CN108353082B - 用于处理虚拟网络驱动器的恶意活动的技术 - Google Patents
用于处理虚拟网络驱动器的恶意活动的技术 Download PDFInfo
- Publication number
- CN108353082B CN108353082B CN201680064529.7A CN201680064529A CN108353082B CN 108353082 B CN108353082 B CN 108353082B CN 201680064529 A CN201680064529 A CN 201680064529A CN 108353082 B CN108353082 B CN 108353082B
- Authority
- CN
- China
- Prior art keywords
- malicious
- virtual function
- event
- computing device
- threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
Abstract
用于处理虚拟网络驱动器的恶意活动的技术包括网络计算设备,在所述网络计算设备上正在执行虚拟机并且虚拟网络驱动器正在管理物理网络接口控制器和虚拟功能网络适配器之间的通信。网络计算设备被配置为监视由虚拟网络驱动器处理的事件以检测恶意活动并且更新与检测到的恶意活动事件的类型对应的一个或多个恶意事件跟踪变量。网络计算设备进一步被配置为:将恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较;以及响应于确定恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反,对所述虚拟功能驱动器执行动作。在本文中描述并要求保护其他实施例。
Description
相关申请的交叉引用
本申请要求在2015年11月5日提交的、标题为“TECHNOLOGIES FOR HANDLINGMALICIOUS ACTIVITY OF A VIRTUAL NETWORK DRIVER(用于处理虚拟网络驱动器的恶意活动的技术)”的美国实用新型专利申请序列第14/934,142号的优先权。
背景技术
网络运营商和通信服务提供商通常依靠由大量网络计算设备(例如服务器,交换机,路由器等)组成的复杂的大规模数据中心来处理通过所述数据中心的网络业务。为了提供可扩展性以满足网络业务处理需求并降低运营成本,某些数据中心操作通常在网络计算设备的虚拟化环境中的容器或虚拟机(VM)内运行。为了使实现VM运行所在的网络计算设备的物理硬件的功能与VM的虚拟环境相协调,VM通常要求暴露虚拟功能的虚拟化实例。例如,虚拟功能诸如PCI Express(PCIe)虚拟功能可以提供用于在VM和网络计算设备的网络接口控制器(NIC)之间直接传输数据的机构。为此,网络计算设备通常依靠虚拟功能驱动器来管理虚拟功能(例如,对虚拟功能的配置空间进行读取/写入)。
附图说明
在本文中所描述的概念是作为示例而不是作为限制在附图中图示的。为了说明的简洁和清楚起见,各图中所图示的元件不一定按比例绘制。在认为合适的地方,附图标记已在各图之间重复以指示对应或类似的元件。
图1是用于在网络计算设备处处理虚拟网络驱动器的恶意活动的系统的至少一个实施例的简化框图;
图2是可以由图1的系统的网络计算设备建立的环境的至少一个实施例的简化框图;
图3和图4是可以由图1和图2的网络计算设备执行的、用于处理虚拟网络驱动器的恶意活动的方法的至少一个实施例的简化流程图。
具体实施方式
尽管本公开的概念容易受到各种修改和替代形式的影响,但是其具体实施例已作为示例在附图中示出并且将在本文中进行详细描述。然而,应该理解的是,没有意图将本公开的概念限制为所公开的特定形式,而是相反,意图是覆盖与本公开和所附权利要求书一致的所有修改、等同物和替代方案。
说明书中对“一个实施例”、“实施例”、“说明性实施例”等的引用指示所描述的实施例可以包括特定特征、结构或特性,但是每个实施例可以包括或可以不一定包括该特定特征、结构或特性。而且,这样的短语不一定是指代相同的实施例。此外,当结合实施例描述特定特征、结构或特性时,认为结合其他实施例(无论是否被明确描述)来实现这种特征、结构或特性是在本领域技术人员的知识范围内。另外,应该明白,以“A、B和C中的至少一个”的形式包括在列表中的项目可以表示(A);(B);(C);(A和B);(A和C);(B和C);或(A、B和C)。类似地,以“A、B或C中的至少一个”的形式列出的项目可以表示(A);(B);(C);(A和B);(A和C);(B和C);或(A、B和C)。
所公开的实施例可以在某些情况下被实现在硬件、固件、软件或它们的任何组合中。所公开的实施例还可以被实现为由一个或多个暂时或非暂时机器可读(例如,计算机可读)储存介质(例如,存储器、数据储存器等)承载或存储在其上的指令,所述指令可以由一个或多个处理器读取并执行。机器可读储存介质可以体现为用于存储或传输采用由机器(例如,易失性或非易失性存储器、媒体光盘或其他媒体设备)可读的形式的信息的任何储存设备、机构或其他物理结构。
在附图中,一些结构或方法特征可以用具体的布置和/或排序示出。然而,应该明白,可能不要求这种具体的布置和/或排序。相反,在一些实施例中,这些特征可以以与说明性图中所示的不同方式和/或顺序来布置。另外,在特定图中包括结构或方法特征并不意味着暗示在所有实施例中都要求这样的特征,并且在一些实施例中可能不包括这样的特征或者这样的特征可能与其他特征组合。
现在参考图1,在说明性实施例中,用于处理在虚拟网络驱动器处检测到的恶意活动的系统100包括经由网络104通信地耦合到网络计算设备106的端点计算节点102。在使用中,网络计算设备106对在网络计算设备106处接收的网络业务(即,网络分组、消息等)执行各种操作(例如,服务)。应该明白,所接收的网络业务可以被转发到另外的其他网络计算设备106并且被转发到(例如,经由网络104)通信地耦合到网络计算设备106的另一个端点节点。
为了处理网络业务,网络计算设备106被配置为在网络计算设备106处起转(spinup)多个虚拟机(VM)。因此,网络计算设备106被配置为将网络计算设备106的物理组件映射到各种VM的虚拟功能。例如,虚拟功能驱动器可以由网络计算设备106执行以管理物理网络接口控制器(NIC)(例如参见图1的NIC 118)和虚拟功能网络适配器(即,物理NIC的虚拟化实例)之间的通信。然而,应该明白,在一些实施例中,VM中的一个或多个可以在通信地耦合到网络计算设备106的一个或多个其他网络计算设备上产生。
在处理网络业务期间,虚拟功能驱动器容易受到破坏性网络分组(诸如畸形的网络分组)的操纵,这通常导致在检测到恶意事件时将虚拟设备重置到虚拟设备的清除状态。然而,重置虚拟设备可能允许恶意驱动器重新启动其攻击。此外,虚拟设备的多个重置可以影响性能(例如,挂起虚拟端口)或导致重置循环有效地锁定网络计算设备106。因此,网络计算设备106被配置为跟踪虚拟设备由于检测到的恶意活动所致的每个重置(诸如通过对应于特定类型的恶意活动的计数器)并且将跟踪的结果与一个或多个阈值进行比较。基于该比较,网络计算设备被配置为重置虚拟设备(即,比较确定的(一个或多个)阈值没有被违反)或者从网络移除与恶意活动相关联的VM(即,从VM移除虚拟功能接口)(即,比较确定的(一个或多个)阈值被违反)并且通知网络的管理员(即,网络计算设备106正在耦合到的网络的管理员)。
端点计算节点102可以体现为能够执行在本文中描述的功能的任何类型的计算或计算机设备,包括但不限于:包括用于支持移动体系结构和便携性的移动硬件(例如处理器,存储器,储存器,无线通信电路等)和软件(例如操作系统)的便携式计算设备(例如,智能手机,平板电脑,便携式电脑,笔记本电脑,可穿戴设备等),计算机,服务器(例如独立式,机架式安装的,刀片式等),网络设备(例如,物理或虚拟),web设备,分布式计算系统,基于处理器的系统和/或多处理器系统。
网络104可以体现为任何类型的有线或无线通信网络,包括无线局域网(WLAN),无线个域网(WPAN),蜂窝网络(例如全球移动通信系统(GSM),长期演进(LTE)等),电话网络,数字用户线路(DSL)网络,有线网络,局域网(LAN),广域网(WAN),全球网络(例如,因特网)或其任何组合。应该明白,在这样的实施例中,网络104可以用作集中式网络,并且在一些实施例中,可以通信地耦合到另一个网络(例如,因特网)。因此,网络104可以包括为促进端点计算节点102和网络计算设备106之间的通信所需要的各种各样的其他网络计算设备(例如,虚拟和物理路由器,交换机,网络集线器,服务器,储存设备,计算设备等)。
网络计算设备106可以体现为能够执行在本文中描述的功能的任何类型的网络业务处理设备,诸如但不限于服务器(例如,独立式,机架式安装的,刀片式等),网络设备(例如,物理或虚拟),交换机(例如,机架式安装的,独立式,完全管理的,部分管理的,全双工和/或半双工通信模式启用的等),路由器,web设备,分布式计算系统,基于处理器的系统和/或多处理器系统。说明性网络计算设备106包括处理器108,输入/输出(I/O)子系统110,存储器112,数据储存设备114和通信电路116。当然在其他实施例中,网络计算设备106可以包括其他或附加组件,诸如在计算设备中常见的那些组件。另外,在一些实施例中,说明性组件中的一个或多个可以并入另一个组件或以其他方式形成另一个组件的一部分。例如,在一些实施例中,存储器112或其部分可以被并入处理器108中。此外,在一些实施例中,可以从网络计算设备106省略说明性组件中的一个或多个。
处理器 108可以体现为能够执行在本文中描述的功能的任何类型的处理器。例如,处理器108可以体现为(一个或多个)单核或多核处理器,数字信号处理器,微控制器或其他处理器或处理/控制电路。类似地,存储器112可以体现为能够执行在本文中描述的功能的任何类型的易失性或非易失性存储器或数据储存器。在操作中,存储器112可以存储在网络计算设备106的操作期间使用的各种数据和软件,诸如操作系统、应用、程序、库和驱动器。存储器112经由I/O子系统110通信地耦合到处理器108,该I/O子系统110可以体现为用于促进与处理器108、存储器112和网络计算设备106的其他组件的输入/输出操作的电路和/或组件。例如,I/O子系统110可以体现为或者以其他方式包括存储器控制器集线器,输入/输出控制集线器,固件设备,通信链路(即,点对点链路,总线链路,电线,电缆,光导,印刷电路板迹线等)和/或其他用于促进输入/输出操作的组件和子系统。在一些实施例中,I/O子系统110可以形成片上系统(SoC)的一部分,并且与处理器108、存储器112以及网络计算设备106的其他组件一起并入在单个集成电路芯片上。
数据储存设备114可以体现为被配置用于短期或长期存储数据的任何类型的一个或多个设备,诸如例如存储设备和电路、存储卡、硬盘驱动器、固态驱动器或其他数据储存设备。应该明白,数据储存设备114和/或存储器112(例如,计算机可读储存介质)可以存储如在本文中所描述的能够由网络计算设备106的处理器(例如,处理器108)执行的各种数据,包括操作系统、应用、程序、库、驱动器、指令等。
通信电路116可以体现为能够实现通过网络(例如,网络104)在网络计算设备106和其他计算设备(例如,端点计算节点102,另一个网络计算设备等)之间的通信的任何通信电路、设备或其集合。通信电路116可以被配置为使用任何一个或多个通信技术(例如,无线或有线通信技术)和相关联的协议(例如,以太网,蓝牙®,Wi-Fi®,WIMAX,LTE,5G等)来实现这种通信。
说明性通信电路116包括网络接口控制器(NIC)118。NIC 118可以体现为一个或多个附加板、子卡、网络接口卡、控制器芯片、芯片组或其他可以由网络计算设备106使用的设备。例如,在一些实施例中,NIC 118可以与处理器108集成,体现为通过扩展总线(例如,PCIExpress)耦合到I/O子系统110的扩展卡,是包括一个或多个处理器的SoC的一部分,或者被包括在也包含一个或多个处理器的多芯片封装上。
替代地,在一些实施例中,NIC 118可以包括本地处理器(未示出)和/或本地存储器(未示出),它们两者都在NIC 118本地。在这样的实施例中,NIC 118的本地处理器可以能够执行卸载的功能(例如复制,网络分组处理等),如在本文中所描述的。另外或替代地,在这样的实施例中,NIC 118的本地存储器可以能够存储在NIC 118本地的数据。另外或替代地,在一些实施例中,NIC 118的功能可以在板级、套接字级、芯片级和/或其他级被集成到网络计算设备106的一个或多个组件中。
现在参考图2,在说明性实施例中,网络计算设备106在操作期间建立环境200。说明性环境200包括网络通信模块210,恶意驱动器事件检测模块220,恶意驱动器事件跟踪模块230,虚拟机管理模块240和管理员通知模块250。环境200的模块、逻辑和其他组件中的每一个可以体现为硬件、软件、固件或其组合。例如,环境200的模块、逻辑和其他组件的每一个可以形成处理器108、通信电路116(例如,NIC 118)和/或网络计算设备106的其他硬件组件的一部分或以其他方式由处理器108、通信电路116(例如,NIC 118)和/或网络计算设备106的其他硬件组件建立。照此,在一些实施例中,环境200的模块中的一个或多个可以体现为电路或电子设备的集合(例如网络通信电路210,恶意驱动器事件检测电路220,恶意驱动器事件跟踪电路230,虚拟机管理电路240,管理员通知电路250等)。
在说明性环境200中,网络计算设备106包括恶意事件阈值数据202和检测到的恶意事件数据204,所述恶意事件阈值数据202和检测到的恶意事件数据204中的每一个可以由网络计算设备106的各个模块和/或子模块访问。说明性环境进一步包括在网络计算设备106上执行的一个或多个VM 206。每个VM 206包括用于执行在本文中描述的功能的对应的虚拟功能驱动器208。应该明白,网络计算设备106可以包括为了说明的清楚起见而未在图2中示出的、在计算设备中常见的其他组件、子组件、子模块、子模块和/或设备。
网络通信模块210被配置为促进去往和来自网络计算设备106的入站和出站网络通信(例如网络业务,网络分组,网络流等)。为此,网络通信模块210被配置为接收并处理来自其他计算设备(例如,端点计算设备节点102,经由网络104通信地耦合的另一个计算设备等)的网络分组。另外,网络通信模块210被配置为准备网络分组并将所述网络分组传输到另一个计算设备(例如,端点计算设备节点102,经由网络104通信地耦合的另一个计算设备等)。因此,在一些实施例中,网络通信模块210的功能的至少一部分可以由通信电路116执行,并且更具体地由NIC 118执行。
恶意驱动器事件检测模块220被配置为检测一个或多个恶意驱动器事件。例如,恶意驱动器事件检测模块220可以被配置为检测(即,识别)畸形的网络分组、无效的存储器访问请求、受限的存储器区域访问请求、受限的硬件访问请求等,并且更新与检测到的恶意活动相对应的一个或多个恶意事件跟踪变量(例如,计数器,时间戳,度量等)。为此,说明性恶意驱动器事件检测模块220包括网络分组分析模块222,存储器访问监视模块224,硬件访问监视模块226和恶意驱动器事件确定模块228。
网络分组分析模块222被配置为分析接收的网络分组以在多个VM 206的一个VM处处理。例如,网络分组分析模块222可以被配置为分析网络分组流(例如,接收的网络分组的报头和有效载荷)以确定它们是否包含一个或多个畸形的网络分组,或者否则不能访问畸形的网络分组的内容(例如,报头、有效载荷等)。
存储器访问监视模块224被配置为监视由VM 206的虚拟功能驱动器进行的存储器访问请求。例如,存储器访问监视模块224被配置为确定存储器访问请求是否是越界的或者以其他方式受限制。类似地,硬件访问监视模块226被配置为监视由VM 206的虚拟功能驱动器208进行的硬件访问请求。例如,硬件访问监视模块226被配置为确定硬件访问请求是否是越界的或以其他方式受限制。
恶意驱动器事件确定模块228被配置为确定识别的潜在恶意驱动器事件(例如,可以由网络分组分析模块222、存储器访问监视模块224、硬件访问监视模块226等中的一个检测)是否是实际的恶意驱动器事件。换句话说,恶意驱动器事件确定模块228被配置为诸如通过对所识别的潜在恶意驱动器事件应用预定标准来确认所识别的潜在恶意驱动器事件(例如,畸形的网络分组、越界的存储器访问请求、越界的硬件请求等)是否应该升级为恶意驱动器事件以采取进一步的行动。例如,在一些实施例中,恶意驱动器事件确定模块228可以通过以下步骤来确定所检测的事件是否是实际的恶意驱动器事件:将事件的参数与已知恶意事件的数字指纹进行比较;分析事件的参数;分析受事件影响的网络计算设备106的参数;分析历史操作数据;和/或分析或比较任何其他合适的能够确定事件是否是实际恶意事件的数据。
恶意驱动器事件跟踪模块230被配置为跟踪恶意驱动器事件,诸如由恶意驱动器事件确定模块228升级为恶意驱动器事件的那些恶意驱动器事件。在一些实施例中,恶意驱动器事件跟踪模块230可以被配置为按类型跟踪恶意驱动器事件。为此,说明性恶意驱动器事件跟踪模块230包括事件类型确定模块232和事件阈值分析模块234。事件类型确定模块232被配置为确定与恶意驱动器事件相关联的类型。在一些实施例中,该类型可以基于从哪个模块(例如,从网络分组分析模块222,存储器访问监视模块224,硬件访问监视模块226等)接收到恶意驱动器事件。应该明白,在一些实施例中,可以在网络计算设备106的硬件中确定恶意驱动器事件的类型。
事件阈值分析模块234被配置为用检测到的恶意驱动器事件的每个实例来更新一个或多个恶意事件跟踪变量。恶意事件跟踪变量可以包括计数器,记录的时间戳的列表,特性和/或任何其他类型的可用于与阈值进行比较以确定在检测到恶意驱动器事件之后的动作的度量。在一些实施例中,事件阈值分析模块234可以被配置为递增对应于检测到的恶意驱动器事件的类型的计数器。另外或替代地,事件阈值分析模块234可以被配置为记录与检测到恶意驱动器事件的时间相对应的时间戳。应该明白,在一些实施例中,检测到的恶意驱动器事件和/或恶意事件跟踪变量可以存储在检测到的恶意事件数据204中。
事件阈值分析模块234进一步被配置为分析该更新的结果以确定阈值是否被违反。为此,在一些实施例中,事件阈值分析模块可将计数器值与最大发生阈值进行比较以确定计数器值是否超过最大发生阈值。另外或替代地,事件阈值分析模块234可以被配置为将记录的时间戳与频率阈值(例如,预定时间窗口中的事件的总数)进行比较。换句话说,事件阈值分析模块234可以被配置为确定检测到的恶意驱动器事件的频率是否小于频率阈值。例如,在其中频率阈值对应于在5秒窗口上检测到针对特定类型的恶意驱动器事件的两个恶意驱动器事件的实施例中,假如在三秒的时间跨度上检测到两个恶意驱动器事件,频率阈值将被违反。应该明白,在一些实施例中,可以将频率阈值和/或最大发生阈值存储在恶意事件阈值数据202中。
另外,事件阈值分析模块234被配置为基于所述分析确定动作。这种动作可以包括:重置与检测到的恶意驱动器事件相关联的虚拟功能驱动器208;从网络中移除与检测到的恶意驱动器事件相关联的VM 206;和/或通知网络的管理员。
虚拟机管理模块240被配置为管理VM 206以及与VM 206相关联的每个虚拟功能驱动器208。为此,说明性虚拟机管理模块240包括:虚拟功能驱动器管理模块242,用于管理与相应VM 206相关联的每个虚拟功能驱动器208。因此,虚拟机管理模块240被配置为基于将在网络业务上执行的各种服务功能(例如,基于与网络分组流对应的服务功能链的服务功能)部署(即,起转,执行实例化等)和关闭(即,逐渐减少,从网络移除等)VM 206。
管理员通知模块250被配置为向网络的管理员通知由网络计算设备106遇到的发生情形。在一些实施例中,管理员通知模块250可以由管理员用联系信息(例如电话号码,传真号码,电子邮件地址等)进行预配置,使得管理员通知模块250可以使用联系信息来给管理员发送通知(例如,自动消息、文本消息、传真、电子邮件等)。另外或替代地,在一些实施例中,管理员通知模块250可以被配置为与数据中心管理软件对接。在这样的实施例中,管理员通知模块250可以被配置为向数据中心管理软件提供指示,该数据中心管理软件被配置为接收和解释所述指示并且基于所述指示的严重性执行通知的升级。应该明白,在一些实施例中,可以通过响应于如下确定而由事件阈值分析模块234请求的动作来提示该通知:事件阈值分析模块234确定阈值被违反。
现在参考图3和图4,在使用中,网络计算设备106可以执行用于处理虚拟网络驱动器的恶意活动的方法300。应该明白,方法300的至少一部分可以被卸载到网络计算设备106的NIC 118并且由网络计算设备106的NIC 118执行。应该进一步明白,在一些实施例中,方法300可以体现为存储在计算机可读介质上的各种指令,所述指令可以由处理器108、NIC118和/或网络计算设备106的其他组件执行以使网络计算设备106执行方法300。计算机可读介质可以体现为能够由网络计算设备106读取的任何类型的介质,包括但不限于存储器112、数据储存设备114、NIC 118的本地存储器、网络计算设备106的其他存储器或数据储存设备、由网络计算设备106的外围设备可读的便携式介质、和/或其他介质。
方法300开始于框302,其中网络计算设备106确定虚拟机(例如,图2的VM 206中的一个)是否正在网络计算设备106上运行(即,起转)。如果不是,则该方法循环回到框302以监视虚拟机是否正在运行(即目前正在执行)。否则,如果虚拟机正在运行,则该方法300前进到方框304,在方框304中网络计算设备106确定虚拟功能驱动器(例如,与VM 206中的一个对应的图1的虚拟功能驱动器208中的一个)是否正在运行。如果是,则该方法300前进到框306。
在框306中,网络计算设备106监视虚拟功能驱动器的事件以检测恶意活动。为此,在一些实施例中,在框308中,网络计算设备106分析接收到的网络业务流的网络分组以确定网络分组中的一个或多个是否是畸形的。另外或替代地,在一些实施例中,在框310中,网络计算设备106监视存储器和/或硬件访问请求以确定所述访问请求是否越界(即,请求访问受限存储器和/或硬件)。应该明白,在一些实施例中,可以监视附加的和/或替代的虚拟功能驱动器事件以检测虚拟功能驱动器的恶意活动。
在框312中,网络计算设备106确定是否检测到恶意虚拟功能驱动器事件。如果不是,则该方法300循环回到框306以针对恶意活动继续监视虚拟功能驱动器事件;否则,方法300前进到框314。在框314中,网络计算设备106更新与检测到的恶意虚拟功能驱动器事件相关联的一个或多个恶意事件跟踪变量(例如,计数器、时间戳列表、度量等)。为此,网络计算设备106基于与检测到的恶意虚拟功能驱动器事件相关联的类型来更新(一个或多个)恶意事件跟踪变量。例如,在一些实施例中,在框318中,网络计算设备106递增与检测到的类似恶意事件(例如,在特定虚拟功能驱动器处检测到的相同类型的恶意事件)的总数对应的计数器。在另一个示例中,在一些实施例中,在框320中,网络计算设备106记录与在框312中检测到恶意虚拟功能驱动器事件的时间对应的时间戳。
在框322中,如图4所示,网络计算设备106将(一个或多个)恶意事件跟踪变量与一个或多个对应的恶意事件阈值进行比较。例如,在一些实施例中,在框324中,网络计算设备106将在框318中递增的计数器与最大发生阈值进行比较。在另一示例中,在一些实施例中,在框326中,网络计算设备106将记录的时间戳(已在框320中记录最近的时间戳)与频率阈值(即,在检测到恶意虚拟功能驱动器事件之间流逝的时间的最大持续时间)进行比较。
应该明白,可能存在与恶意虚拟功能驱动器事件的类型对应的多于一个的恶意事件阈值水平。例如,基于恶意事件阈值水平,不同的恶意事件阈值可能导致执行不同的动作。在示例的深化中,不同的恶意事件阈值水平可以包括警告阈值水平和移除阈值水平,其中所述移除阈值比所述警告阈值具有对应于更高升级的阈值。换言之,超出所述警告阈值水平比所述移除阈值水平可能导致更不重要的动作,如框328至336中所示。
在框328中,网络计算设备106确定是否已违反警告阈值中的一个或多个。例如,网络计算设备106可以确定在框318中递增的计数器的值是否超过与该恶意事件跟踪变量的警告阈值水平对应的最大发生阈值。在另一个示例中,网络计算设备106可以确定发生的频率(例如,由记录的时间戳确定)是否小于与该恶意事件跟踪变量的警告阈值水平对应的频率阈值。如果网络计算设备106确定没有违反任何一个警告阈值,则方法300前进到框334,其中在方法300返回到方框304之前,网络计算设备106重置虚拟功能驱动器,以等待直到虚拟功能驱动器再次运行(即,在重置之后)。
否则,如果网络计算设备106确定已违反了警告阈值水平恶意事件阈值中的一个或多个,则方法300前进到框330,其中网络计算设备106向网络的管理员传输警告阈值水平恶意事件阈值违反的通知。如前所述,网络计算设备106可以由管理员用联系信息(例如,电话号码、传真号码、电子邮件地址等)来配置,使得网络计算设备106可以使用所述联系信息向管理员发送所述通知(例如,自动消息、文本消息、传真、电子邮件等)。
在框332中,网络计算设备106确定是否已违反了移除阈值水平恶意事件阈值中的一个或多个。如果不是,则方法300前进到框334,其中如前所述,网络计算设备106在方法300返回方框304之前重置虚拟功能驱动器,以等待直到虚拟功能驱动器再次运行(即,在重置之后)。否则,如果网络计算设备106确定已违反了移除阈值水平恶意事件阈值中的一个或多个,则该方法前进到框336。在框336中,网络计算设备106移除与违反的移除阈值水平恶意事件阈值所关联的虚拟功能驱动器对应的虚拟功能接口。在框338中,类似于框330,在方法300返回到框302以监视另一个虚拟机是否正在运行之前,网络计算设备106向网络的管理员传输所述移除阈值水平恶意事件阈值违反的通知。
应该明白,在一些实施例中,可以仅使用单个恶意事件阈值水平。在这样的实施例中,单个恶意事件阈值水平可以对应于所述移除阈值。换句话说,在这样的实施例中,方法300的框328和330可以不存在。
示例
下面提供了在本文中公开的技术的说明性示例。这些技术的实施例可以包括下面描述的示例中的任何一个或多个以及任何组合。
示例1包括用于处理虚拟网络驱动器的恶意活动的网络计算设备,该网络计算设备包括:一个或多个处理器;以及一个或多个数据储存设备,在所述一个或多个数据储存设备中存储多个指令,所述指令在由所述一个或多个处理器执行时使所述网络计算设备:监视由网络计算设备的虚拟机的虚拟网络驱动器处理的事件以检测恶意活动;响应于确定检测到由虚拟网络驱动器进行的恶意活动,更新与检测到的虚拟网络驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量;在更新恶意事件跟踪变量之后,将恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较;以及响应于确定恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反,对所述虚拟功能驱动器执行动作。
示例2包括示例1的主题,并且其中监视由虚拟网络驱动器处理的事件以检测恶意活动包括分析由网络计算设备接收到的网络分组以查找恶意内容的证据。
示例3包括示例1和2中的任何一个的主题,并且其中监视由虚拟网络驱动器处理的事件以检测恶意活动包括监视由虚拟网络驱动器进行的存储器访问请求。
示例4包括示例1-3中的任何一个的主题,并且其中监视由虚拟网络驱动器处理的事件以检测恶意活动包括监视由虚拟网络驱动器进行的硬件访问请求。
示例5包括示例1-4中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括计数器,并且其中更新所述一个或多个恶意事件跟踪变量包括基于检测到的虚拟网络驱动器的恶意活动的所述事件类型来递增所述计数器的值。
示例6包括示例1-5中的任何一个的主题,并且其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将计数器值与对应于检测到的虚拟网络驱动器的恶意活动的事件类型的计数器阈值进行比较,以及其中对所述虚拟功能驱动器执行所述动作包括响应于确定所述计数器值超过所述计数器阈值来执行所述动作。
示例7包括示例1-6中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,并且其中更新所述一个或多个恶意事件跟踪变量包括将与检测到所述恶意活动的时间对应的时间戳记录在所述列表中。
示例8包括示例1-7中的任何一个的主题,并且其中多个指令还使网络计算设备根据所述事件检测时间戳的列表来确定恶意事件的频率,其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将恶意事件的频率与对应于检测到的由虚拟网络驱动器进行的恶意活动的事件类型的频率阈值进行比较,并且其中对所述虚拟功能驱动器执行所述动作包括响应于确定恶意事件的频率小于频率阈值而执行所述动作。
示例9包括示例1-8中的任何一个的主题,并且将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将每个恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较,其中对应的警告阈值包括比对应的移除阈值更低的阈值。
示例10包括示例1-9中的任何一个的主题,并且其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反所述对应的移除阈值,移除虚拟功能驱动器的虚拟功能接口。
示例11包括示例1-10中的任何一个的主题,并且其中对所述虚拟功能驱动器执行所述动作还包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了对应的警告阈值,向网络计算设备的管理员传输通知。
示例12包括示例1-11中的任何一个的主题,并且其中所述多个指令进一步使网络计算设备响应于确定检测到由所述虚拟网络驱动器进行的恶意活动而重置所述虚拟功能驱动器。
示例13包括一种用于处理虚拟网络驱动器的恶意活动的方法,该方法包括:由网络计算设备监视由所述网络计算设备的虚拟机的虚拟网络驱动器处理的事件以检测恶意活动;响应于确定检测到由虚拟网络驱动器进行的恶意活动,由网络计算设备更新与检测到的虚拟网络驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量;在更新恶意事件跟踪变量之后,由网络计算设备将恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较;和响应于确定恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反,由网络计算设备对所述虚拟功能驱动器执行动作。
示例14包括示例13的主题,并且其中监视由所述虚拟网络驱动器处理的事件以检测恶意活动包括分析由所述网络计算设备接收的网络分组以查找恶意内容的证据。
示例15包括示例13和14中的任何一个的主题,并且其中监视由所述虚拟网络驱动器处理的事件以检测恶意活动包括监视由所述虚拟网络驱动器进行的存储器访问请求。
示例16包括示例13-15中的任何一个的主题,并且其中监视由所述虚拟网络驱动器处理的事件以检测恶意活动包括监视由所述虚拟网络驱动器进行的硬件访问请求。
示例17包括示例13-16中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括计数器,并且其中更新所述一个或多个恶意事件跟踪变量包括基于检测到的虚拟网络驱动器的恶意活动的所述事件类型来递增所述计数器的值。
示例18包括示例13-17中的任何一个的主题,并且其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将计数器值与对应于检测到的虚拟网络驱动器的恶意活动的事件类型的计数器阈值进行比较,并且其中对所述虚拟功能驱动器执行所述动作包括响应于确定所述计数器值超过所述计数器阈值来执行所述动作。
示例19包括示例13-18中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,并且其中更新所述一个或多个恶意事件跟踪变量包括将与检测到所述恶意活动的时间对应的时间戳记录在所述列表中。
示例20包括示例13-19中的任何一个的主题,并且进一步包括根据所述事件检测时间戳的列表来确定恶意事件的频率,其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将恶意事件的频率与对应于检测到的由虚拟网络驱动器进行的恶意活动的事件类型的频率阈值进行比较,并且其中对所述虚拟功能驱动器执行所述动作包括响应于确定恶意事件的频率小于所述频率阈值而执行所述动作。
示例21包括示例13-20中的任何一个的主题,并且其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将每个恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较,其中对应的警告阈值包括比对应的移除阈值更低的阈值。
示例22包括示例13-21中的任何一个的主题,并且其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反所述对应的移除阈值,移除虚拟功能驱动器的虚拟功能接口。
示例23包括示例13-22中的任何一个的主题,并且其中对所述虚拟功能驱动器执行所述动作进一步包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了对应的警告阈值,向网络计算设备的管理员传输通知。
示例24包括示例13-23中的任何一个的主题,并且进一步包括响应于确定检测到由所述虚拟网络驱动器进行的恶意活动而重置所述虚拟功能驱动器。
示例25包括一种网络计算设备,该网络计算设备包括:处理器;以及存储器,在所述存储器中存储多个指令,所述指令在由所述处理器执行时使所述网络计算设备执行示例13-24中的任何一个的方法。
示例26包括:一个或多个机器可读储存介质,包括存储于其上的多个指令,所述多个指令响应于被执行而导致网络计算设备执行示例13-24中的任何一个的方法。
示例27包括一种用于处理虚拟网络驱动器的恶意活动的网络计算设备,所述网络计算设备包括:恶意驱动器事件检测模块,用于监视由网络计算设备的虚拟机的虚拟网络驱动器处理的事件以检测恶意活动;恶意驱动器事件跟踪模块,用于(i)响应于确定检测到由虚拟网络驱动器进行的恶意活动,更新与检测到的虚拟网络驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量并且(ii)在更新恶意事件跟踪变量之后,将恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较;和虚拟机管理模块,用于响应于确定恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反,对所述虚拟功能驱动器执行动作。
示例28包括示例27的主题,并且其中监视由所述虚拟网络驱动器处理的事件以检测恶意活动包括分析由所述网络计算设备接收的网络分组以查找恶意内容的证据。
示例29包括示例27和28中的任何一个的主题,并且其中监视由所述虚拟网络驱动器处理的事件以检测恶意活动包括监视由所述虚拟网络驱动器进行的存储器访问请求。
示例30包括示例27-29中的任何一个的主题,并且其中监视由所述虚拟网络驱动器处理的事件以检测恶意活动包括监视由所述虚拟网络驱动器进行的硬件访问请求。
示例31包括示例27-30中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括计数器,并且其中更新所述一个或多个恶意事件跟踪变量包括基于检测到的虚拟网络驱动器的恶意活动的所述事件类型来递增所述计数器的值。
示例32包括示例27-31中的任何一个的主题,并且其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将计数器值与对应于检测到的虚拟网络驱动器的恶意活动的事件类型的计数器阈值进行比较,并且其中对所述虚拟功能驱动器执行所述动作包括响应于确定所述计数器值超过所述计数器阈值来执行所述动作。
示例33包括示例27-32中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,并且其中更新所述一个或多个恶意事件跟踪变量包括将与检测到所述恶意活动的时间对应的时间戳记录在所述列表中。
示例34包括示例27-33中的任何一个的主题,并且其中所述恶意驱动器事件跟踪模块进一步用于:(i)根据所述事件检测时间戳的列表来确定恶意事件的频率,并且(ii)将恶意事件的频率与对应于检测到的由虚拟网络驱动器进行的恶意活动的事件类型的频率阈值进行比较,并且其中所述虚拟机管理模块进一步用于响应于确定恶意事件的频率小于所述频率阈值而对所述虚拟功能驱动器执行所述动作。
示例35包括示例27-34中的任何一个的主题,并且其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将每个恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较,其中对应的警告阈值包括比对应的移除阈值更低的阈值。
示例36包括示例27-35中的任何一个的主题,并且其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反所述对应的移除阈值,移除虚拟功能驱动器的虚拟功能接口。
示例37包括示例27-36中的任何一个的主题,并且其中对所述虚拟功能驱动器执行所述动作进一步包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了对应的警告阈值,向网络计算设备的管理员传输通知。
示例38包括示例27-37中的任何一个的主题,并且所述虚拟机管理模块进一步用于响应于确定检测到由所述虚拟网络驱动器进行的恶意活动而重置所述虚拟功能驱动器。
示例39包括一种用于处理虚拟网络驱动器的恶意活动的网络计算设备,该网络计算设备包括:用于监视由所述网络计算设备的虚拟机的虚拟网络驱动器处理的事件以检测恶意活动的装置;用于响应于确定检测到由虚拟网络驱动器进行的恶意活动而更新与检测到的虚拟网络驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量的装置;用于在更新恶意事件跟踪变量之后将恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较的装置;和用于响应于确定恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反而对所述虚拟功能驱动器执行动作的装置。
示例40包括示例39的主题,并且其中用于监视由所述虚拟网络驱动器处理的事件以检测恶意活动的装置包括用于分析由所述网络计算设备接收的网络分组以查找恶意内容的证据的装置。
示例41包括示例39和40中的任何一个的主题,并且其中用于监视由所述虚拟网络驱动器处理的事件以检测恶意活动的装置包括监视由所述虚拟网络驱动器进行的存储器访问请求。
示例42包括示例39-41中的任何一个的主题,并且其中用于监视由所述虚拟网络驱动器处理的事件以检测恶意活动的装置包括用于监视由所述虚拟网络驱动器进行的硬件访问请求的装置。
示例43包括示例39-42中的任何一个的主题,并且所述一个或多个恶意事件跟踪变量包括计数器,并且其中用于更新所述一个或多个恶意事件跟踪变量的装置包括用于基于检测到的虚拟网络驱动器的恶意活动的所述事件类型来递增所述计数器的值的装置。
示例44包括示例39-43中的任何一个的主题,并且其中用于将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较的装置包括用于将计数器值与对应于检测到的虚拟网络驱动器的恶意活动的事件类型的计数器阈值进行比较的装置,并且其中用于对虚拟功能驱动器执行动作的装置包括用于响应于确定计数器值超过计数器阈值来执行动作的装置。
示例45包括示例39-44中的任何一个的主题,并且其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,并且其中更新所述一个或多个恶意事件跟踪变量包括将与检测到所述恶意活动的时间对应的时间戳记录在所述列表中。
示例46包括示例39-45中的任何一个的主题,并且进一步包括根据所述事件检测时间戳的列表来确定恶意事件的频率,其中将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较包括用于将恶意事件的频率与对应于检测到的由虚拟网络驱动器进行的恶意活动的事件类型的频率阈值进行比较的装置,并且其中用于对所述虚拟功能驱动器执行所述动作的装置包括用于响应于确定恶意事件的频率小于所述频率阈值而执行所述动作的装置。
示例47包括示例39-46中的任何一个的主题,并且其中用于将每个恶意事件跟踪变量与对应的恶意事件阈值进行比较的装置包括用于将每个恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较的装置,其中对应的警告阈值包括比对应的移除阈值更低的阈值。
示例48包括示例39-47中的任何一个的主题,并且其中用于对所述虚拟功能驱动器执行所述动作的装置包括:用于响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的移除阈值而移除虚拟功能驱动器的虚拟功能接口的装置。
示例49包括示例39-48中的任何一个的主题,并且其中用于对所述虚拟功能驱动器执行所述动作的装置进一步包括:用于响应于确定所述恶意事件跟踪变量中的一个或多个违反了对应的警告阈值而向网络计算设备的管理员传输通知的装置。
示例50包括示例39-49中的任何一个的主题,并且进一步包括用于响应于确定检测到由所述虚拟网络驱动器进行的恶意活动而重置所述虚拟功能驱动器的装置。
Claims (26)
1.一种用于处理虚拟功能驱动器的恶意活动的网络计算设备,所述网络计算设备包括:
一个或多个处理器;以及
一个或多个数据储存设备,在所述一个或多个数据储存设备中存储多个指令,所述指令在由所述一个或多个处理器执行时使所述网络计算设备:
监视由所述网络计算设备的虚拟机的所述虚拟功能驱动器处理的事件以检测恶意活动;
响应于确定检测到由所述虚拟功能驱动器进行的恶意活动,更新与检测到的所述虚拟功能驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量;
在更新所述恶意事件跟踪变量之后,将所述恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较;以及
响应于确定所述恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反,对所述虚拟功能驱动器执行动作。
2.根据权利要求1所述的网络计算设备,其中监视由所述虚拟功能驱动器处理的事件以检测恶意活动包括以下中的至少一个:分析由所述网络计算设备接收的网络分组以查找恶意内容的证据;监视由所述虚拟功能驱动器进行的存储器访问请求;以及监视由所述虚拟功能驱动器进行的硬件访问请求。
3.根据权利要求1所述的网络计算设备,其中所述一个或多个恶意事件跟踪变量包括计数器,
其中更新所述一个或多个恶意事件跟踪变量包括基于检测到的所述虚拟功能驱动器的恶意活动的所述事件类型来递增所述计数器的值,
其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括:将计数器值与对应于检测到的所述虚拟功能驱动器的恶意活动的所述事件类型的计数器阈值进行比较,以及
其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述计数器值超过所述计数器阈值来执行所述动作。
4.根据权利要求1所述的网络计算设备,其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,
其中更新所述一个或多个恶意事件跟踪变量包括:将与检测到所述恶意活动的时间对应的时间戳记录在所述列表中,
其中所述多个指令进一步使所述网络计算设备根据所述事件检测时间戳的列表来确定恶意事件的频率,
其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括:将恶意事件的频率与对应于检测到的由所述虚拟功能驱动器进行的恶意活动的所述事件类型的频率阈值进行比较,以及
其中对所述虚拟功能驱动器执行所述动作包括:响应于确定恶意事件的频率小于所述频率阈值而执行所述动作。
5.根据权利要求1所述的网络计算设备,其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括:将每个所述恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较,其中对应的警告阈值包括比对应的移除阈值更低的阈值。
6.根据权利要求5所述的网络计算设备,其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的移除阈值,移除所述虚拟功能驱动器的虚拟功能接口。
7.根据权利要求5所述的网络计算设备,其中对所述虚拟功能驱动器执行所述动作进一步包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的警告阈值,向所述网络计算设备的管理员传输通知。
8.根据权利要求1所述的网络计算设备,其中所述多个指令进一步使所述网络计算设备响应于确定检测到由所述虚拟功能驱动器进行的恶意活动而重置所述虚拟功能驱动器。
9.一种用于处理虚拟功能驱动器的恶意活动的网络计算设备,所述网络计算设备包括:
恶意驱动器事件检测电路,用于监视由所述网络计算设备的虚拟机的所述虚拟功能驱动器处理的事件以检测恶意活动;
用于响应于确定检测到由所述虚拟功能驱动器进行的恶意活动而更新与检测到的所述虚拟功能驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量的装置;
用于在更新所述恶意事件跟踪变量之后将所述恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较的装置;以及
虚拟机管理电路,用于响应于确定所述恶意事件跟踪变量中的一个或多个指示对应的恶意事件阈值已被违反,对所述虚拟功能驱动器执行动作。
10.根据权利要求9所述的网络计算设备,其中监视由所述虚拟功能驱动器处理的事件以检测恶意活动包括以下中的至少一个:分析由所述网络计算设备接收的网络分组以查找恶意内容的证据;监视由所述虚拟功能驱动器进行的存储器访问请求;以及监视由所述虚拟功能驱动器进行的硬件访问请求。
11.根据权利要求9所述的网络计算设备,其中所述一个或多个恶意事件跟踪变量包括计数器,
其中用于更新所述一个或多个恶意事件跟踪变量的装置包括用于基于检测到的所述虚拟功能驱动器的恶意活动的所述事件类型来递增所述计数器的值的装置,
其中用于将每个所述恶意事件跟踪变量与所述对应的恶意事件阈值进行比较的装置包括用于将计数器值与对应于检测到的所述虚拟功能驱动器的恶意活动的所述事件类型的计数器阈值进行比较的装置,以及
其中用于对所述虚拟功能驱动器执行所述动作的装置包括用于响应于确定所述计数器值超过所述计数器阈值来执行所述动作的装置。
12.根据权利要求9所述的网络计算设备,其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,
其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,
其中用于更新所述一个或多个恶意事件跟踪变量的装置包括用于将与检测到所述恶意活动的时间对应的时间戳记录在所述事件检测时间戳的列表中的装置,
进一步包括根据所述事件检测时间戳的列表来确定恶意事件的频率,
其中将每个所述恶意事件跟踪变量与所述对应的恶意事件阈值进行比较包括用于将恶意事件的频率与对应于检测到的由所述虚拟功能驱动器进行的恶意活动的所述事件类型的频率阈值进行比较的装置,以及
其中用于对所述虚拟功能驱动器执行所述动作的装置包括用于响应于确定恶意事件的频率小于所述频率阈值而执行所述动作的装置。
13.根据权利要求9所述的网络计算设备,其中用于将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较的装置包括:用于将每个所述恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较的装置,其中所述对应的警告阈值包括比所述对应的移除阈值更低的阈值。
14.根据权利要求13所述的网络计算设备,其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反所述对应的移除阈值,移除所述虚拟功能驱动器的虚拟功能接口。
15.根据权利要求13所述的网络计算设备,其中对所述虚拟功能驱动器执行所述动作进一步包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的警告阈值,向所述网络计算设备的管理员传输通知。
16.根据权利要求9所述的网络计算设备,其中所述虚拟机管理电路进一步用于响应于确定检测到由所述虚拟功能驱动器进行的恶意活动而重置所述虚拟功能驱动器。
17.一种用于处理虚拟功能驱动器的恶意活动的方法,所述方法包括:
由网络计算设备监视由所述网络计算设备的虚拟机的所述虚拟功能驱动器处理的事件以检测恶意活动;
响应于确定检测到由所述虚拟功能驱动器进行的恶意活动,由所述网络计算设备更新与检测到的所述虚拟功能驱动器的恶意活动的事件类型对应的一个或多个恶意事件跟踪变量;
在更新所述恶意事件跟踪变量之后,由所述网络计算设备将所述恶意事件跟踪变量中的一个或多个与对应的恶意事件阈值进行比较;以及
响应于确定所述恶意事件跟踪变量中的一个或多个指示所述对应的恶意事件阈值已被违反,由所述网络计算设备对所述虚拟功能驱动器执行动作。
18.根据权利要求17所述的方法,其中监视由所述虚拟功能驱动器处理的事件以检测恶意活动包括以下中的至少一个:分析由所述网络计算设备接收的网络分组以查找恶意内容的证据;监视由所述虚拟功能驱动器进行的存储器访问请求;以及监视由所述虚拟功能驱动器进行的硬件访问请求。
19.根据权利要求17所述的方法,其中所述一个或多个恶意事件跟踪变量包括事件检测时间戳的列表,
其中所述列表的事件检测时间戳中的每一个对应于检测到对应的恶意活动的时间,以及
其中更新所述一个或多个恶意事件跟踪变量包括将与检测到所述恶意活动的时间对应的时间戳记录在所述事件检测时间戳的列表中。
20.根据权利要求19所述的方法,进一步包括根据所述事件检测时间戳的列表来确定恶意事件的频率,其中将每个所述恶意事件跟踪变量与所述对应的恶意事件阈值进行比较包括将所述恶意事件的频率与对应于检测到的由所述虚拟功能驱动器进行的恶意活动的所述事件类型的频率阈值进行比较,以及其中对所述虚拟功能驱动器执行所述动作包括响应于确定所述恶意事件的频率小于所述频率阈值而执行所述动作。
21.根据权利要求17所述的方法,其中将每个所述恶意事件跟踪变量与对应的恶意事件阈值进行比较包括将每个所述恶意事件跟踪变量与对应的警告阈值和对应的移除阈值进行比较,其中所述对应的警告阈值包括比所述对应的移除阈值更低的阈值。
22.根据权利要求21所述的方法,其中对所述虚拟功能驱动器执行所述动作包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反所述对应的移除阈值,移除所述虚拟功能驱动器的虚拟功能接口。
23.根据权利要求21所述的方法,其中对所述虚拟功能驱动器执行所述动作进一步包括:响应于确定所述恶意事件跟踪变量中的一个或多个违反了所述对应的警告阈值,向所述网络计算设备的管理员传输通知。
24.根据权利要求17所述的方法,进一步包括响应于确定检测到由所述虚拟功能驱动器进行的恶意活动而重置所述虚拟功能驱动器。
25.一个或多个计算机可读储存介质,包括存储于其上的多个指令,所述多个指令响应于被执行而使网络计算设备执行根据权利要求17-24中的任一项所述的方法。
26.一种用于处理虚拟功能驱动器的恶意活动的网络计算设备,所述网络计算设备包括用于执行根据权利要求17-24中的任一项所述的方法的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/934,142 US9992212B2 (en) | 2015-11-05 | 2015-11-05 | Technologies for handling malicious activity of a virtual network driver |
| US14/934,142 | 2015-11-05 | ||
| PCT/US2016/054497 WO2017078865A1 (en) | 2015-11-05 | 2016-09-29 | Technologies for handling malicious activity of a virtual network driver |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108353082A CN108353082A (zh) | 2018-07-31 |
| CN108353082B true CN108353082B (zh) | 2021-05-18 |
Family
ID=58662665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680064529.7A Active CN108353082B (zh) | 2015-11-05 | 2016-09-29 | 用于处理虚拟网络驱动器的恶意活动的技术 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9992212B2 (zh) |
| CN (1) | CN108353082B (zh) |
| DE (1) | DE112016005112T5 (zh) |
| WO (1) | WO2017078865A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12034740B1 (en) * | 2016-03-28 | 2024-07-09 | Amazon Technologies, Inc. | Distributed denial of service mitigation in a container based framework |
| US20170353476A1 (en) * | 2016-06-06 | 2017-12-07 | Google Inc. | Disabling Malicious Browser Extensions |
| US11394731B2 (en) * | 2017-05-16 | 2022-07-19 | Citrix Systems, Inc. | Computer system providing anomaly detection within a virtual computing sessions and related methods |
| US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
| US10970395B1 (en) | 2018-01-18 | 2021-04-06 | Pure Storage, Inc | Security threat monitoring for a storage system |
| US11991186B2 (en) * | 2018-05-22 | 2024-05-21 | Nokia Technologies Oy | Attack source tracing in SFC overlay network |
| CN111831388A (zh) * | 2019-04-17 | 2020-10-27 | Ati科技无限责任公司 | 用于过多虚拟机请求的事件保护 |
| US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
| US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
| US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
| US12079333B2 (en) | 2019-11-22 | 2024-09-03 | Pure Storage, Inc. | Independent security threat detection and remediation by storage systems in a synchronous replication arrangement |
| US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
| US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
| US12079356B2 (en) | 2019-11-22 | 2024-09-03 | Pure Storage, Inc. | Measurement interval anomaly detection-based generation of snapshots |
| US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
| US12050683B2 (en) * | 2019-11-22 | 2024-07-30 | Pure Storage, Inc. | Selective control of a data synchronization setting of a storage system based on a possible ransomware attack against the storage system |
| US11645162B2 (en) | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
| US12079502B2 (en) | 2019-11-22 | 2024-09-03 | Pure Storage, Inc. | Storage element attribute-based determination of a data protection policy for use within a storage system |
| US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
| US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
| US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
| US11657155B2 (en) | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
| US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
| US11341236B2 (en) | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
| US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
| US12050689B2 (en) | 2019-11-22 | 2024-07-30 | Pure Storage, Inc. | Host anomaly-based generation of snapshots |
| US12067118B2 (en) | 2019-11-22 | 2024-08-20 | Pure Storage, Inc. | Detection of writing to a non-header portion of a file as an indicator of a possible ransomware attack against a storage system |
| CN110912912B (zh) * | 2019-11-29 | 2022-03-01 | 杭州迪普科技股份有限公司 | 一种切换ip信誉检测模式的方法及装置 |
| US10999176B1 (en) * | 2020-02-16 | 2021-05-04 | Mellanox Technologies Tlv Ltd. | Burst score |
| US11588850B2 (en) | 2020-04-13 | 2023-02-21 | At&T Intellectual Property I, L.P. | Security techniques for 5G and next generation radio access networks |
| JP7533058B2 (ja) * | 2020-09-17 | 2024-08-14 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| US11653229B2 (en) * | 2021-02-26 | 2023-05-16 | At&T Intellectual Property I, L.P. | Correlating radio access network messages of aggressive mobile devices |
| US11653234B2 (en) | 2021-03-16 | 2023-05-16 | At&T Intellectual Property I, L.P. | Clustering cell sites according to signaling behavior |
| US11586727B2 (en) * | 2021-03-29 | 2023-02-21 | Red Hat, Inc. | Systems and methods for preventing kernel stalling attacks |
| US20220360990A1 (en) * | 2021-05-05 | 2022-11-10 | Rohde & Schwarz Gmbh & Co. Kg | 4g / 5g core network deep packet inspection system |
| US20230275906A1 (en) * | 2022-02-28 | 2023-08-31 | Mellanox Technologies Ltd. | System and method of determining existence of a network attack |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297972A (zh) * | 2012-02-29 | 2013-09-11 | 株式会社泛泰 | 用于检测网络攻击的移动终端及其方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101405319B1 (ko) * | 2007-04-16 | 2014-06-10 | 삼성전자 주식회사 | 가상화 환경에서의 안전한 시스템 보호 장치 및 방법 |
| EP2513810B1 (en) * | 2009-12-14 | 2016-02-17 | Citrix Systems, Inc. | Methods and systems for communicating between trusted and non-trusted virtual machines |
| US9483292B2 (en) | 2010-11-29 | 2016-11-01 | Biocatch Ltd. | Method, device, and system of differentiating between virtual machine and non-virtualized device |
| US8533713B2 (en) | 2011-03-29 | 2013-09-10 | Intel Corporation | Efficent migration of virtual functions to enable high availability and resource rebalance |
| US8756689B2 (en) | 2012-06-29 | 2014-06-17 | Intel Corporation | Method, system, and device for securely handling virtual function driver communications with a physical function driver |
| KR101394424B1 (ko) * | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 |
| US9229761B2 (en) | 2013-06-03 | 2016-01-05 | Intel Corporation | Generating, at least in part, at least one packet indicating, at least in part, at least one command and/or issuing, at least in part, at least one result of execution, at least in part, of the at least one command |
| US9288219B2 (en) * | 2013-08-02 | 2016-03-15 | Globalfoundries Inc. | Data protection in a networked computing environment |
| US20150052614A1 (en) | 2013-08-19 | 2015-02-19 | International Business Machines Corporation | Virtual machine trust isolation in a cloud environment |
-
2015
- 2015-11-05 US US14/934,142 patent/US9992212B2/en active Active
-
2016
- 2016-09-29 CN CN201680064529.7A patent/CN108353082B/zh active Active
- 2016-09-29 DE DE112016005112.3T patent/DE112016005112T5/de active Pending
- 2016-09-29 WO PCT/US2016/054497 patent/WO2017078865A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297972A (zh) * | 2012-02-29 | 2013-09-11 | 株式会社泛泰 | 用于检测网络攻击的移动终端及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170134403A1 (en) | 2017-05-11 |
| US9992212B2 (en) | 2018-06-05 |
| CN108353082A (zh) | 2018-07-31 |
| WO2017078865A1 (en) | 2017-05-11 |
| DE112016005112T5 (de) | 2018-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108353082B (zh) | 用于处理虚拟网络驱动器的恶意活动的技术 | |
| US20230412459A1 (en) | Technologies for dynamically selecting resources for virtual switching | |
| US10523540B2 (en) | Display method of exchanging messages among users in a group | |
| CN107925588B (zh) | 用于平台处理核心配置的方法、设备、装置及介质 | |
| US20190190803A1 (en) | Introspection driven monitoring of multi-container applications | |
| US10638409B2 (en) | Wi-Fi roaming management | |
| US10671721B1 (en) | Timeout management services | |
| US9804881B2 (en) | System and method for resizing a virtual desktop infrastructure using virtual desktop infrastructure monitoring tools | |
| US20180338187A1 (en) | Advanced wi-fi performance monitoring | |
| US9553810B2 (en) | Dynamic reconfiguration of network devices for outage prediction | |
| CN107135088B (zh) | 云计算系统中处理日志的方法和装置 | |
| EP3588856B1 (en) | Technologies for hot-swapping a legacy appliance with a network functions virtualization appliance | |
| JP5968841B2 (ja) | ネットワーク装置及びプロセッサの監視方法 | |
| US10169172B2 (en) | Passive detection of live systems during controller failover in distributed environments | |
| US11258658B2 (en) | Technologies for monitoring networked computing devices using deadman triggers | |
| US11163630B2 (en) | Using real-time analytics to manage application features | |
| US9304955B2 (en) | Techniques for identifying and handling processor interrupts | |
| KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
| US20130086248A1 (en) | Managing Stability Of A Link Coupling An Adapter Of A Computing System To A Port Of A Networking Device For In-Band Data Communications | |
| US9548893B2 (en) | Dynamic agent replacement within a cloud network | |
| US20190324769A1 (en) | System and Method to Manage a Server Configuration Profile of an Information Handling System in a Data Center | |
| US11314573B2 (en) | Detection of event storms | |
| US9256539B2 (en) | Sharing cache in a computing system | |
| US20190327142A1 (en) | System and Method to Manage a Server Configuration Profile based upon Applications Running on an Information Handling System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |