CN107608752B - 基于虚拟机自省的威胁情报响应与处置方法及系统 - Google Patents
基于虚拟机自省的威胁情报响应与处置方法及系统 Download PDFInfo
- Publication number
- CN107608752B CN107608752B CN201610546237.9A CN201610546237A CN107608752B CN 107608752 B CN107608752 B CN 107608752B CN 201610546237 A CN201610546237 A CN 201610546237A CN 107608752 B CN107608752 B CN 107608752B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- network
- threat
- data packet
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种基于虚拟机自省的威胁情报响应与处置方法及系统,将威胁检测与响应模块部署在被检测虚拟机之外的特权虚拟机上;利用虚拟机自省技术获取进行网络通信的被检测虚拟机中的端口号‑传输层网络协议‑进程对应关系;捕获并解析虚拟机通信的网络数据包;利用网络威胁情报数据库判断数据包是否有威胁,如有威胁则给出威胁警告,并利用获得的对应关系定位和威胁源通信的虚拟机进程,进而对进程或端口等进行阻断。本发明通过把威胁检测与响应模块部署在被检测虚拟机外部,有效地保护了检测和响应模块,同时可以完成进程级别的网络威胁检测和响应,且不对现有的云架构做任何改动,可以方便地应用于云服务提供商的服务器上。
Description
技术领域
本发明属于信息技术领域,尤其是一种基于虚拟机自省的威胁情报响应与处置方法及系统。
背景技术
随着云计算的快速发展,针对企业服务器虚拟机的网络攻击越来越多,给云计算服务厂商和用户都带来了巨大的损失。为了检测网络威胁并作出响应,降低网络攻击带来的危害,现阶段常用的方法有以下两种:在虚拟机中安装安全防护软件;在局域网上部署安全防护软件。这些方式在一定程度上维护了虚拟机系统的安全,但并不完善,主要表现在以下方面:
(1)把安全防护软件安装在虚拟机中,对每一个虚拟机都要安装软件并配置安全策略,维护成本高;
(2)把安全防护软件安装在虚拟机中,由于运行在要保护的系统中,安全软件可能受到攻击,安全性差;
(3)把安全防护软件部署在局域网上,只能得到操作系统级别的威胁信息,防护效能差。
虚拟机自省技术是一种在虚拟机外部监测虚拟机运行状态的技术,从2003年提出以来,虚拟机自省得到了国内外学者的研究。近些年来,不仅出现了各式各样的原型系统,还涌现出诸如LibVMI等优秀的开发工具包,基于虚拟机自省的应用也越来越多。
发明内容
本发明的目的在于克服现有技术的不足,提供一种易于维护、安全性强且安全效能高的基于虚拟机自省的威胁情报响应与处置方法及系统。
本发明解决现有的技术问题是采取以下技术方案实现的:
一种基于虚拟机自省的威胁情报响应与处置系统,包括:
被检测虚拟机,为系统进行检测和保护的目标虚拟机;
特权虚拟机,所述特权虚拟机中设置有威胁检测与响应模块,所述威胁检测与响应模块又包括:
虚拟机自省子模块,用于获取被检测虚拟机的端口号-传输层网络协议-进程对应关系;
数据包捕获和解析子模块,用于捕获和解析被检测虚拟机进行网络通信的数据包;
网络威胁情报获取和查询子模块,用于获取网络威胁情报形成网络威胁情报数据库,并提供查询接口实现特定条件的查询,并根据查询结果对有威胁的数据包进行响应及处置。
进一步地,上述系统还包括虚拟机监控器,即hypervisor。它用于模拟硬件环境,在其上可运行多个虚拟机系统,特权虚拟机和被检测虚拟机都运行在虚拟机监控器上。
进一步地,所述特定条件的查询是指将捕获的数据包与网络威胁情报数据库进行比对以判断网络数据包是否有威胁。
一种基于虚拟机自省的威胁情报响应与处置方法,包括以下步骤:
1)在被检测虚拟机之外的特权虚拟机上设置威胁检测与响应模块;
2)所述威胁检测与响应模块利用虚拟机自省技术获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系,同时捕获并解析被检测虚拟机通信的网络数据包;
3)利用网络威胁情报数据库判断网络数据包是否有威胁,如果有威胁,给出威胁警告,并利用步骤2)获得的对应关系信息,定位和威胁源通信的虚拟机进程,进而对进程或端口等进行阻断。
进一步地,所述威胁检测和响应模块包括虚拟机自省子模块、数据包捕获和解析子模块以及网络威胁情报获取和查询子模块,虚拟机自省子模块用来利用虚拟机自省技术获取被检测虚拟机的端口号-传输层网络协议-进程对应关系,数据包捕获和解析子模块用来捕获和解析虚拟机进行网络通信的数据包,网络威胁情报获取和查询子模块用来获取网络威胁情报以形成网络威胁情报数据库,并提供查询接口实现特定条件的查询。
进一步地,所述步骤1)中的特权虚拟机为:整个虚拟机系统中,用来管理和控制所有虚拟机的系统。
进一步地,所述步骤2)中获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系具体方法为:读取被检测虚拟机的内存,利用被检测虚拟机内核的数据结构知识还原内存信息,得到被检测虚拟机内核的运行时数据;遍历每一个进程的文件描述符,找到其中的socket文件,进一步找到其中进行网络通信的socket,读取其端口号和传输层网络协议。
进一步地,每隔一段时间重复以上过程更新进程打开的端口号和对应的传输层网络协议。该自省时间间隔设为模块参数,可以不断调整达到最佳的效果。
进一步地,所述步骤2)中解析网络数据包的具体方法为:进行数据链路层、网络层和传输层解析,得到网络层和传输层协议报头包含的信息。
进一步地,所述步骤3)中的网络威胁情报数据库具体为:包含和网络有关的威胁情报的数据库,可以是但不限于利用集中情报框架(Collective IntelligenceFramework)获取的威胁情报数据库。
进一步地,所述步骤3)判断网络数据包是否有威胁的具体方法为:提取网络数据包特征,具体可以是但不限于MAC地址、IP地址、端口号,以及多个网络数据包体现的访问序列等整体性特征。然后把提取后的特征和网络威胁情报数据库进行比对,也可以采用黑名单和白名单方法。
本发明的优点和积极效果是:
1、本发明将威胁检测和响应模块部署在特权虚拟机上,只需部署一次即可对所有的虚拟机进行检测和响应,易于维护。
2、本发明将威胁检测和响应模块部署在特权虚拟机上,虚拟机之间的隔离性可以避免威胁检测和响应模块受到来自被检测虚拟机的攻击。
3、本发明将威胁检测和响应模块部署在特权虚拟机上,保持了现有的系统架构,对被检测的虚拟机完全透明,不影响虚拟机的正常工作。
4、本发明可以定位和威胁源通信的进程,检测粒度更细,效能高。
5、本发明利用网络威胁情报数据库进行判断,而网络威胁情报数据库可以不断更新,检测结果更加可靠和有效。
附图说明
附图是本发明的系统架构示意图。
具体实施方式
以下结合附图对本发明实施例做进一步详述。
本发明基于虚拟机自省的威胁情报响应与处置是在附图所示的架构上实现的。利用虚拟机自省技术,把威胁检测和响应模块安装在被检测的虚拟机之外,对被检测的虚拟机完全透明。本发明不对现有的云架构做任何改动,只利用其中的虚拟机监控器提供的接口,可以同时对虚拟机监控器上的多个虚拟机进行网络威胁检测和响应。
本发明的威胁情报响应与处置方法包括以下步骤:
步骤1、将威胁检测与响应模块部署在被检测虚拟机之外的特权虚拟机上。
本步骤是在特权虚拟机上安装威胁检测和响应模块。选择Xen hypervisor作为虚拟机监控器,在其上安装Ubuntu作为特权虚拟机,安装CentOS作为被检测虚拟机。在Ubuntu上安装威胁检测与响应模块的方法与在Ubuntu上安装其他软件/模块相同。
威胁检测和响应模块包括虚拟机自省子模块、数据包捕获和解析子模块以及网络威胁情报获取和查询子模块,虚拟机自省子模块用来获取被检测虚拟机的端口号-传输层网络协议-进程对应关系,数据包捕获和解析子模块用来捕获和解析虚拟机进行网络通信的数据包,网络威胁情报获取和查询子模块用来获取网络威胁情报并提供查询接口。以上各子模块均使用C语言完成,它们之间并非强耦合,可以单独安装和运行,并使用Shell脚本来控制和协调各个子模块。
步骤2、当被检测虚拟机进行网络通信时,利用虚拟机自省技术,获取虚拟机中的端口号-传输层网络协议-进程对应关系。
在本步骤中,当被检测虚拟机进行网络通信时,虚拟机自省子模块开始工作,它利用被检测虚拟机内核语义知识,获取其中的端口号-传输层网络协议-进程对应关系。具体方法为利用LibVMI提供的的方法和CentOS内核符号文件,读取被检测虚拟机内存,找到并获取0号进程的进程描述符信息,利用CentOS内核的语义知识和LibVMI,遍历进程打开的文件描述符,并对该文件描述符是否是socket类型进行判断,如果是socket文件,进一步判断网络协议族是否是PF_INET和PF_INET6,如果是就读取该socket的端口号和传输层网络协议,并记下该进程的进程ID和进程名,从而得到端口号-传输层网络协议-进程对应关系。由于CentOS内核利用双向链表连接所有进程描述符,利用链表可以遍历所有进程描述符,得到被检测虚拟机中所有进程打开的网络端口和对应的传输层网络协议。
通过以上过程,可以得到自省瞬间被检测虚拟机中所有的端口号-传输层网络协议-进程对应关系。由于进程进行网络通信的动态性,每隔一段时间重复以上过程更新进程打开的端口号和对应的传输层网络协议。该自省时间间隔设为模块参数,可以不断调整达到最佳的效果。
步骤3、当被检测虚拟机进行网络通信时,捕获并解析虚拟机通信的网络数据包。
在本步骤中,当被检测虚拟机进行网络通信时,数据包捕获和解析子模块捕获目标虚拟机的数据包,并进行解析。具体方法为利用libpcap抓取数据包,并定义数据链路层、网络层和传输层协议报头结构,对数据包进行解析,得到网络层和传输层协议报头包含的信息。
步骤4、利用网络威胁情报数据库判断数据包是否有威胁,如果有威胁,给出威胁警告,并利用步骤2获得的信息,定位和威胁源通信的虚拟机进程,进而对进程或端口等进行阻断。
在本步骤中,利用步骤3得到的网络层和传输层协议报头包含的信息和网络威胁情报数据库判断该数据包是否有威胁,并作出威胁响应。具体方法为提取网络数据包的MAC地址、IP地址、端口号等信息。采用黑名单方法,把得到的IP地址和网络威胁情报数据库进行匹配,如果IP地址在数据库中,置信度不小于85并且是特定类型的威胁时,判定数据包有威胁。
对于有威胁的数据包,给出威胁警告。并利用步骤2中得到的端口号-传输层网络协议-进程对应关系,定位和威胁源进行通信的进程,并进一步对进程或端口等进行阻断。
本步骤利用的网络威胁情报数据库是指包含和网络有关的威胁情报的数据库,利用集中情报框架(Collective Intelligence Framework)可以获取的网络威胁情报数据库,并且该数据库可以不断更新,保证检测结果的准确和有效。
本步骤对进程或端口进行阻断的一种方法是利用特权虚拟机的防火墙,过滤掉被检测虚拟机和威胁源进行通信的的网络数据包。
需要强调的是,本发明所述的实施例是说明性的,而不是限定性的,因此本发明包括并不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式,同样属于本发明保护的范围。
Claims (9)
1.一种基于虚拟机自省的威胁情报响应与处置方法,包括以下步骤:
1)被检测虚拟机之外的特权虚拟机获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系;其中获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系的方法为:读取被检测虚拟机的内存,利用被检测虚拟机内核的数据结构知识还原内存信息,得到被检测虚拟机内核的运行时数据;遍历每一个进程的文件描述符,找到其中的socket文件,进一步找到其中进行网络通信的socket,读取其端口号和传输层网络协议;
2)捕获并解析被检测虚拟机通信的网络数据包;
3)利用网络威胁情报数据库判断网络数据包是否有威胁;
4)当判断结果为有威胁时,利用所述对应关系,定位和威胁源通信的被检测虚拟机的虚拟机进程,进而对进程或端口进行阻断。
2.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法,其特征在于,按照设定的自省时间间隔重复获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系的过程,更新进程打开的端口号和对应的传输层网络协议。
3.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法,其特征在于,通过下述步骤解析所述网络数据包:
抓取网络数据包,并定义数据链路层、网络层和传输层协议报头结构;
对数据包进行解析,得到网络层和传输层协议报头包含的信息。
4.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法,其特征在于,所述网络威胁情报数据库包括利用集中情报框架获取的威胁情报数据库。
5.如权利要求1所述的基于虚拟机自省的威胁情报响应与处置方法,其特征在于,判断所述网络数据包是否有威胁的方法为:提取网络数据包特征,将其和网络威胁情报数据库进行比对,以判断网络数据包是否有威胁。
6.如权利要求5所述的基于虚拟机自省的威胁情报响应与处置方法,其特征在于,所述网络数据包特征包括MAC地址、IP地址、端口号,以及多个网络数据包体现的访问序列。
7.一种基于虚拟机自省的威胁情报响应与处置系统,包括:
被检测虚拟机,为系统进行检测和保护的目标虚拟机;
特权虚拟机,所述特权虚拟机中设置有威胁检测与响应模块,所述威胁检测与响应模块又包括:
虚拟机自省子模块,用于利用虚拟机自省技术获取被检测虚拟机的端口号-传输层网络协议-进程对应关系;其中获取进行网络通信的被检测虚拟机中的端口号-传输层网络协议-进程对应关系的方法为:读取被检测虚拟机的内存,利用被检测虚拟机内核的数据结构知识还原内存信息,得到被检测虚拟机内核的运行时数据;遍历每一个进程的文件描述符,找到其中的socket文件,进一步找到其中进行网络通信的socket,读取其端口号和传输层网络协议;
数据包捕获和解析子模块,用于捕获和解析被检测虚拟机进行网络通信的数据包;
网络威胁情报获取和查询子模块,用于获取网络威胁情报形成网络威胁情报数据库,并提供查询接口实现特定条件的查询,并根据查询结果对有威胁的数据包进行响应及处置。
8.如权利要求7所述的基于虚拟机自省的威胁情报响应与处置系统,其特征在于,还包括虚拟机监控器,所述特权虚拟机和被检测虚拟机都运行在虚拟机监控器上。
9.如权利要求7所述的基于虚拟机自省的威胁情报响应与处置系统,其特征在于,所述特定条件的查询是指将捕获的数据包与网络威胁情报数据库进行比对以判断网络数据包是否有威胁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610546237.9A CN107608752B (zh) | 2016-07-12 | 2016-07-12 | 基于虚拟机自省的威胁情报响应与处置方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610546237.9A CN107608752B (zh) | 2016-07-12 | 2016-07-12 | 基于虚拟机自省的威胁情报响应与处置方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107608752A CN107608752A (zh) | 2018-01-19 |
CN107608752B true CN107608752B (zh) | 2020-10-16 |
Family
ID=61054837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610546237.9A Active CN107608752B (zh) | 2016-07-12 | 2016-07-12 | 基于虚拟机自省的威胁情报响应与处置方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107608752B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111258712B (zh) * | 2020-01-10 | 2022-05-31 | 苏州浪潮智能科技有限公司 | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 |
CN112866291B (zh) * | 2021-03-03 | 2023-02-28 | 安天科技集团股份有限公司 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
CN114338112B (zh) * | 2021-12-20 | 2024-03-19 | 北京安天网络安全技术有限公司 | 基于网络安全的系统文件保护方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023912A (zh) * | 2012-12-26 | 2013-04-03 | 蓝盾信息安全技术股份有限公司 | 一种防止基于虚拟机进行网络攻击的方法 |
CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN104732145A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇虎科技有限公司 | 一种虚拟机中的寄生进程检测方法和装置 |
CN105159744A (zh) * | 2015-08-07 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的度量方法及装置 |
-
2016
- 2016-07-12 CN CN201610546237.9A patent/CN107608752B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023912A (zh) * | 2012-12-26 | 2013-04-03 | 蓝盾信息安全技术股份有限公司 | 一种防止基于虚拟机进行网络攻击的方法 |
CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
CN104715201A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种虚拟机恶意行为检测方法和系统 |
CN104732145A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇虎科技有限公司 | 一种虚拟机中的寄生进程检测方法和装置 |
CN105159744A (zh) * | 2015-08-07 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的度量方法及装置 |
Non-Patent Citations (2)
Title |
---|
Hao Zhang等.vPatcher: VMI-Based Transparent Data Patching to Secure Software in the Cloud.《2014 IEEE 13th International Conference on Trust, Security and Privacy in Computing and Communications》.2014,第943-948页. * |
vPatcher: VMI-Based Transparent Data Patching to Secure Software in the Cloud;Hao Zhang等;《2014 IEEE 13th International Conference on Trust, Security and Privacy in Computing and Communications》;20140926;第943-948页 * |
Also Published As
Publication number | Publication date |
---|---|
CN107608752A (zh) | 2018-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9166988B1 (en) | System and method for controlling virtual network including security function | |
CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
CN107608752B (zh) | 基于虚拟机自省的威胁情报响应与处置方法及系统 | |
CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
Simoes et al. | On the use of honeypots for detecting cyber attacks on industrial control networks | |
CN112948821A (zh) | 一种apt检测预警方法 | |
Chovancová et al. | Securing Distributed Computer Systems Using an Advanced Sophisticated Hybrid Honeypot Technology. | |
CN113572730A (zh) | 一种基于web的主动自动诱捕蜜罐的实现方法 | |
CN113329017A (zh) | 网络安全风险的检测系统及方法 | |
CN111786986A (zh) | 一种数控系统网络入侵防范系统及方法 | |
CN105656730A (zh) | 一种基于tcp数据包的网络应用快速发现方法和系统 | |
CN113965355B (zh) | 一种基于soc的非法ip省内网络封堵方法及装置 | |
CN110138780B (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
CN113746832B (zh) | 多方法混合的分布式apt恶意流量检测防御系统及方法 | |
CN110311901A (zh) | 一种基于容器技术的轻量级网络沙箱设置方法 | |
CN116781412A (zh) | 一种基于异常行为的自动防御方法 | |
CN106878338B (zh) | 远动设备网关防火墙一体机系统 | |
CN111478912A (zh) | 一种区块链入侵检测系统及方法 | |
CN112073371A (zh) | 一种针对弱监管路由设备的恶意行为检测方法 | |
Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems | |
Ye et al. | Research on network security protection strategy | |
CN111865950B (zh) | 一种拟态网络测试仪及测试方法 | |
RU2737229C1 (ru) | Способ защиты систем управления транспортных средств от вторжений | |
Abhijith et al. | First Level Security System for Intrusion Detection and Prevention in LAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |