龙图腾网&IPTOP
- 微信扫码登录
- 账号密码登录
- 短信登录/注册
买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:中国科学院信息工程研究所
摘要:本发明公开了一种基于IPT与虚拟机自省的API调用监控方法及系统。本方法为:当创建虚拟机时,KVM进入虚拟机模式,IPT开始进行追踪,执行a~b;当KVM退出虚拟机模式回到根模式的时候,IPT停止追踪;其中:a获取虚拟机内部当前运行的进程,得到所监控API的虚拟地址;b将所监控API与API虚拟地址的对应关系写入第一哈希表中,将进程CR3的值与对应进程间的映射关系写入第二哈希表中,并且监听进程CR3的值的变化;2对IPT追踪数据进行解码,然后根据哈希表从解码数据中获取进程的API序列调用;3将进程的API调用序列与设定高危进程的API序列匹配,根据匹配结果确定虚拟机的安全状态。
主权项:1.一种基于IPT与虚拟机自省的API调用监控方法,其步骤包括:1当创建虚拟机时,IPT配置模块根据收到的所创建虚拟机相关参数配置MSR寄存器启用追踪,当KVM进入虚拟机模式时,IPT开始进行追踪,执行步骤a~b;当KVM退出虚拟机模式回到根模式的时候,IPT停止追踪;其中:a获取虚拟机内部当前运行的进程,根据每一进程的进程结构体与进程页表的偏移,得到进程页目录基址CR3,然后遍历对应进程所有动态库,得到各进程对应动态库基地址,将所述动态库基地址与所监控的API偏移地址相加,得到所监控API的虚拟地址;b将所监控API与API虚拟地址的对应关系写入第一哈希表中,将进程CR3的值与对应进程间的映射关系写入第二哈希表中,并且监听进程CR3的值的变化;当虚拟机中一进程结束后,删除第二哈希表中对应进程的哈希条目,当新的进程创建,向第二哈希表中插入新创建进程与进程CR3的对应关系;2数据解码模块对产生的IPT追踪数据进行解码,然后根据第一哈希表、第二哈希表从解码数据中获取进程的API序列调用;3行为管控模块将进程的API调用序列与设定高危进程的API序列进行匹配,根据匹配结果确定虚拟机的安全状态。
全文数据:
权利要求:
百度查询: 中国科学院信息工程研究所 基于IPT与虚拟机自省的API调用监控方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
主营中国专利交易买卖与专利转让许可,高校科技成果推广与科技成果转化,知识产权运营管理与平台开发,科技人才专家库与科技猎头等科技服务
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号