一种虚拟机进程异常行为检测方法与系统

本发明公开了一种虚拟机进程异常行为检测方法与系统，其中，检测方法包括：捕获虚拟机进程调度事件，在Hypervisor中重构Linux操作系统与Windows操作系统虚拟机进程语义信息；在Hypervisor中设置虚拟机的虚拟CPU寄存器SYSENTER_EIP_MSR指向的系统调用入口函数地址为非法地址，捕获虚拟机进程系统调用事件，获取虚拟机进程系统调用数据，重新恢复虚拟机运行；将虚拟机进程语义信息与虚拟机进程系统调用数据存入虚拟机数据日志文件；对虚拟机数据日志文件进行行为特征建模；对待测情况下得到的虚拟机进程系统调用数据构造待测模型，根据检测算法，将检测结果输出到虚拟机检测日志文件。本发明能在一定程度上发现云平台上存在的安全风险。