机内部署钩子函数和跳转模块;
通过事先插入目标虚拟机操作系统内核的内存保护模块对钩子函数和跳转模块所占用的内存空间提供安全保护;
通过钩子函数对目标虚拟机中发生的安全事件进行拦截;
通过跳转模块将所述安全事件传递到目标虚拟机外;
使用事先定义的安全策略对所述安全事件做出响应。
6.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,所述入侵检测模块的工作方式为:
借助虚拟机自省技术从外部对目标虚拟机进行入侵检测;
若检测到入侵,则使用事先定义的安全策略对所述入侵做出响应。
7.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,所述完整性保护模块还包含用于对虚拟机监视器提供完整性保护的子模块,该子模块具有不可绕过的内存锁以及受限制的指针索引。
8.根据权利要求1所述的虚拟机防逃逸装置,其特征在于,所述完整性保护模块包括:
周期性文件保护子模块,用于周期性计算文件的哈希值,判断文件是否被篡改;
实时文件保护子模块,用于实时拦截对文件的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611119113.9A CN106778257A (zh) | 2016-12-08 | 2016-12-08 | 一种虚拟机防逃逸装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611119113.9A CN106778257A (zh) | 2016-12-08 | 2016-12-08 | 一种虚拟机防逃逸装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106778257A true CN106778257A (zh) | 2017-05-31 |
Family
ID=58881274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611119113.9A Pending CN106778257A (zh) | 2016-12-08 | 2016-12-08 | 一种虚拟机防逃逸装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106778257A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566401A (zh) * | 2017-09-30 | 2018-01-09 | 北京奇虎科技有限公司 | 虚拟化环境的防护方法及装置 |
| CN108039974A (zh) * | 2017-12-19 | 2018-05-15 | 国云科技股份有限公司 | 一种云平台虚拟机逃逸监测告警方法 |
| WO2019174193A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
| CN110737888A (zh) * | 2019-09-12 | 2020-01-31 | 北京理工大学 | 虚拟化平台操作系统内核数据攻击行为检测方法 |
| CN113391874A (zh) * | 2020-03-12 | 2021-09-14 | 腾讯科技(深圳)有限公司 | 一种虚拟机检测对抗方法、装置、电子设备及存储介质 |
| CN113553590A (zh) * | 2021-08-12 | 2021-10-26 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102147843A (zh) * | 2011-05-16 | 2011-08-10 | 湖南大学 | 一种基于内核不变量保护的rootkit入侵检测和系统恢复方法 |
| CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
| CN103793651A (zh) * | 2014-02-22 | 2014-05-14 | 西安电子科技大学 | 基于Xen虚拟化的内核完整性检测方法 |
| CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作系统内核完整性保护方法 |
-
2016
- 2016-12-08 CN CN201611119113.9A patent/CN106778257A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102147843A (zh) * | 2011-05-16 | 2011-08-10 | 湖南大学 | 一种基于内核不变量保护的rootkit入侵检测和系统恢复方法 |
| CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
| CN103793651A (zh) * | 2014-02-22 | 2014-05-14 | 西安电子科技大学 | 基于Xen虚拟化的内核完整性检测方法 |
| CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作系统内核完整性保护方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566401A (zh) * | 2017-09-30 | 2018-01-09 | 北京奇虎科技有限公司 | 虚拟化环境的防护方法及装置 |
| CN107566401B (zh) * | 2017-09-30 | 2021-01-08 | 北京奇虎科技有限公司 | 虚拟化环境的防护方法及装置 |
| CN108039974A (zh) * | 2017-12-19 | 2018-05-15 | 国云科技股份有限公司 | 一种云平台虚拟机逃逸监测告警方法 |
| WO2019174193A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
| CN111819556A (zh) * | 2018-03-16 | 2020-10-23 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
| CN111819556B (zh) * | 2018-03-16 | 2024-04-09 | 华为云计算技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
| US11989283B2 (en) | 2018-03-16 | 2024-05-21 | Huawei Cloud Computing Technologies Co., Ltd. | Container escape detection method, apparatus, and system, and storage medium |
| CN110737888A (zh) * | 2019-09-12 | 2020-01-31 | 北京理工大学 | 虚拟化平台操作系统内核数据攻击行为检测方法 |
| CN113391874A (zh) * | 2020-03-12 | 2021-09-14 | 腾讯科技(深圳)有限公司 | 一种虚拟机检测对抗方法、装置、电子设备及存储介质 |
| CN113553590A (zh) * | 2021-08-12 | 2021-10-26 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
| CN113553590B (zh) * | 2021-08-12 | 2022-03-29 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chen et al. | Internet-of-things security and vulnerabilities: Taxonomy, challenges, and practice | |
