CN107797895A - 一种虚拟机安全监控方法及系统 - Google Patents
一种虚拟机安全监控方法及系统 Download PDFInfo
- Publication number
- CN107797895A CN107797895A CN201710316584.7A CN201710316584A CN107797895A CN 107797895 A CN107797895 A CN 107797895A CN 201710316584 A CN201710316584 A CN 201710316584A CN 107797895 A CN107797895 A CN 107797895A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- virtual machine
- ept
- page tables
- ept page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/301—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟机安全监控方法及系统,利用了虚拟化异常功能(#VE)实现对应用程序执行的监控。同时,通过EPT页表的隔离,可以实现应用程序和操作系统的隔离,以及不同应用程序之间的内存隔离。CPU在执行时,通过CPU硬件提供的VMFUNC功能实现不同EPT页表的切换,从而实现执行流的切换。本发明采用带内的方式实现虚拟机安全监控,同时基于新的硬件特性支持保证监控程序和监控目标的安全隔离,以最终达到安全和效率的统一。
Description
技术领域
本发明涉及云平台的安全保护,特别涉及一种对云平台中虚拟机进行安全监控的方法及系统。
背景技术
云计算环境中的安全问题一直以来是阻止企业采用云服务的主要顾虑,尤其是主流云平台均采用虚拟机的方式提供服务,而虚拟机之间存在着诸如跳跃攻击和虚拟机逃离等新的安全威胁,恶意用户通过租用虚拟机可以实现攻击其他虚拟机甚至物理主机的目的。因此,对于虚拟机恶意行为的监控对于企业采购云服务,保障云的安全性具有重要意义。
现有的虚拟机监控多使用虚拟机自省技术,虚拟机自省技术基于带外的方式实现对于同一台主机上的所有虚拟机的监控,具有隐蔽性高、便于部署等优点,其应用包括入侵检测、恶意软件分析、安全审计等等。然而,由于需要克服语义鸿沟问题,其效率较低。
虚拟化异常(virtualization exception,简称#VE),是由满足一定条件下的扩展页表(Extendable Page Table,简称EPT)异常导致的软件异常行为。而EPT异常(#EPT)则可以通过虚拟机监控器(hypervisor)设置对应的页表执行权限触发。以往对EPT异常的处理都是先暂停虚拟机的执行(VMEXIT),由hypervisor或特权虚拟机(dom0)处理后再恢复虚拟机的执行(VMENTRY)。由于VMEXIT/VMENTRY涉及到CPU特权级的切换以及各类状态的保存与恢复,其性能开销较大。而#VE则可以直接在虚拟机内部处理,其处理方式与系统中断和异常的处理方式一致,效率较高。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种虚拟机安全监控方法及系统。
为解决上述技术问题,本发明所采用的技术方案是:一种虚拟机安全监控方法,包括以下步骤:
1)对hypervisor初始化,在hypervisor初始化时配置好硬件提供的EPT、#VE和VMFUNC功能环境;
2)使用多EPT页表实现监控程序和监控目标的安全隔离,通过设置待监控目标的EPT页表项的权限,并且在虚拟机内核初始化时加载跳转代码实现虚拟机内部的安全监控;
3)当进行保护的EPT页表被写或执行时,触发#VE异常,此时,通过跳转代码将执行转移到监控程序,监控程序利用异常信息对异常事件进行分析,并作出进一步的响应,完成#VE异常处理;
4)在完成#VE异常处理后,恢复触发#VE异常的指令的执行,同时在执行完成后重新设置相应的EPT页表权限,继续安全监控。
hypervisor初始化包括:设置VMCS结构中的一些特征使能位为1,具体包括EnableEPT位、Enable VMFUNC位和Enable #VE位;同时在VMCS中指定#VE信息页的地址,该地址用于存储#VE异常发生后的异常信息;此外,在VMCS中指定EPTP列表的位置,在#VE异常发生时,处理器将当前EPTP保存在#VE信息页的对应区域;VMFUNC功能的EPTP切换子函数从EPTP列表中选择新的EPTP,从而实现EPT页表的切换。
步骤2)中,目标虚拟机初始化时,在内核启动初期为不同组件设置不同的EPT页表权限;具体设置方法为:设置监控目标对应的EPT页表为不可执行,并设置其#VE抑制位为0,以触发#VE异常;设置跳转代码和监控程序对应的EPT页表为不可读、不可写,以防监控目标检测到EPT页表存在并对EPT页表进行篡改。
步骤3)中通过跳转代码将执行转移到监控程序的过程为:内核#VE异常处理例程中的跳转代码通过VMFUNC功能切换EPT页表,加载监控程序的EPT页表的指针到EPTP寄存器中,从而实现#VE异常处理。
步骤3)中,#VE异常处理的具体过程为:监控程序读取#VE信息页中保存的的异常发生的虚拟机物理地址,并对照符号表找到对应的函数名,通过一系列#VE事件的捕获得到一个函数调用序列,基于对函数调用序列分析,发现异常调用序列并发出警报信息。
步骤4)中,恢复触发#VE异常的指令的执行的过程为:通过VMFUNC功能加载保存在#VE信息页中的监控目标所在EPT页表的指针到EPTP寄存器中,同时恢复发送#VE异常时的寄存器状态,从而切换回监控目标继续执行。
步骤4)中,继续安全监控的具体实现过程为:在切换回监控目标时,首先移除对应监控点的EPT页表的不可执行限制,以使得触发#VE的指令能够继续执行,同时在执行完该条指令后重设EPT页表的权限限制,以实现持续的监控。
实现持续的监控的过程为:监控程序通过VMCALL指令强制虚拟机退出,即VMEXIT事件;Hypervisor捕获VMEXIT事件,重设监控点的EPT页表权限,以避免触发#VE;Hypervisor通过VMENTRY恢复虚拟机的执行;目标虚拟机设置EFLAGS寄存器的TP标志位为1,开启CPU单步执行模式;虚拟机执行触发#VE异常的指令后产生调试异常并被虚拟机内核捕获;目标虚拟机设置EFLAGS寄存器的TP标志位为0关闭CPU单步执行模式;监控程序通过VMCALL指令强制虚拟机退出;Hypervisor重设监控点的EPT页表权限,以满足触发#VE的条件。
相应的,本发明还提供了一种虚拟机安全监控系统,包括:
监控程序:用于负责设置监控目标,收集监控目标执行时产生的异常信息,并对异常信息进行分析和响应;
跳转代码:用于负责CPU在监控程序和监控目标之间的执行切换;
hypervisor:用于负责监控程序、跳转代码、监控目标的EPT页表的分配和权限设置,以及系统虚拟化和VMEXIT事件的处理。
与现有技术相比,本发明所具有的有益效果为:本发明利用了硬件提供的#VE功能、多EPT支持和VMFUNC功能。#VE可以直接在虚拟机内部处理,其处理方式与系统中断和异常的处理方式一致,效率比VMEXIT的方式高。多EPT支持是Xen 4.6基于Intel硬件实现的新功能,是指一个虚拟机可以同时使用多个EPT页表,从而极大地扩展了虚拟机的可用内存。同时,通过EPT页表的隔离,可以实现应用程序和操作系统的隔离,以及不同应用程序之间的内存隔离。CPU在执行时,通过CPU硬件提供的VMFUNC功能实现不同EPT页表的切换,从而实现执行流的切换。本发明采用带内的方式实现虚拟机安全监控,同时基于新的硬件特性支持保证监控程序和监控目标的安全隔离,以最终达到安全和效率的统一。
附图说明
图1 虚拟机安全监控方法流程图;
图2 虚拟机安全监控系统结构图;
图3 hypervisor的初始化流程图;
图4 地址转换和EPT页表设置示意图;
图5 #VE异常处理流程图;
图6 实现持续性监控的流程图。
具体实施方式
如图1所示,本发明的虚拟机安全监控方法,包括以下步骤:
1.对hypervisor初始化,在hypervisor初始化时配置好硬件提供的EPT、#VE和VMFUNC功能环境;
2.使用多EPT页表实现监控程序和监控目标的安全隔离,通过设置待监控目标的EPT页表项的权限,并且在虚拟机内核初始化时加载跳转代码实现虚拟机内部的安全监控;
3.当进行保护的EPT页表被写或执行时,触发#VE异常,此时,通过跳转代码将执行转移到监控程序,监控程序利用异常信息对异常事件进行分析,并作出进一步的响应,完成#VE异常处理;
4.在完成#VE异常处理后,恢复触发#VE异常的指令的执行,同时在执行完成后重新设置相应的EPT页表权限,继续安全监控。
具体实现以本发明的虚拟机安全监控系统作为说明。
如图2所示,本发明的虚拟机安全监控系统主要包括监控程序、跳转代码、监控目标和hypervisor四个组件,其中前三个组件处于同一个目标虚拟机内部,监控程序和跳转代码位于虚拟机操作系统内核,监控目标为虚拟机上的可疑应用程序。监控程序负责提取异常信息并进行分析和响应;跳转代码用于实现EPT页表的切换;hypervisor负责对其上的不同组件的EPT页表权限进行设置并提供虚拟化功能。当监控目标执行了权限受限制的EPT内存页时会引起EPT异常,CPU的内存管理单元通过判定引起EPT异常的原因决定下一步的行为。如果满足#VE异常的条件,就将#VE异常交给虚拟机内核中的监控程序进行处理和分析;如果不满足#VE异常的条件,就产生VMEXIT,将执行环境切换到hypervisor,由hypervisor处理该EPT异常。
本发明所依赖的硬件需要提供以下功能。首先是硬件虚拟化支持。其次是多EPT页表支持以及#VE和VMFUNC等支持同一个虚拟机内部隔离的功能。综合以上需求,本发明的实施基于包含Intel VT-x技术的CPU。
hypervisor是本发明所依赖的的基础软件。首先,hypervisor需要提供虚拟化功能,使得不同的虚拟机之间得到有效的安全隔离和资源隔离。其次,hypervisor需要有效利用硬件提供的多EPT页表支持、#VE功能和VMFUNC功能来实现同一虚拟机内部监控程序和监控目标之间的隔离和执行跳转。基于以上需求,本发明使用XEN作为hypervisor的实施参考。
hypervisor的初始化过程如图3所示,主要包括EPT页表设置、#VE设置和VMFUNC设置。
首先需要在BIOS中开启Intel VT-x功能,并在初始化过程中设置虚拟机控制块(VMCS)结构中的Enable EPT位和Enable VMFUNC为开启状态。此外,#VE功能也需要在硬件支持的条件下由hypervisor进行设置,设置VMCS的Enable #VE位为1,同时在VMCS中指定#VE信息页的地址,该地址用于存储#VE异常发生后的异常信息。为了支持多EPT页表,还需要在虚拟机配置文件中开启altp2mhvm选项,以支持同一个虚拟机使用多个EPT页表。并且将EPT页表项的#VE抑制位(第63位)置0,以使EPT异常进一步产生#VE异常。
如图4所示,安全监控通过使用多EPT页表实现,具体而言是指为同一个虚拟机分配多个EPT页表,进行虚拟机物理地址(GPA)到主机物理地址(HPA)的转换,这样同一个GPA就对应着多个HPA,CPU运行时只指定一个EPT页表进行地址转换,并通过VMFUNC的EPTPSwitch子函数来实现EPT页表的切换。为了实现监控的目的,为客户机配置两个EPT页表(EPT1和EPT2),设置EPT1页表的权限为可读、可写、可执行,设置EPT2页表的权限为可读、可写、不可执行,这样当CPU使用EPT2页表时,任何对不可执行页表项的执行操作都会引起EPT异常,并进一步导致#VE异常。#VE异常被虚拟机操作系统内核捕获,在内核处理完#VE异常后,通过EPTP Switch功能切换到EPT1页表,并设置单步异常,这样就可以在执行触发#VE异常的指令后触发单步异常并被内核捕获,内核处理完单步异常后重新使用EPTP Switch功能切换回EPT2页表,以继续对监控目标进行执行监控。
如图4所示,本发明的监控目标既可以是虚拟机操作系统内核,如内核模块和内核函数,也可以是应用程序,如动态链接库和API函数。本发明以函数执行监控作为实施的最小监控粒度。对于操作系统内核,可以通过查询系统符号表找到预监控的函数的内核物理地址(GPA),通过hypervisor对该地址的转换,得到其机器地址(HPA),并对该地址进行EPT执行保护,当该函数执行时就会触发EPT异常,并进一步触发#VE。对于应用程序,可以通过查询函导出表找到预监控的函数的虚拟地址(GVA),结合CR3寄存器的地址找到其对应的虚拟机物理内存地址(GPA),并由hypervisor进一步转换得到其主机物理地址(HPA),并设置EPT执行保护,当该函数执行时就会触发EPT异常,并进一步触发#VE。
EPT异常需要满足一定的条件才会触发#VE,而不是VMEXIT。除了hypervisor初始化设置VMCS的#VE位为1,以及在VMCS中指定#VE信息页的地址以外,还需要将EPT页表中的#VE抑制位(#VE suppressed)设置为0,以使得EPT异常可以触发#VE异常。此外,还需要使系统运行于保护模式下,并将#VE信息页的4-7字节都置0,同时保证处理器不在处理其他中断。
满足以上条件的情况下,监控目标执行导致的EPT异常最终会导致#VE异常,#VE异常可被虚拟机内核捕获(异常号20),异常信息保存在#VE信息页,可被用来做进一步分析,判断监控目标是否恶意。
如图5所示,#VE异常的处理由跳转代码和异常处理句柄共同完成,跳转代码的主要任务包括:保存异常发生时监控目标的执行上下文,主要是寄存器状态;通过VMFUNC功能切换EPT页表,即加载新的EPT页表的指针到EPTP寄存器中,从而实现开启或关闭监控;监控程序处理完#VE异常后恢复发生#VE异常时的寄存器状态并切换回监控目标继续执行。
#VE异常的处理类似于其他系统内核异常的处理,主要包括三个部分:在内核堆栈中保存寄存器的内容;使用C函数处理异常;通过ret_from_exception()函数从异常程序中退出。由于需要在内核态下处理#VE异常,必须修改虚拟机操作系统的内核。具体的对内核的修改包括:
1.首先,需要在entry.s中添加#VE到异常向量表;
2.在traps.h中添加#VE异常号(20)的定义和#VE异常处理程序的地址;
3.其次,需要在内核early_trap_init()函数中添加#VE中断门;
4.在traps.c中定义异常处理函数do_virtualization_exception,该函数的主要功能包括:
a)收集#VE异常信息;通过读取#VE信息页得到。
b)进行异常分析;分析产生#VE异常的函数调用是否异常。
c)作出异常响应;如果异常则终止该函数的执行或者发起警报信息,否则跳转回监控目标继续其执行。
如图6所示,在跳转回监控目标时,首先需要移除触发#VE异常的指令所在的EPT页表的权限限制以使得程序能够继续执行,同时在执行完该条指令后需要重设EPT页表的权限限制以实现对监控目标持续的监控。这个过程涉及到一个单步执行跟踪和事件处理的过程。具体步骤包括:
a)监控程序通过VMCALL指令强制虚拟机退出(VMEXIT)
b)Hypervisor捕获VMEXIT事件,重设监控点的EPT页表权限,以避免触发#VE
c)Hypervisor通过VMENTRY恢复虚拟机的执行
d)目标虚拟机设置EFLAGS寄存器的TP(TRAP)标志位为1开启CPU单步执行模式
e)虚拟机执行触发#VE异常的指令后产生调试异常(#DB)并被虚拟机内核捕获
f)目标虚拟机设置EFLAGS寄存器的TP(TRAP)标志位为0关闭CPU单步执行模式
g)监控程序通过VMCALL指令强制虚拟机退出(VMEXIT)
h)Hypervisor重设监控点的EPT页表权限,以满足触发#VE的条件。
Claims (10)
1.一种虚拟机安全监控方法,其特征在于,包括以下步骤:
1)对hypervisor初始化,在hypervisor初始化时配置好硬件提供的EPT、#VE和VMFUNC功能环境;
2)使用多EPT页表实现监控程序和监控目标的安全隔离,通过设置待监控目标的EPT页表项的权限,并且在虚拟机内核初始化时加载跳转代码实现虚拟机内部的安全监控;
3)当进行保护的EPT页表被写或执行时,触发#VE异常,此时,通过跳转代码将执行转移到监控程序,监控程序利用异常信息对异常事件进行分析,并作出进一步的响应,完成#VE异常处理;
4)在完成#VE异常处理后,恢复触发#VE异常的指令的执行,同时在执行完成后重新设置相应的EPT页表权限,继续安全监控。
2.根据权利要求1所述的虚拟机安全监控方法,其特征在于,hypervisor初始化包括:设置VMCS结构中的一些特征使能位为1,具体包括Enable EPT位、Enable VMFUNC位和Enable#VE位;同时在VMCS中指定#VE信息页的地址,该地址用于存储#VE异常发生后的异常信息;此外,在VMCS中指定EPTP列表的位置,在#VE异常发生时,处理器将当前EPTP保存在#VE信息页的对应区域;VMFUNC功能的EPTP切换子函数从EPTP列表中选择新的EPTP,从而实现EPT页表的切换。
3.根据权利要求1所述的虚拟机安全监控方法,其特征在于,步骤2)中,目标虚拟机初始化时,在内核启动初期为不同组件设置不同的EPT页表权限;具体设置方法为:设置监控目标对应的EPT页表为不可执行,并设置其#VE抑制位为0,以触发#VE异常;设置跳转代码和监控程序对应的EPT页表为不可读、不可写,以防监控目标检测到EPT页表存在并对EPT页表进行篡改。
4.根据权利要求1所述的虚拟机安全监控方法,其特征在于,步骤3)中通过跳转代码将执行转移到监控程序的过程为:内核#VE异常处理例程中的跳转代码通过VMFUNC功能切换EPT页表,加载监控程序的EPT页表的指针到EPTP寄存器中,从而实现#VE异常处理。
5.根据权利要求1所述的虚拟机安全监控方法,其特征在于,步骤3)中,#VE异常处理的具体过程为:监控程序读取#VE信息页中保存的的异常发生的虚拟机物理地址,并对照符号表找到对应的函数名,通过一系列#VE事件的捕获得到一个函数调用序列,基于对函数调用序列分析,发现异常调用序列并发出警报信息。
6.根据权利要求1所述的虚拟机安全监控方法,其特征在于,步骤4)中,恢复触发#VE异常的指令的执行的过程为:通过VMFUNC功能加载保存在#VE信息页中的监控目标所在EPT页表的指针到EPTP寄存器中,同时恢复发送#VE异常时的寄存器状态,从而切换回监控目标继续执行。
7.根据权利要求6所述的虚拟机安全监控方法,其特征在于,步骤4)中,继续安全监控的具体实现过程为:在切换回监控目标时,首先移除对应监控点的EPT页表的不可执行限制,以使得触发#VE的指令能够继续执行,同时在执行完该条指令后重设EPT页表的权限限制,以实现持续的监控。
8.根据权利要求7所述的虚拟机安全监控方法,其特征在于,实现持续的监控的过程为:监控程序通过VMCALL指令强制虚拟机退出,即VMEXIT事件;Hypervisor捕获VMEXIT事件,重设监控点的EPT页表权限,以避免触发#VE;Hypervisor通过VMENTRY恢复虚拟机的执行;目标虚拟机设置EFLAGS寄存器的TP标志位为1,开启CPU单步执行模式;虚拟机执行触发#VE异常的指令后产生调试异常并被虚拟机内核捕获;目标虚拟机设置EFLAGS寄存器的TP标志位为0关闭CPU单步执行模式;监控程序通过VMCALL指令强制虚拟机退出;Hypervisor重设监控点的EPT页表权限,以满足触发#VE的条件。
9.一种虚拟机安全监控系统,其特征在于,包括:
监控程序:用于负责设置监控目标,收集监控目标执行时产生的异常信息,并对异常信息进行分析和响应;
跳转代码:用于负责CPU在监控程序和监控目标之间的执行切换;
hypervisor:用于负责监控程序、跳转代码、监控目标的EPT页表的分配和权限设置,以及系统虚拟化和VMEXIT事件的处理;
监控目标:虚拟机上的可疑应用程序
10.根据权利要求9所述的虚拟机安全监控系统,其特征在于,所述监控程序、监控目标、跳转代码处于同一个目标虚拟机内部;监控程序和跳转代码位于虚拟机操作系统内核中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710316584.7A CN107797895A (zh) | 2017-05-08 | 2017-05-08 | 一种虚拟机安全监控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710316584.7A CN107797895A (zh) | 2017-05-08 | 2017-05-08 | 一种虚拟机安全监控方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107797895A true CN107797895A (zh) | 2018-03-13 |
Family
ID=61531031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710316584.7A Pending CN107797895A (zh) | 2017-05-08 | 2017-05-08 | 一种虚拟机安全监控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107797895A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218286A (zh) * | 2018-07-27 | 2019-01-15 | 亚信科技(成都)有限公司 | 虚拟化环境下实现无代理edr的方法及装置 |
| CN109388948A (zh) * | 2018-11-05 | 2019-02-26 | 杭州安恒信息技术股份有限公司 | 一种基于虚拟化技术的潜在恶意软件分析方法及相关装置 |
| CN109634721A (zh) * | 2018-12-17 | 2019-04-16 | 广东浪潮大数据研究有限公司 | 一种虚拟机与主机的启动通信方法及相关装置 |
| CN109784062A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 漏洞检测方法及装置 |
| CN110058921A (zh) * | 2019-03-13 | 2019-07-26 | 上海交通大学 | 客户虚拟机内存动态隔离和监控方法及系统 |
| WO2020000954A1 (zh) * | 2018-06-29 | 2020-01-02 | 郑州云海信息技术有限公司 | 一种地址映射方法、系统、设备及计算机可读存储介质 |
| CN111177726A (zh) * | 2019-08-29 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种系统漏洞检测方法、装置、设备及介质 |
| CN111259379A (zh) * | 2020-01-13 | 2020-06-09 | 中孚安全技术有限公司 | 一种沙盒分析恶意程序的方法 |
| US11237860B2 (en) | 2018-12-21 | 2022-02-01 | Red Hat, Inc. | Command-based processing of real-time virtualized jobs |
| US11436155B2 (en) | 2018-07-11 | 2022-09-06 | Huawei Technologies Co., Ltd. | Method and apparatus for enhancing isolation of user space from kernel space |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101093449A (zh) * | 2007-06-22 | 2007-12-26 | 浙江大学 | 基于处理器虚拟化技术的虚拟机系统及其实现方法 |
| US20150121366A1 (en) * | 2013-10-28 | 2015-04-30 | Gilbert Neiger | Virtualization exceptions |
| CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作系统内核完整性保护方法 |
| CN106203082A (zh) * | 2016-06-29 | 2016-12-07 | 上海交通大学 | 基于虚拟化硬件特性的高效隔离内核模块的系统及方法 |
| CN106575336A (zh) * | 2014-09-26 | 2017-04-19 | 迈克菲股份有限公司 | 对敏感代码恶意调用的检测与抑制 |
-
2017
- 2017-05-08 CN CN201710316584.7A patent/CN107797895A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101093449A (zh) * | 2007-06-22 | 2007-12-26 | 浙江大学 | 基于处理器虚拟化技术的虚拟机系统及其实现方法 |
| US20150121366A1 (en) * | 2013-10-28 | 2015-04-30 | Gilbert Neiger | Virtualization exceptions |
| CN106575336A (zh) * | 2014-09-26 | 2017-04-19 | 迈克菲股份有限公司 | 对敏感代码恶意调用的检测与抑制 |
| CN104809401A (zh) * | 2015-05-08 | 2015-07-29 | 南京大学 | 一种操作系统内核完整性保护方法 |
| CN106203082A (zh) * | 2016-06-29 | 2016-12-07 | 上海交通大学 | 基于虚拟化硬件特性的高效隔离内核模块的系统及方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020000954A1 (zh) * | 2018-06-29 | 2020-01-02 | 郑州云海信息技术有限公司 | 一种地址映射方法、系统、设备及计算机可读存储介质 |
| US11436155B2 (en) | 2018-07-11 | 2022-09-06 | Huawei Technologies Co., Ltd. | Method and apparatus for enhancing isolation of user space from kernel space |
| CN109218286B (zh) * | 2018-07-27 | 2021-10-08 | 亚信科技(成都)有限公司 | 虚拟化环境下实现无代理edr的方法及装置 |
| CN109218286A (zh) * | 2018-07-27 | 2019-01-15 | 亚信科技(成都)有限公司 | 虚拟化环境下实现无代理edr的方法及装置 |
| CN109388948A (zh) * | 2018-11-05 | 2019-02-26 | 杭州安恒信息技术股份有限公司 | 一种基于虚拟化技术的潜在恶意软件分析方法及相关装置 |
| CN109388948B (zh) * | 2018-11-05 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种基于虚拟化技术的潜在恶意软件分析方法及相关装置 |
| CN109634721A (zh) * | 2018-12-17 | 2019-04-16 | 广东浪潮大数据研究有限公司 | 一种虚拟机与主机的启动通信方法及相关装置 |
| CN109634721B (zh) * | 2018-12-17 | 2023-10-10 | 广东浪潮大数据研究有限公司 | 一种虚拟机与主机的启动通信方法及相关装置 |
| US11237860B2 (en) | 2018-12-21 | 2022-02-01 | Red Hat, Inc. | Command-based processing of real-time virtualized jobs |
| CN109784062A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 漏洞检测方法及装置 |
| CN110058921B (zh) * | 2019-03-13 | 2021-06-22 | 上海交通大学 | 客户虚拟机内存动态隔离和监控方法及系统 |
| CN110058921A (zh) * | 2019-03-13 | 2019-07-26 | 上海交通大学 | 客户虚拟机内存动态隔离和监控方法及系统 |
| CN111177726A (zh) * | 2019-08-29 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种系统漏洞检测方法、装置、设备及介质 |
| CN111177726B (zh) * | 2019-08-29 | 2024-02-06 | 腾讯科技(深圳)有限公司 | 一种系统漏洞检测方法、装置、设备及介质 |
| CN111259379A (zh) * | 2020-01-13 | 2020-06-09 | 中孚安全技术有限公司 | 一种沙盒分析恶意程序的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107797895A (zh) | 一种虚拟机安全监控方法及系统 | |
| EP3571622B1 (en) | Processor trace-based enforcement of control flow integrity of computer system | |
| US9619346B2 (en) | Virtual machine introspection facilities | |
| US7996836B1 (en) | Using a hypervisor to provide computer security | |
| KR101946982B1 (ko) | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 | |
| CN104809401A (zh) | 一种操作系统内核完整性保护方法 | |
| US10776491B2 (en) | Apparatus and method for collecting audit trail in virtual machine boot process | |
| Pfoh et al. | Exploiting the x86 Architecture to Derive Virtual Machine State Information. | |
| WO2018125948A1 (en) | Detecting execution of modified executable code | |
| Dai et al. | Behavior-based malware detection on mobile phone | |
| Tian et al. | A kernel rootkit detection approach based on virtualization and machine learning | |
| CN103310152A (zh) | 基于系统虚拟化技术的内核态Rootkit检测方法 | |
| CN109684829A (zh) | 一种虚拟化环境中服务调用监控方法和系统 | |
| Mi et al. | (mostly) exitless {VM} protection from untrusted hypervisor through disaggregated nested virtualization | |
| Li et al. | A VMM-based system call interposition framework for program monitoring | |
| CN115904605A (zh) | 软件防御方法以及相关设备 | |
| CN107391234B (zh) | 一种基于vmi的文件系统细粒度监控方法 | |
| Liang et al. | Detecting stealthy malware with inter-structure and imported signatures | |
| Zhou et al. | Hardware-based workload forensics: Process reconstruction via TLB monitoring | |
| Yin et al. | Research of security as a service for VMs in IaaS platform | |
| Grimm et al. | Automatic mitigation of kernel rootkits in cloud environments | |
| Jia et al. | Defending return‐oriented programming based on virtualization techniques | |
| Mishra et al. | A taxonomy of hypervisor forensic tools | |
| Wang et al. | NOR: towards non-intrusive, real-time and OS-agnostic introspection for virtual machines in cloud environment | |
| Molyakov et al. | Model of hidden IT security threats in the cloud computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180313 |
|
| RJ01 | Rejection of invention patent application after publication |