买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国科学院信息工程研究所

摘要：本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置，包括：在一虚拟设备上运行一IO指令，使用IntelPT技术收集控制流相关的信息并对产生的数据包解码，得到条件跳转信息和间接跳转信息；依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述IO指令的合法性。本发明使用硬件技术IntelPT高效收集程序执行时控制流相关的信息，从而降低收集操作带来的性能开销；使用模糊测试技术构建虚拟设备的基线模型，可以在避免繁重的人工分析的基础上有效检测未知攻击；基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式，并进一步构建了判断方法，有效地提升了检测率。

主权项：1.一种面向云平台中虚拟设备的攻击检测方法，其步骤包括：1）在一虚拟设备上运行一IO指令，并通过IntelPT技术采集所述IO指令产生数据包后，对产生的数据包解码，得到条件跳转信息和间接跳转信息；其中，所述数据包包括跳转成功或非成功包和目标地址包；2）依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述IO指令的合法性；其中，所述依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型，检测所述IO指令的合法性，包括：依据条件跳转信息和间接跳转信息，获取间接跳转分支的目标地址和条件跳转分支的跳转成功与否；结合条件跳转分支和间接跳转分支到达目标结点的数量、条件跳转分支和间接跳转分支的总跳转次数及各目标结点被跳转到的次数，计算所述IO指令执行过程的得分，n代表该IO指令所对应的条件跳转和间接跳转所到达的目标结点总数，T代表条件跳转与间接跳转的总跳转次数，ti代表条件跳转或间接跳转到达第i个目标结点的次数；将执行过程的得分、条件跳转分支与间接跳转分支执行顺序与基线模型匹配，得到所述IO指令的合法性；其中，通过以下步骤建立所述基线模型：a）生成合法IO指令；其中，所述生成合法IO指令包括：使用模糊测试工具AFL为虚拟设备程序提供随机输入，来触发新的代码执行路径；将基于触发新路径的随机输入进行信息收集，得到合法IO指令；b）在所述虚拟设备运行合法IO指令，使用Intel的解码库libipt对产生的合法数据包解码，得到合法条件跳转信息和合法间接跳转信息，所述合法条件跳转信息包括合法条件跳转分支的目标地址、源地址和跳转成功与否，所述合法间接跳转信息包括合法条件跳转分支的目标地址和源地址；c）获取合法条件跳转分支和合法间接跳转分支的运行信息，并依据合法条件跳转信息、合法间接跳转信息及运行信息，设置源结点及目标节点，构建间接分支相连图，其中，所述运行信息包括合法间接跳转分支和合法条件跳转分支的执行次数和执行顺序；每一源节点存放合法条件跳转分支或合法间接跳转分支的源地址，每一目标结点存放合法条件跳转分支或合法间接跳转分支的目标地址；d）对每一源结点和目标结点添加合法条件跳转分支或合法间接跳转分支的运行结果信息；所述运行结果信息包括合法间接跳转分支的执行次数、执行顺序或合法条件跳转分支的跳转成功与否、执行次数、执行顺序；e）通过每一合法IO指令相应的间接分支相连图及运行结果信息，构建所述虚拟设备的基线模型。

全文数据：

权利要求：

百度查询： 中国科学院信息工程研究所 一种面向云平台虚拟设备的攻击检测方法及电子装置