技術(shù)特征:1.一種方法,包括:
在虛擬機VM日志中記錄在VM處的I/O請求�����;
在內(nèi)核日志中記錄在管理所述VM的管理器內(nèi)核處的I/O請求����;
比較在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求;以及
根據(jù)在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求之間的差異來檢測惡意軟件的證據(jù)�����。
2.根據(jù)權(quán)利要求1所述的方法,其中記錄I/O請求包括記錄以下的一項或多項:時間戳����、I/O類型�����、起始地址���、偏移和長度I/O元數(shù)據(jù)��。
3.根據(jù)權(quán)利要求2所述的方法����,
其中記錄I/O請求包括從VM日志元數(shù)據(jù)和內(nèi)核日志元數(shù)據(jù)兩者生成簽名�����;以及
其中比較在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求包括比較所述簽名���。
4.根據(jù)權(quán)利要求2所述的方法���,其中比較在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求包括檢查如在所述VM日志和所述內(nèi)核日志中記錄的針對相應(yīng)I/O的所述時間戳��、所述I/O類型����、寫起始地址����、寫偏移和寫長度中的一項或多項中的差異。
5.根據(jù)權(quán)利要求1所述的方法�����,其中在VM日志中記錄在VM處的I/O請求包括將I/O請求記錄到針對所述VM的主引導(dǎo)記錄�。
6.根據(jù)權(quán)利要求1所述的方法,其中在VM日志中記錄在VM處的I/O請求包括將I/O請求記錄到針對所述VM的操作系統(tǒng)�����。
7.根據(jù)權(quán)利要求1所述的方法���,其中在內(nèi)核日志中記錄在管理所述VM的管理器內(nèi)核處的I/O請求包括記錄VM引導(dǎo)時間磁盤訪問I/O����。
8.根據(jù)權(quán)利要求1所述的方法,其中在內(nèi)核日志中記錄在管理 所述VM的管理器內(nèi)核處的I/O請求是由在所述VM中運行的惡意軟件不可檢測的�。
9.根據(jù)權(quán)利要求1所述的方法,還包括:
注入I/O以執(zhí)行特定I/O訪問��;以及
比較所述VM日志和所述內(nèi)核日志�,以探測潛在的惡意軟件。
10.根據(jù)權(quán)利要求1所述的方法���,還包括提供對惡意軟件的所述證據(jù)的通知。
11.一種系統(tǒng)��,包括:
虛擬機計算平臺���,具有管理器并且管理虛擬機VM����;
VM風(fēng)險代理����,被配置為在VM日志中記錄在所述VM處的I/O請求;以及
內(nèi)核風(fēng)險代理����,被配置為在內(nèi)核日志中記錄在管理器內(nèi)核處的所述I/O請求��;
風(fēng)險引擎���,被配置為比較在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求,并且根據(jù)在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求之間的差異來檢測惡意軟件的證據(jù)�。
12.根據(jù)權(quán)利要求11所述的方法,其中所述內(nèi)核風(fēng)險代理和所述VM風(fēng)險代理還被配置為記錄以下的一項或多項:時間戳�、I/O類型、起始地址����、偏移和長度I/O元數(shù)據(jù)。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)���,
其中所述內(nèi)核風(fēng)險代理和所述VM風(fēng)險代理還被配置為從VM日志元數(shù)據(jù)和內(nèi)核日志元數(shù)據(jù)兩者生成簽名���;并且
其中所述風(fēng)險引擎還被配置為比較所述簽名。
14.根據(jù)權(quán)利要求12所述的系統(tǒng)���,其中所述風(fēng)險引擎還被配置為檢查如在所述VM日志和所述內(nèi)核日志中記錄的針對相應(yīng)I/O的所述時間戳���、所述I/O類型���、寫起始地址、寫偏移和寫長度中的一項或多項中的差異��。
15.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其中所述VM風(fēng)險引擎還被配置為將I/O請求記錄到針對所述VM的主引導(dǎo)記錄。
16.根據(jù)權(quán)利要求11所述的系統(tǒng)�,其中所述VM風(fēng)險引擎還被配置為將I/O請求記錄到針對所述VM的操作系統(tǒng)。
17.根據(jù)權(quán)利要求11所述的系統(tǒng)�����,其中所述內(nèi)核風(fēng)險引擎還被配置為記錄VM引導(dǎo)時間磁盤訪問I/O���。
18.根據(jù)權(quán)利要求11所述的系統(tǒng),其中所述內(nèi)核風(fēng)險引擎是由在所述VM中運行的惡意軟件不可檢測的����。
19.根據(jù)權(quán)利要求11所述的系統(tǒng),
其中所述VM風(fēng)險引擎還被配置為注入I/O以執(zhí)行特定I/O訪問��;并且
其中所述風(fēng)險引擎還被配置為比較所述VM日志和所述內(nèi)核日志��,以探測潛在的惡意軟件。
20.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其中所述風(fēng)險引擎還被配置為提供對惡意軟件的所述證據(jù)的通知�����。
21.一種計算機程序產(chǎn)品�,包括非瞬態(tài)計算機可讀存儲介質(zhì)�,所述非瞬態(tài)計算機可讀存儲介質(zhì)具有在其上編碼的計算機程序代碼,所述計算機程序代碼當(dāng)由計算機的處理器執(zhí)行時使得所述計算機檢測惡意軟件的證據(jù)�,所述計算機程序代碼包括:
用于將由虛擬機VM風(fēng)險代理在VM日志中記錄的I/O請求與由管理器內(nèi)核在內(nèi)核日志中記錄的I/O請求進行比較的計算機程序代碼;以及
用于根據(jù)在所述VM日志和所述內(nèi)核日志中記錄的所述I/O請求之間的差異來檢測惡意軟件的證據(jù)的計算機程序代碼���。