基于虚拟机IO序列与Markov模型的异常行为检测

为检测虚拟机内部的IO异常行为,及时发现已知和未知的虚拟机逃逸攻击,基于硬件辅助虚拟化技术,该文提出了一种基于虚拟机IO序列的异常检测方法,包括:提出了一种异步采集技术高效采集虚拟机IO序列;建立了虚拟机IO序列与虚拟机内部进程的映射关联关系,以细粒度描述虚拟机自身IO行为;提出了一种基于双层Hash表的虚拟机IO短序列生成算法,并采用Markov链模型检测异常虚拟机IO序列。在KVM(Kernel-based virtual machine)虚拟化环境下设计并实现原型系统VMDec(virtual machine detecting),通过实验评测了VMDec系统的功能和性能。实验结果表明:VMDec能有效检测出虚拟机内部基于IO的恶意攻击以及已知和未知的虚拟机逃逸攻击,且检测误报率和性能开销在可接受范围内。