| Sudhakar et al. | An emerging threat Fileless malware: a survey and research challenges | |
| Mahor et al. | Cyber threat phylogeny assessment and vulnerabilities representation at thermal power station | |
| Jang et al. | SGX-Bomb: Locking down the processor via Rowhammer attack | |
| Gómez-Hernández et al. | R-Locker: Thwarting ransomware action through a honeyfile-based approach | |
| CN106778257A (zh) | 一种虚拟机防逃逸装置 | |
| US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
| US10474813B1 (en) | Code injection technique for remediation at an endpoint of a network | |
| CN105740046B (zh) | 一种基于动态库的虚拟机进程行为监控方法与系统 | |
| Srivastava et al. | Automatic discovery of parasitic malware | |
| CN105409164A (zh) | 通过使用硬件资源来检测网络业务中的矛盾的根套件检测 | |
| CN107408176A (zh) | 恶意对象的执行剖析检测 | |
| Reeves et al. | Intrusion detection for resource-constrained embedded control systems in the power grid | |
| János et al. | Security concerns towards security operations centers | |
| Yamauchi et al. | Additional kernel observer: privilege escalation attack prevention mechanism focusing on system call privilege changes | |
| Meng et al. | Security-first architecture: deploying physically isolated active security processors for safeguarding the future of computing | |
| US20150381655A1 (en) | Detecting memory-scraping malware | |
| Sabharwal et al. | Ransomware attack: India issues red alert | |
| CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
| CN108183901A (zh) | 基于fpga的主机安全防护物理卡及其数据处理方法 | |
| Ayub et al. | RWArmor: a static-informed dynamic analysis approach for early detection of cryptographic windows ransomware | |
| Di et al. | A hardware threat modeling concept for trustable integrated circuits | |
| CN112613000A (zh) | 一种敏感信息保护方法、装置、电子设备及可读存储介质 | |
| Reeves | Autoscopy Jr.: Intrusion detection for embedded control systems | |
| Zhang et al. | See through walls: Detecting malware in sgx enclaves with sgx-bouncer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100070 the 28 tier of fortune Fortune Plaza, No.1, hang Feng Road, Fengtai District, Beijing. Applicant after: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd. Applicant after: STATE GRID LIAONING ELECTRIC POWER Research Institute Applicant after: STATE GRID CORPORATION OF CHINA Applicant after: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. Address before: 100070 the 28 tier of fortune Fortune Plaza, No.1, hang Feng Road, Fengtai District, Beijing. Applicant before: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd. Applicant before: STATE GRID LIAONING ELECTRIC POWER Research Institute Applicant before: State Grid Corporation of China Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190606 Address after: 100085 Beijing city Haidian District Qinghe small Camp Road No. 15 Applicant after: BEIJING CHINA POWER INFORMATION TECHNOLOGY Co.,Ltd. Applicant after: STATE GRID LIAONING ELECTRIC POWER Research Institute Applicant after: STATE GRID CORPORATION OF CHINA Applicant after: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. Address before: 100070 the 28 tier of fortune Fortune Plaza, No.1, hang Feng Road, Fengtai District, Beijing. Applicant before: BEIJING GUODIANTONG NETWORK TECHNOLOGY Co.,Ltd. Applicant before: STATE GRID LIAONING ELECTRIC POWER Research Institute Applicant before: STATE GRID CORPORATION OF CHINA Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |