CN107741872B - 一种虚拟机识别的审计方法、装置及虚拟机识别系统 - Google Patents
一种虚拟机识别的审计方法、装置及虚拟机识别系统 Download PDFInfo
- Publication number
- CN107741872B CN107741872B CN201610820985.1A CN201610820985A CN107741872B CN 107741872 B CN107741872 B CN 107741872B CN 201610820985 A CN201610820985 A CN 201610820985A CN 107741872 B CN107741872 B CN 107741872B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- client
- information
- characteristic information
- feature information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了虚拟机识别的审计方法、装置及虚拟机识别系统,应用于信息处理技术领域。在本发明实施例中,服务器会根据客户端的第一特征信息重新确定该客户端是虚拟机还是实体机,然后根据这个结果和历史确定的结果对预置的虚拟机的特征信息进行动态地调整。这样可以动态地不断对预置的虚拟机的特征信息,使得在虚拟机识别的过程中使用调整后的预置的虚拟机的特征信息识别客户端是否是虚拟机时,准确性得到有效的提高,同时也可以有效地避免对客户端的特征信息进行伪造而导致的误识别。
Description
技术领域
本发明涉及信息处理技术领域,特别涉及一种虚拟机识别的审计方法、装置及虚拟机识别系统。
背景技术
随着虚拟操作系统的技术大量应用,企业内部办公机器大量安装虚拟机,同时虚拟化平台大量应用,有些企业也会采用实体机与虚拟混用的方式。在管控领域需要知道客户端的机器是否是虚拟机,以便下对应不同的安全策略,因此,虚拟机的识别成为管控领域重要的一环。
传统的虚拟机识别存在识别准确性问题,没法满足现在企业虚拟化机器与实体机器混用识别需求。
发明内容
本发明实施例提供一种虚拟机识别的审计方法、装置及虚拟机识别系统,实现了根据客户端的第一特征信息对预置的虚拟机的特征信息进行调整。
本发明实施例提供一种虚拟机识别的审计方法,包括:
获取客户端的第一特征信息,所述第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制MAC地址,用户网络地址,硬盘序列号和基本输入输出系统BIOS序列号;
将所述第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果;
根据所述第一比较结果及所述客户端的识别记录中的第二比较结果确定所述预置的虚拟机的特征信息的有效性;其中,所述第二比较结果是根据所述预置的虚拟机的特征信息得到的,所述客户端为虚拟机或为实体机的结果;
根据所述确定的有效性调整所述预置的虚拟机的特征信息。
本发明实施例还提供一种虚拟机识别的审计装置,包括:
第一特征获取单元,用于获取所述客户端的第一特征信息,所述第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制MAC地址,用户网络地址,硬盘序列号和基本输入输出系统BIOS序列号;
第一比较单元,用于将所述第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果;
调整单元,用于根据所述第一比较结果及所述客户端的识别记录中的第二比较结果确定所述预置的虚拟机的特征信息的有效性,根据所述确定的有效性调整所述预置的虚拟机的特征信息;
其中,所述第二比较结果是根据所述预置的虚拟机的特征信息得到的,所述客户端为虚拟机或为实体机的结果。
本发明实施例还提供一种虚拟机识别系统,包括服务器和至少一个客户端,其中,所述服务器包括:
第一特征获取单元,用于获取所述客户端的第一特征信息,所述第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制MAC地址,用户网络地址,硬盘序列号和基本输入输出系统BIOS序列号;
第一比较单元,用于将所述第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果;
调整单元,用于根据所述第一比较结果及所述客户端的识别记录中的第二比较结果确定所述预置的虚拟机的特征信息的有效性,根据所述确定的有效性调整所述预置的虚拟机的特征信息;
其中,所述第二比较结果是根据所述预置的虚拟机的特征信息得到的,所述客户端为虚拟机或为实体机的结果;所述客户端,用于将所述客户端的第一特征信息上报给所述服务器。
可见,在本发明实施例中,服务器会根据客户端的第一特征信息重新确定该客户端是虚拟机还是实体机,然后根据这个结果和历史确定的结果对预置的虚拟机的特征信息进行动态地调整。这样可以动态地不断对预置的虚拟机的特征信息,使得在虚拟机识别的过程中使用调整后的预置的虚拟机的特征信息识别客户端是否是虚拟机时,准确性得到有效的提高,同时也可以有效地避免对客户端的特征信息进行伪造而导致的误识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种虚拟机识别系统的结构示意图;
图2是本发明实施例提供的一种虚拟机识别方法的流程图;
图3是本发明实施例提供的一种虚拟机识别的审计方法的流程图;
图4是本发明实施例提供的一种虚拟机识别的审计装置的结构示意图;
图5是本发明实施例提供的另一种虚拟机识别的审计装置的结构示意图;
图6是本发明实施例提供的另一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供一种虚拟机识别的审计方法,主要可以应用于如图1所示的虚拟机识别系统中,在该系统中包括服务器和多个客户端,其中,客户端可以是实体机,也可以是虚拟机,客户端会将客户端运行的特征信息上报给服务器,由服务器根据上报的特征信息识别该客户端是虚拟机还是实体机,并动态地对识别过程中所用到的预置的虚拟机的特征信息进行调整。
本实施例的方法是系统中的服务器所执行的方法,且在服务器一端主要可以执行两个流程:虚拟机识别流程和虚拟机识别的审计流程。
(1)对于虚拟机识别流程,流程图如图2所示,包括:
步骤101,接收客户端发送的第二特征信息,该第二特征信息包括如下至少一个信息:客户端的系统特征信息和客户端的中央处理器标识(Central ProcessingUnitidentity,CPUID)采集指令的采集信息等。
可以理解,客户端可以在运行的过程中,可以将第二特征信息上报给服务器,由服务器发起执行虚拟机的识别流程。其中,客户端的系统特征信息是指支撑客户端运行的操作系统的信息,具体可以包括如下至少一个信息:注册表,文件,客户端运行时的进程信息,某些线程本地储存(thread local storage,Tls)的位置钩子及系统参数等。而CPUID采集指令主要采集虚拟机的标识信息,具体地,如果客户端是虚拟机,CPUID采集指令会调用客户端的多个寄存器中储存的标识信息,并将这些标识信息拼接形成客户端的标识信息;如果客户端是实体机,则CPUID采集指令的采集信息为空。
步骤102,将第二特征信息与预置的虚拟机的特征信息进行比较。服务器在比较时,主要是查看预置的虚拟机的特征信息中是否有与第二特征信息相同的特征信息。其中,预置的虚拟机的特征信息是用户根据实际经验预先存储在本地设备中的特征信息。
步骤103,如果第二特征信息中至少一个特征信息命中预置的虚拟机的特征信息,确定上述客户端为虚拟机。
如果预置的虚拟机的特征信息包括多个种类的虚拟机分别对应的特征信息,则通过上述步骤102中的比较,如果确定客户端为虚拟机,则还可以确定客户端的虚拟机类型。比如虚拟机(Virtual Machine ware,vmware),vbox,qmenu,wine,Cuckoo和沙箱(sandbox)等类型的虚拟机。
例如,如果在预置的vbox类型虚拟机的特征信息中包括注册表HKEY_LOCAL_MACHINE\\HARDWARE\\Description\\Syste一项的值为SystemBiosVersion,则如果第二特征信息的注册表中包括该项注册表,且该项的值为SystemBiosVersion,则确定客户端为虚拟机,且为vbox类型的虚拟机。
如果在预置的vmware类型虚拟机的特征信息中包括文件C:\\WINDOWS\\system32\\drivers\\vmmouse.sys,则如果第二特征信息的文件中包括该文件,则确定客户端为虚拟机,且为vmware类型的虚拟机。
如果在预置的vbox类型虚拟机的特征信息中包括设备信息\\\\.\\VBoxTrayIPC,则如果第二特征信息的设备信息中包括该设备信息,则确定客户端为虚拟机,且为vbox类型的虚拟机。
如果在预置的vbox类型虚拟机的特征信息中包括运行时的进程vboxservice.exe,则如果第二特征信息的运行时的进程信息中包括该进程,则确定客户端为虚拟机,且为vbox类型的虚拟机。
进一步地,服务器还会执行步骤104,如果第二特征信息中任一特征信息都未命中预置的虚拟机的特征信息,确定客户端为实体机。
当通过上述步骤101到104,服务器确定客户端是虚拟机或是实体机的结果后,还可以记录客户端的识别记录,在识别记录中可以包括客户端为虚拟机或为实体机的第二比较结果即上述步骤103或104得到的结果及服务器在确定上述第二比较结果时,命中预置的虚拟机的特征信息的第二特征信息。且还可以包括确定时间等信息。其中,命中的第二特征信息是指与预置的虚拟机的特征信息一致的第二特征信息。
可见,本实施例中,客户端将各自的第二特征信息上报给服务器,由服务器根据第二特征信息是否命中预置的虚拟机的特征信息,来确定客户端是虚拟机还是实体机。由于在预置的虚拟机的特征信息中是对运行虚拟机确切的特征信息的罗列,使得将第二特征信息与预置的虚拟机的特征信息进行比较后,可以较为准确地识别出客户端是虚拟机还是实体机。
(2)对于虚拟机识别的审计流程,主要是服务器通过如下步骤对服务器中预置的虚拟机的特征信息进行动态调整完善,使得对虚拟机的识别更为准确,流程图如图3所示,包括:
步骤201,获取客户端的第一特征信息,第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制(Media Access Control,MAC)地址,用户网络地址,硬盘序列号(serial number,SN)和基本输入输出系统(Basic Input /Output System,BIOS)序列号。
可以理解,服务器可以定时地发起本实施例中步骤201到204的流程,且该第一特征信息可以是客户端在上报上述第二特征信息时,一同上报,且储存在客户端的识别记录中的。则当服务器发送本实施例的流程时,从客户端的识别记录中获取得到。
步骤202,将第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定客户端是虚拟机或是实体机的第一比较结果。
具体地,如果客户端的用户名属于某一虚拟机的用户名规范类型,则确定客户端为虚拟机,比如用户名为xxx-vm的类型,不同供应商的虚拟机的参数规范不同;如果客户端的机器MAC地址在某一虚拟机的MAC地址的规范范围内,则确定客户端为虚拟机;如果客户端的用户网络地址在某一虚拟机的网络地址的规范范围内,确定客户端为虚拟机;如果客户端的硬盘序列号符合某一虚拟机的硬盘序列号的规范值,确定客户端为虚拟机;如果客户端的基本输入输出系统BIOS序列号符合某一虚拟机的基本输入输出系统BIOS序列号的规范值,确定客户端为虚拟机。
例如,如果客户端的系统硬盘序列号(SYSTEM_HARD_DISK_SN),内在硬盘序列号(INHERENT_HARD_DISK_SN)及BIOS序列号分别为如下的值时,确定客户端为虚拟机:
SYSTEM_HARD_DISK_SN=E47A-E95A;
INHERENT_HARD_DISK_SN=808135257;B3690B23;
BIOS_SN=VMware-564d72ed1b665470-8194d8f23a3e59cb
如果客户端的内在硬盘序列号及BIOS序列号分别为如下的值时,确定客户端为实体机:
INHERENT_HARD_DISK_SN=002503106351;S3T1CSE8;
BIOS_SN=4CV5116K36
步骤203,根据第一比较结果及客户端的识别记录中的第二比较结果确定预置的虚拟机的特征信息的有效性。其中,第二比较结果是服务器通过上述步骤101到104根据预置的虚拟机的特征信息得到的,客户端为虚拟机或为实体机的结果。
具体地,服务器会将第一比较结果与识别记录中的第二比较结果进行比较,看是否一致,如果不一致,则确定预置的虚拟机的特征信息中与上述识别记录中命中的第二特征信息相匹配的特征信息无效。
步骤204,根据步骤203确定的有效性调整预置的虚拟机的特征信息。
具体地,如果第一比较结果为客户端为实体机,而上述的第二比较结果为客户端为虚拟机,说明通过预置的虚拟机的特征信息对客户端的识别有误,确定预置的虚拟机的特征信息中与识别记录中命中的第二特征信息相匹配的至少一个特征信息无效,在调整预置的虚拟机的特征信息时,可以删除上述至少一个特征信息。
如果第一比较结果为客户端为第一类型的虚拟机,第二比较结果为客户端为第二类型的虚拟机,确定预置的虚拟机的特征信息中与识别记录中命中的第二特征信息相匹配的至少一个特征信息针对第二类型的虚拟机无效,在调整预置的虚拟机的特征信息时,可以将上述至少一个特征信息调整为第一类型的虚拟机的特征信息。
如果第一比较结果为客户端为虚拟机,第二比较结果为客户端为实体机,说明根据预置的虚拟机的特征信息识别不出客户端,在调整预置的虚拟机的特征信息时,可以在预置的虚拟机的特征信息中增加虚拟机的另一有效的特征信息。
可见,在本实施例中,服务器会根据客户端的第一特征信息重新确定该客户端是虚拟机还是实体机,然后根据这个结果和历史确定的结果对预置的虚拟机的特征信息进行动态地调整。这样可以动态地不断对预置的虚拟机的特征信息,使得在虚拟机识别的过程中使用调整后的预置的虚拟机的特征信息识别客户端是否是虚拟机时,准确性得到有效的提高,同时也可以有效地避免对客户端的特征信息进行伪造而导致的误识别。
本发明实施例还提供一种虚拟机识别的审计装置,比如上述的服务器,其结构示意图如图4所示,具体可以包括:
第一特征获取单元10,用于获取所述客户端的第一特征信息,所述第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制MAC地址,用户网络地址,硬盘序列号和基本输入输出系统BIOS序列号。
第一比较单元11,用于将所述第一特征获取单元10获取的第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果。
该第一比较单元11,具体用于如果所述客户端的用户名属于某一虚拟机的用户名规范类型,则确定所述客户端为虚拟机;如果所述客户端的机器媒体访问控制MAC地址在某一虚拟机的媒体访问控制MAC地址的规范范围内,确定所述客户端为虚拟机;如果所述客户端的用户网络地址在某一虚拟机的网络地址的规范范围内,确定所述客户端为虚拟机;如果所述客户端的硬盘序列号符合某一虚拟机的硬盘序列号的规范值,确定所述客户端为虚拟机;如果所述客户端的基本输入输出系统BIOS序列号符合某一虚拟机的基本输入输出系统BIOS序列号的规范值,确定所述客户端为虚拟机。
调整单元12,用于根据所述第一比较单元11确定的第一比较结果及所述客户端的识别记录中的第二比较结果确定所述预置的虚拟机的特征信息的有效性,根据所述确定的有效性调整所述预置的虚拟机的特征信息;
其中,所述第二比较结果是根据所述预置的虚拟机的特征信息得到的,所述客户端为虚拟机或为实体机的结果。
如果所述识别记录中还包括:在确定所述第二比较结果时,命中所述预置的虚拟机的特征信息的所述客户端的第二特征信息,该调整单元12,具体用于如果所述第一比较单元11确定的第一比较结果为所述客户端为实体机,第二比较结果为所述客户端为虚拟机,确定所述预置的虚拟机的特征信息中与所述识别记录中命中的第二特征信息相匹配的至少一个特征信息无效,删除所述至少一个特征信息;如果所述第一比较结果为所述客户端为第一类型的虚拟机,所述第二比较结果为所述客户端为第二类型的虚拟机,确定所述预置的虚拟机的特征信息中与所述识别记录中命中的第二特征信息相匹配的至少一个特征信息针对所述第二类型的虚拟机无效,将所述至少一个特征信息调整为所述第一类型的虚拟机的特征信息;如果所述第一比较结果为所述客户端为虚拟机,所述第二比较结果为所述客户端为实体机,在所述预置的虚拟机的特征信息中增加虚拟机的另一特征信息。
可见,在本实施例的装置中,第一比较单元11会根据客户端的第一特征信息重新确定该客户端是虚拟机还是实体机,然后调整单元12根据这个结果和历史确定的结果对预置的虚拟机的特征信息进行动态地调整。这样可以动态地不断对预置的虚拟机的特征信息,使得在虚拟机识别的过程中使用调整后的预置的虚拟机的特征信息识别客户端是否是虚拟机时,准确性得到有效的提高,同时也可以有效地避免对客户端的特征信息进行伪造而导致的误识别。
参考图5所示,在一个具体的实施例中,虚拟机识别的审计装置除了可以包括如图4所示的结构外,还可以包括记录单元13,第二特征获取单元14,第二比较单元15,确定单元16,其中:
第二特征获取单元14,用于接收所述客户端发送的第二特征信息,所述第二特征信息包括如下至少一个信息:所述客户端的系统特征信息,所述客户端的中央处理器标识CPUID采集指令的采集信息;其中,所述客户端的系统特征信息包括如下至少一个信息:注册表,文件,所述客户端运行时的进程信息,某些线程本地储存Tls的位置钩子及系统参数。
第二比较单元15,用于将所述第二特征获取单元14获取的第二特征信息与预置的虚拟机的特征信息进行比较。
确定单元16,用于根据所述第二比较单元15的比较,如果所述第二特征信息中至少一个特征信息命中所述预置的虚拟机的特征信息,确定所述客户端为虚拟机。且确定单元16还可以用于如果所述第二特征信息中任一特征信息都未命中所述预置的虚拟机的特征信息,确定所述客户端为实体机。
进一步地,所述确定单元16,还用于如果所述预置的虚拟机的特征信息包括多个种类的虚拟机分别对应的特征信息,确定所述客户端的虚拟机类型。
记录单元13,用于记录所述客户端的识别记录,所述识别记录包括:命中预置的虚拟机的特征信息的所述第二特征信息及所述确定单元16确定的客户端为虚拟机或为实体机的第二比较结果。这样调整单元12会根据第一比较单元11确定的第一比较结果及记录单元13记录的识别记录调整预置的虚拟机的特征信息。
在本实施例中,客户端将各自的第二特征信息上报给本实施例的虚拟机识别的审计装置,由装置中的确定单元16根据第二特征信息是否命中预置的虚拟机的特征信息,来确定客户端是虚拟机还是实体机。由于在预置的虚拟机的特征信息中是对运行虚拟机确切的特征信息的罗列,使得将第二特征信息与预置的虚拟机的特征信息进行比较后,可以较为准确地识别出客户端是虚拟机还是实体机。
本发明实施例还提供一种服务器,其结构示意图如图6所示,该服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)20(例如,一个或一个以上处理器)和存储器21,一个或一个以上存储应用程序221或数据222的存储介质22(例如一个或一个以上海量存储设备)。其中,存储器21和存储介质22可以是短暂存储或持久存储。存储在存储介质22的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中的一系列指令操作。
服务器还可以包括一个或一个以上电源23,一个或一个以上有线或无线网络接口24,一个或一个以上输入输出接口25,和/或,一个或一个以上操作系统223,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述方法实施例中所述的由服务器所执行的步骤可以基于该图6所示的服务器的结构。
本发明实施例还提供一种虚拟机识别系统,其结构示意图可以如图1所示,包括服务器和至少一个客户端(图1中以多个客户端为例说明),其中,所述服务器的结构可以如上述图4或图5所示的虚拟机识别的审计装置的结构,或如图6所示的服务器的结构,在此不进行赘述。
所述客户端,用于将所述客户端的第一特征信息上报给所述服务器。还可以将客户端的第二特征信息上报给服务器。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM)、随机存取存储器(RAM)、磁盘或光盘等。
以上对本发明实施例所提供的虚拟机识别的审计方法、装置及虚拟机识别系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,本说明书内容不应理解为对本发明的限制。
Claims (17)
1.一种虚拟机识别的审计方法,其特征在于,包括:
获取客户端的第一特征信息,所述第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制MAC地址,用户网络地址,硬盘序列号和基本输入输出系统BIOS序列号;
将所述第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果;
根据所述第一比较结果及所述客户端的识别记录中的第二比较结果确定预置的虚拟机的特征信息的有效性;其中,所述第二比较结果是根据所述预置的虚拟机的特征信息得到的,所述客户端为虚拟机或为实体机的结果;
根据所述确定的有效性调整所述预置的虚拟机的特征信息。
2.如权利要求1所述的方法,其特征在于,所述将所述第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果,具体包括:
如果所述客户端的用户名属于某一虚拟机的用户名规范类型,则确定所述客户端为虚拟机;
如果所述客户端的机器媒体访问控制MAC地址在某一虚拟机的媒体访问控制MAC地址的规范范围内,确定所述客户端为虚拟机;
如果所述客户端的用户网络地址在某一虚拟机的网络地址的规范范围内,确定所述客户端为虚拟机;
如果所述客户端的硬盘序列号符合某一虚拟机的硬盘序列号的规范值,确定所述客户端为虚拟机;
如果所述客户端的基本输入输出系统BIOS序列号符合某一虚拟机的基本输入输出系统BIOS序列号的规范值,确定所述客户端为虚拟机。
3.如权利要求1所述的方法,其特征在于,所述识别记录中还包括:在确定所述第二比较结果时,命中所述预置的虚拟机的特征信息的所述客户端的第二特征信息;
所述根据所述第一比较结果及所述客户端的识别记录中的第二比较结果
确定所述预置的虚拟机的特征信息的有效性,根据所述确定的有效性调整所述预置的虚拟机的特征信息,具体包括:
如果所述第一比较结果为所述客户端为实体机,所述第二比较结果为所述客户端为虚拟机,确定所述预置的虚拟机的特征信息中与所述识别记录中命中的第二特征信息相匹配的至少一个特征信息无效,删除所述至少一个特征信息;
如果所述第一比较结果为所述客户端为第一类型的虚拟机,所述第二比较结果为所述客户端为第二类型的虚拟机,确定所述预置的虚拟机的特征信息中与所述识别记录中命中的第二特征信息相匹配的至少一个特征信息针对所述第二类型的虚拟机无效,将所述至少一个特征信息调整为所述第一类型的虚拟机的特征信息;
如果所述第一比较结果为所述客户端为虚拟机,所述第二比较结果为所述客户端为实体机,在所述预置的虚拟机的特征信息中增加虚拟机的另一特征信息。
4.如权利要求1至3任一项所述的方法,其特征在于,所述根据所述第一比较结果及所述客户端的识别记录中的第二比较结果确定所述预置的虚拟机的特征信息的有效性之前,所述方法还包括:
接收所述客户端发送的第二特征信息,所述第二特征信息包括如下至少一个信息:所述客户端的系统特征信息,所述客户端的中央处理器标识CPUID采集指令的采集信息;
将所述第二特征信息与预置的虚拟机的特征信息进行比较,如果所述第二特征信息中至少一个特征信息命中所述预置的虚拟机的特征信息,确定所述客户端为虚拟机。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
如果所述第二特征信息中任一特征信息都未命中所述预置的虚拟机的特征信息,确定所述客户端为实体机。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
记录所述客户端的识别记录,所述识别记录包括:命中所述预置的虚拟机的特征信息的所述第二特征信息及所述客户端为虚拟机或为实体机的第二比较结果。
7.如权利要求4所述的方法,其特征在于,所述预置的虚拟机的特征信息包括多个种类的虚拟机分别对应的特征信息,所述方法还包括:确定所述客户端的虚拟机类型。
8.如权利要求4所述的方法,其特征在于,所述客户端的系统特征信息包括如下至少一个信息:注册表,所述客户端运行时的进程信息,某些线程本地储存Tls的位置钩子及系统参数。
9.一种虚拟机识别的审计装置,其特征在于,包括:
第一特征获取单元,用于获取客户端的第一特征信息,所述第一特征信息包括如下至少一个信息:用户名,机器媒体访问控制MAC地址,用户网络地址,硬盘序列号和基本输入输出系统BIOS序列号;
第一比较单元,用于将所述第一特征信息与实际供应商的虚拟机的参数规范信息进行比较,确定所述客户端是虚拟机或是实体机的第一比较结果;
调整单元,用于根据所述第一比较结果及所述客户端的识别记录中的第二比较结果确定预置的虚拟机的特征信息的有效性,根据所述确定的有效性调整所述预置的虚拟机的特征信息;
其中,所述第二比较结果是根据所述预置的虚拟机的特征信息得到的,所述客户端为虚拟机或为实体机的结果。
10.如权利要求9所述的装置,其特征在于,
所述第一比较单元,具体用于如果所述客户端的用户名属于某一虚拟机的用户名规范类型,则确定所述客户端为虚拟机;如果所述客户端的机器媒体访问控制MAC地址在某一虚拟机的媒体访问控制MAC地址的规范范围内,确定所述客户端为虚拟机;如果所述客户端的用户网络地址在某一虚拟机的网络地址的规范范围内,确定所述客户端为虚拟机;如果所述客户端的硬盘序列号符合某一虚拟机的硬盘序列号的规范值,确定所述客户端为虚拟机;如果所述客户端的基本输入输出系统BIOS序列号符合某一虚拟机的基本输入输出系统BIOS序列号的规范值,确定所述客户端为虚拟机。
11.如权利要求9所述的装置,其特征在于,
所述识别记录中还包括:在确定所述第二比较结果时,命中所述预置的虚拟机的特征信息的所述客户端的第二特征信息;
所述调整单元,具体用于如果所述第一比较结果为所述客户端为实体机,所述第二比较结果为所述客户端为虚拟机,确定所述预置的虚拟机的特征信息中与所述识别记录中命中的第二特征信息相匹配的至少一个特征信息无效,删除所述至少一个特征信息;如果所述第一比较结果为所述客户端为第一类型的虚拟机,所述第二比较结果为所述客户端为第二类型的虚拟机,确定所述预置的虚拟机的特征信息中与所述识别记录中命中的第二特征信息相匹配的至少一个特征信息针对所述第二类型的虚拟机无效,将所述至少一个特征信息调整为所述第一类型的虚拟机的特征信息;如果所述第一比较结果为所述客户端为虚拟机,所述第二比较结果为所述客户端为实体机,在所述预置的虚拟机的特征信息中增加虚拟机的另一特征信息。
12.如权利要求9至11任一项所述的装置,其特征在于,还包括:
第二特征获取单元,用于接收所述客户端发送的第二特征信息,所述第二特征信息包括如下至少一个信息:所述客户端的系统特征信息,所述客户端的中央处理器标识CPUID采集指令的采集信息;
第二比较单元,用于将所述第二特征信息与预置的虚拟机的特征信息进行比较;
确定单元,用于如果所述第二特征信息中至少一个特征信息命中所述预置的虚拟机的特征信息,确定所述客户端为虚拟机。
13.如权利要求12所述的装置,其特征在于,
所述确定单元,还用于如果所述第二特征信息中任一特征信息都未命中所述预置的虚拟机的特征信息,确定所述客户端为实体机。
14.如权利要求12所述的装置,其特征在于,还包括:
记录单元,用于记录所述客户端的识别记录,所述识别记录包括:命中所述预置的虚拟机的特征信息的所述第二特征信息及所述客户端为虚拟机或为实体机的第二比较结果。
15.如权利要求12所述的装置,其特征在于,所述确定单元,还用于如果所述预置的虚拟机的特征信息包括多个种类的虚拟机分别对应的特征信息,确定所述客户端的虚拟机类型。
16.如权利要求12所述的装置,其特征在于,所述客户端的系统特征信息包括如下至少一个信息:注册表,所述客户端运行时的进程信息,某些线程本地储存Tls的位置钩子及系统参数。
17.一种虚拟机识别系统,其特征在于,包括服务器和至少一个客户端,其中,所述服务器是如权利要求9至16任一项所述的虚拟机识别的审计装置;
所述客户端,用于将所述客户端的第一特征信息上报给所述服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610820985.1A CN107741872B (zh) | 2016-09-13 | 2016-09-13 | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610820985.1A CN107741872B (zh) | 2016-09-13 | 2016-09-13 | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107741872A CN107741872A (zh) | 2018-02-27 |
CN107741872B true CN107741872B (zh) | 2020-08-11 |
Family
ID=61235097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610820985.1A Active CN107741872B (zh) | 2016-09-13 | 2016-09-13 | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107741872B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804372B (zh) * | 2020-12-31 | 2023-03-24 | 武汉思普崚技术有限公司 | 一种用户终端分组方法、系统、装置及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103049696A (zh) * | 2012-11-21 | 2013-04-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚拟机躲避识别的方法及装置 |
CN103077351A (zh) * | 2012-12-20 | 2013-05-01 | 北京奇虎科技有限公司 | 虚拟机系统的反检测系统 |
US20140201732A1 (en) * | 2013-01-14 | 2014-07-17 | Cisco Technology, Inc. | Detection of Unauthorized Use of Virtual Resources |
CN103095821B (zh) * | 2013-01-05 | 2015-07-01 | 国都兴业信息审计系统技术(北京)有限公司 | 一种基于虚拟机迁移识别的持续审计系统 |
CN105162799A (zh) * | 2015-09-24 | 2015-12-16 | 北京奇虎科技有限公司 | 检验客户端是否为合法移动终端的方法以及服务器 |
-
2016
- 2016-09-13 CN CN201610820985.1A patent/CN107741872B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103049696A (zh) * | 2012-11-21 | 2013-04-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种虚拟机躲避识别的方法及装置 |
CN103077351A (zh) * | 2012-12-20 | 2013-05-01 | 北京奇虎科技有限公司 | 虚拟机系统的反检测系统 |
CN103095821B (zh) * | 2013-01-05 | 2015-07-01 | 国都兴业信息审计系统技术(北京)有限公司 | 一种基于虚拟机迁移识别的持续审计系统 |
US20140201732A1 (en) * | 2013-01-14 | 2014-07-17 | Cisco Technology, Inc. | Detection of Unauthorized Use of Virtual Resources |
CN105162799A (zh) * | 2015-09-24 | 2015-12-16 | 北京奇虎科技有限公司 | 检验客户端是否为合法移动终端的方法以及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN107741872A (zh) | 2018-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9727723B1 (en) | Recommendation system based approach in reducing false positives in anomaly detection | |
TWI544328B (zh) | 用於經由背景虛擬機器的探測插入的方法及系統 | |
US8468524B2 (en) | Inter-virtual machine time profiling of I/O transactions | |
US10963558B2 (en) | Malware detection method and malware detection apparatus | |
US20070255979A1 (en) | Event trace conditional logging | |
US11048577B2 (en) | Automatic correcting of computing cluster execution failure | |
JP2017534105A5 (zh) | ||
WO2017107843A1 (zh) | 周期性任务的处理方法和装置及计算机程序和可读介质 | |
US11422827B2 (en) | Method, device, apparatus for identifying graphics card of GPU server and medium | |
CN112346829A (zh) | 一种用于任务调度的方法及设备 | |
US9235511B2 (en) | Software performance by identifying and pre-loading data pages | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
CN113508381A (zh) | 用于嵌入式软件应用的基于机器学习的异常检测 | |
US10635516B2 (en) | Intelligent logging | |
WO2016095687A1 (zh) | 虚拟化安全检测方法与系统 | |
EP3011454A1 (en) | Generating a fingerprint representing a response of an application to a simulation of a fault of an external service | |
US10984105B2 (en) | Using a machine learning model in quantized steps for malware detection | |
CN107741872B (zh) | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 | |
US20190156359A1 (en) | Techniques to quantify effectiveness of site-wide actions | |
CN107958414B (zh) | 一种清除cics系统长交易的方法及系统 | |
US11308028B2 (en) | Predicting and deleting idle remote sessions in a distributed file system | |
US10878104B2 (en) | Automated multi-credential assessment | |
CN111159714B (zh) | 一种访问控制中主体运行时可信验证方法及系统 | |
CN108848183B (zh) | 模拟用户的登录方法及装置 | |
CN107370785B (zh) | 一种用于处理用户业务状态信息的方法与设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210929 Address after: 100190 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518000, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
TR01 | Transfer of patent right |