公开(公告)号：CN110865866B

公开(公告)日：2022-04-05

申请号：CN201910930547.4

申请日：2019-09-29

Applicant: 中通服咨询设计研究院有限公司 ,  东南大学

Inventor： 罗军舟 ,  凌振 ,  党一菲 ,  师晓敏 ,  李永杰 ,  吉祥

IPC: G06F9/455 ,  H04L9/40

Abstract: 本发明公开了一种基于自省技术的虚拟机安全检测方法，包括：从虚拟机外部虚拟机管理器层采集虚拟机状态数据，通过对内存的自省采集虚拟机进程状态、文件和端口数据，通过寄存器采集虚拟机的系统调用数据；通过对系统数据结构和系统符号表的解析，结合外部采集的数据，恢复和关联虚拟机进程状态、文件、端口和系统调用信息；利用增量和时间片的方法对虚拟机的状态和进程信息进行特征处理；利用局部异常因子，实现对异常状态的检测，利用随机森林，实现对虚拟机中恶意进程的检测，针对虚拟机的流量信息，结合网络入侵检测工具，实现进程级别的网络入侵检测；针对检测结果，根据用户设置实现不同级别的响应，提高虚拟机的安全性。

公开(公告)号：CN110865866A

公开(公告)日：2020-03-06

申请号：CN201910930547.4

申请日：2019-09-29

Applicant: 中通服咨询设计研究院有限公司 ,  东南大学

Inventor： 罗军舟 ,  凌振 ,  党一菲 ,  师晓敏 ,  李永杰 ,  吉祥

IPC: G06F9/455 ,  H04L29/06

Abstract: 本发明公开了一种基于自省技术的虚拟机安全检测方法，包括：从虚拟机外部虚拟机管理器层采集虚拟机状态数据，通过对内存的自省采集虚拟机进程状态、文件和端口数据，通过寄存器采集虚拟机的系统调用数据；通过对系统数据结构和系统符号表的解析，结合外部采集的数据，恢复和关联虚拟机进程状态、文件、端口和系统调用信息；利用增量和时间片的方法对虚拟机的状态和进程信息进行特征处理；利用局部异常因子，实现对异常状态的检测，利用随机森林，实现对虚拟机中恶意进程的检测，针对虚拟机的流量信息，结合网络入侵检测工具，实现进程级别的网络入侵检测；针对检测结果，根据用户设置实现不同级别的响应，提高虚拟机的安全性。