公开(公告)号：CN111796911B

公开(公告)日：2024-07-30

申请号：CN202010652391.0

申请日：2020-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  贾紫倩 ,  张伟娟 ,  解亚敏 ,  白璐 ,  孙慧琪

IPC: G06F9/455 ,  G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置，包括：在一虚拟设备上运行一I/O指令，使用Intel PT技术收集控制流相关的信息并对产生的数据包解码，得到条件跳转信息和间接跳转信息；依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述I/O指令的合法性。本发明使用硬件技术Intel PT高效收集程序执行时控制流相关的信息，从而降低收集操作带来的性能开销；使用模糊测试技术构建虚拟设备的基线模型，可以在避免繁重的人工分析的基础上有效检测未知攻击；基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式，并进一步构建了判断方法，有效地提升了检测率。

公开(公告)号：CN111796911A

公开(公告)日：2020-10-20

申请号：CN202010652391.0

申请日：2020-07-08

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  贾紫倩 ,  张伟娟 ,  解亚敏 ,  白璐 ,  孙慧琪

IPC: G06F9/455 ,  G06F11/36 ,  G06F21/57

Abstract: 本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置，包括：在一虚拟设备上运行一I/O指令，使用Intel PT技术收集控制流相关的信息并对产生的数据包解码，得到条件跳转信息和间接跳转信息；依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述I/O指令的合法性。本发明使用硬件技术Intel PT高效收集程序执行时控制流相关的信息，从而降低收集操作带来的性能开销；使用模糊测试技术构建虚拟设备的基线模型，可以在避免繁重的人工分析的基础上有效检测未知攻击；基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式，并进一步构建了判断方法，有效地提升了检测率。