2. 专利查询
  3. 一种恶意虚拟机检测的方法、装置、设备及可读介质与流程

一种恶意虚拟机检测的方法、装置、设备及可读介质与流程

专利查询4月前  42


1.本发明涉及计算机领域,并且更具体地涉及一种恶意虚拟机检测的方法、装置、设备及可读介质。


背景技术:

2.随着互联网的发展,云计算慢慢融入我们的生活,在给我们带来便捷的同时,也存在着潜藏的危险。云计算是面向用户的,每个人都可以方便快捷的租用服务器,用户既可以享用便捷的云计算服务,又可以利用虚拟机发动网络攻击。僵尸网络已经成为目前最大的网络威胁,僵尸网络是指利用恶意代码感染大量的虚拟机,形成一对多的可控网络,从一个虚拟机发出命令,控制大量虚拟机发动攻击。用户利用僵尸网络发动网络攻击时有发生。利用云服务提供的虚拟机构建僵尸网络的威胁主要体现在4个方面:1)利用虚拟机构建僵尸网络非常快捷,而且具有非常高的隐蔽性;2)云服务提高了僵尸网络的攻击范围和强度;3)能够快速向移动终端渗透;4)攻击者往往使用信誉良好的云服务,使得恶意检测和定位变得十分困难。因此,检测僵尸网络的存在是云计算安全的重要问题。


技术实现要素:

3.有鉴于此,本发明实施例的目的在于提出一种恶意虚拟机检测的方法、装置、设备及可读介质,通过使用本发明的技术方案,能够使得虚拟化环境中虚拟机的网络流量可以进行检测,能够检测出僵尸网络流量并进行报警提示,能够提高整个云管理平台的安全性,能够对恶意虚拟机进行流量屏蔽。
4.基于上述目的,本发明的实施例的一个方面提供了一种恶意虚拟机检测的方法,包括以下步骤:
5.提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;
6.采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;
7.响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。
8.根据本发明的一个实施例,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。
9.根据本发明的一个实施例,提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型包括:
10.提取开源数据集中的流量数据特征;
11.将提取的流量数据特征转化为灰度图像数据;
12.使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。
13.根据本发明的一个实施例,采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测包括:
14.使用硬盘对待检测的虚拟机的网络流量数据进行缓存;
15.采集缓存后的虚拟机流量数据特征;
16.将采集的流量数据特征转化为灰度图像数据;
17.将灰度图像数据输入到训练后的模型中进行检测。
18.本发明的实施例的另一个方面,还提供了一种恶意虚拟机检测的装置,装置包括:
19.训练模块,训练模块配置为提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;
20.检测模块,检测模块配置为采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;
21.处理模块,处理模块配置为响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。
22.根据本发明的一个实施例,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。
23.根据本发明的一个实施例,训练模块还配置为:
24.提取开源数据集中的流量数据特征;
25.将提取的流量数据特征转化为灰度图像数据;
26.使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。
27.根据本发明的一个实施例,检测模块还配置为:
28.使用硬盘对待检测的虚拟机的网络流量数据进行缓存;
29.采集缓存后的虚拟机流量数据特征;
30.将采集的流量数据特征转化为灰度图像数据;
31.将灰度图像数据输入到训练后的模型中进行检测。
32.本发明的实施例的另一个方面,还提供了一种计算机设备,该计算机设备包括:
33.至少一个处理器;以及
34.存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述任意一项方法的步骤。
35.本发明的实施例的另一个方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述任意一项方法的步骤。
36.本发明具有以下有益技术效果:本发明实施例提供的恶意虚拟机检测的方法,通过提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量的技术方案,能够使得虚拟化环境中虚拟机的网络流量可以进行检测,能够检测出僵尸网络流量并进行报警提示,能够提高整个云管理平台的安全性,能够对恶意虚拟机进行流量屏蔽。
附图说明
37.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
38.图1为根据本发明一个实施例的恶意虚拟机检测的方法的示意性流程图;
39.图2为根据本发明一个实施例的恶意虚拟机检测的装置的示意图;
40.图3为根据本发明一个实施例的计算机设备的示意图;
41.图4为根据本发明一个实施例的计算机可读存储介质的示意图。
具体实施方式
42.为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
43.基于上述目的,本发明的实施例的第一个方面,提出了一种恶意虚拟机检测的方法的一个实施例。图1示出的是该方法的示意性流程图。
44.如图1中所示,该方法可以包括以下步骤:
45.s1提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型。
46.本发明使用开源数据集的流量数据特征对神经网络进行训练,先将开源流量数据集(unb iscx 2012等)提取特定特征数据,然后经过标准化处理后形成灰度图像数据集,开源数据集转化为灰度图像数据后,按照6:4进行划分,分为训练集和测试集,分别训练神经网络和测试神经网络,神经网络可以采用目前成熟的图像分类网络。僵尸网络在时空特性上具有很大的相似性,例如在时间上具有通信周期,持续时间,数据分组时序,报文时间间隔等时间相似性,在空间上具有ip,端口号等空间相似性,本发明中使用的流量数据特征包括源ip地址、目的ip地址、协议类型和端口号,通过对特定时间窗口内这些特征数据的采集,将采集到的数据用神经网络来提取更高级特征,从而可以进行准确的检测。
47.s2采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测。
48.openvswitch是一种虚拟交换机软件,目前已经大规模利用在云服务器中,作为虚拟交换机。虚拟交换就是利用虚拟平台,通过软件的方式形成交换机部件。跟传统的物理交换机相比,虚拟交换机同样具备众多优点,一是配置更加灵活。一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择,可以利用openvswitch的流量镜像功能在不影响虚拟机流量的情况下提取虚拟机的流量镜像,进而采集虚拟机流量数据特征,在数据采集时,假如有50个特征数据,就可以采集50个时间窗口的数据,然后对数据进行归一化处理,就可以变换成50乘50的图像数据。使用训练后的模型对采集到的虚拟机流量数据特征进行分类检测。
49.s3响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。
50.如果检测到虚拟机流量数据特征出现异常,将异常情况发送到云服务器管理平台并发出异常警告,并对检测异常的虚拟机流量进行屏蔽。
51.通过本发明的技术方案,能够使得虚拟化环境中虚拟机的网络流量可以进行检测,能够检测出僵尸网络流量并进行报警提示,能够提高整个云管理平台的安全性,能够对恶意虚拟机进行流量屏蔽。
52.在本发明的一个优选实施例中,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。
53.在本发明的一个优选实施例中,提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型包括:
54.提取开源数据集中的流量数据特征;
55.将提取的流量数据特征转化为灰度图像数据;
56.使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。
57.在本发明的一个优选实施例中,采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测包括:
58.使用硬盘对待检测的虚拟机的网络流量数据进行缓存;
59.采集缓存后的虚拟机流量数据特征;
60.将采集的流量数据特征转化为灰度图像数据;
61.将灰度图像数据输入到训练后的模型中进行检测。
62.通过本发明的技术方案,能够使得虚拟化环境中虚拟机的网络流量可以进行检测,能够检测出僵尸网络流量并进行报警提示,能够提高整个云管理平台的安全性,能够对恶意虚拟机进行流量屏蔽。
63.需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,上述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中存储介质可为磁碟、光盘、只读存储器(read-only memory,rom)或随机存取存储器(random access memory,ram)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
64.此外,根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时,执行本发明实施例公开的方法中限定的上述功能。
65.基于上述目的,本发明的实施例的第二个方面,提出了一种恶意虚拟机检测的装置,如图2所示,装置200包括:
66.训练模块,训练模块配置为提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;
67.检测模块,检测模块配置为采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;
68.处理模块,处理模块配置为响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。
69.在本发明的一个优选实施例中,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。
70.在本发明的一个优选实施例中,训练模块还配置为:
71.提取开源数据集中的流量数据特征;
72.将提取的流量数据特征转化为灰度图像数据;
73.使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。
74.在本发明的一个优选实施例中,检测模块还配置为:
75.使用硬盘对待检测的虚拟机的网络流量数据进行缓存;
76.采集缓存后的虚拟机流量数据特征;
77.将采集的流量数据特征转化为灰度图像数据;
78.将灰度图像数据输入到训练后的模型中进行检测。
79.基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图3示出的是本发明提供的计算机设备的实施例的示意图。如图3所示,本发明实施例包括如下装置:至少一个处理器21;以及存储器22,存储器22存储有可在处理器上运行的计算机指令23,指令由处理器执行时实现以下方法:
80.提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;
81.采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;
82.响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。
83.在本发明的一个优选实施例中,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。
84.在本发明的一个优选实施例中,提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型包括:
85.提取开源数据集中的流量数据特征;
86.将提取的流量数据特征转化为灰度图像数据;
87.使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。
88.在本发明的一个优选实施例中,采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测包括:
89.使用硬盘对待检测的虚拟机的网络流量数据进行缓存;
90.采集缓存后的虚拟机流量数据特征;
91.将采集的流量数据特征转化为灰度图像数据;
92.将灰度图像数据输入到训练后的模型中进行检测。
93.基于上述目的,本发明实施例的第四个方面,提出了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示,计算机可读存储介质31存储有被处理器执行时执行如下方法的计算机程序32:
94.提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;
95.采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;
96.响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。
97.在本发明的一个优选实施例中,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。
98.在本发明的一个优选实施例中,提取开源数据集中的流量数据特征,并使用提取
到的数据特征对神经网络进行训练以得到训练后的模型包括:
99.提取开源数据集中的流量数据特征;
100.将提取的流量数据特征转化为灰度图像数据;
101.使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。
102.在本发明的一个优选实施例中,采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测包括:
103.使用硬盘对待检测的虚拟机的网络流量数据进行缓存;
104.采集缓存后的虚拟机流量数据特征;
105.将采集的流量数据特征转化为灰度图像数据;
106.将灰度图像数据输入到训练后的模型中进行检测。
107.此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
108.此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
109.本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
110.在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
111.以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施
例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
112.应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
113.上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
114.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
115.所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

技术特征:
1.一种恶意虚拟机检测的方法,其特征在于,包括以下步骤:提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。2.根据权利要求1所述的方法,其特征在于,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。3.根据权利要求1所述的方法,其特征在于,提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型包括:提取开源数据集中的流量数据特征;将提取的流量数据特征转化为灰度图像数据;使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。4.根据权利要求1所述的方法,其特征在于,采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测包括:使用硬盘对待检测的虚拟机的网络流量数据进行缓存;采集缓存后的虚拟机流量数据特征;将采集的流量数据特征转化为灰度图像数据;将灰度图像数据输入到训练后的模型中进行检测。5.一种恶意虚拟机检测的装置,其特征在于,所述装置包括:训练模块,所述训练模块配置为提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;检测模块,所述检测模块配置为采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;处理模块,所述处理模块配置为响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。6.根据权利要求5所述的装置,其特征在于,流量数据特征包括源ip地址、目的ip地址、协议类型和端口号。7.根据权利要求5所述的装置,其特征在于,所述训练模块还配置为:提取开源数据集中的流量数据特征;将提取的流量数据特征转化为灰度图像数据;使用灰度图像数据中的60%数据训练图像分类网络,并使用剩余40%数据对训练后的图像分类网络进行测试。8.根据权利要求5所述的装置,其特征在于,所述检测模块还配置为:使用硬盘对待检测的虚拟机的网络流量数据进行缓存;采集缓存后的虚拟机流量数据特征;将采集的流量数据特征转化为灰度图像数据;将灰度图像数据输入到训练后的模型中进行检测。9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-4任意一项所述方法的步骤。10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-4任意一项所述方法的步骤。

技术总结
本发明提供了一种恶意虚拟机检测的方法、装置、设备及可读介质,该方法包括:提取开源数据集中的流量数据特征,并使用提取到的数据特征对神经网络进行训练以得到训练后的模型;采集虚拟机流量数据特征,并使用训练后的模型对采集到的数据特征进行检测;响应于检测到采集到的数据特征异常,发出异常警告并屏蔽虚拟机流量。通过使用本发明的方案,能够使得虚拟化环境中虚拟机的网络流量可以进行检测,能够检测出僵尸网络流量并进行报警提示,能够提高整个云管理平台的安全性,能够对恶意虚拟机进行流量屏蔽。流量屏蔽。流量屏蔽。


技术研发人员:晏海龙
受保护的技术使用者:济南浪潮数据技术有限公司
技术研发日:2021.11.05
技术公布日:2022/3/7

专利

最新回复(0)