云基础设施的恶意软件检测是必要的。为了避免被恶意软件发现,针对云基础设施的特点,设计了一个外部的恶意软件检测器。首先,利用一个具有特殊权限且位于目标之外的虚拟机收集可疑进程的系统调用;然后,将收集到的系统调用转换为进程的行为图;最后,利用行为图间的相似性来判断可疑进程是否为恶意软件。实验结果表明,平均检测率为89%,误报率低于5%,检测器对客户虚拟机的性能影响不大,且能够抵抗添加率低于30%的系统调用攻击。

• 单位
  东南大学; 山西轻工职业技术学院