【技术实现步骤摘要】
本专利技术涉及虚拟机领域,具体地说,涉及一种用于虚拟机的沙箱保护系统及方法。
技术介绍
虚拟机的出现,极大的提高了系统资源的利用率,降低了成本。由于虚拟机拥有了完整的操作系统,拥有对系统的调用权限,因此为了保证系统的稳定性和安全,需要对虚拟机的权限进行一定的限制。在现有的虚拟化权限控制系统中,都是采用虚拟设备进行控制,并与硬件辅助虚拟化进行整合进行控制,尽力防止虚拟机获取更高的权限。随着技术的更新,在虚拟机监视器程序的漏洞越来越多的被暴露,导致虚拟机在进程中获取到更高的权限之后却没有受到任何限制,可以进行任何操作以达到破坏目的。
技术实现思路
为了解决上述问题,本专利技术提供一种可以防止虚拟机进行提权并且限制虚拟机调用权限的用于虚拟机的沙箱保护系统及方法。本专利技术的一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。本专利技术的一种用于虚拟机的沙箱保护方法,其特征在于,通过采用用于虚拟机的沙箱保护系统来实现,包括如下步骤:s1、在拥有虚拟机监 ...
【技术保护点】
一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,其特征在于,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。
【技术特征摘要】
1.一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所
述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,其特征在
于,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;
所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟
机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述
虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。
2.根据权利要求1所述的用于虚拟机的沙箱保护系统,其特征在于,所述虚拟机权限定
义模块在所述虚拟机监视模块控制的虚拟机权限范围内定义虚拟机具体的调用权限。
3.根据权利要求2所述的用于虚拟机的沙箱保护系统,其特征在于,所述数据过滤模块
禁止执行虚拟机超过所述虚拟机权限定义模块定义的权限之外的调用。
4.一种用于虚拟机的沙箱保护方法,其特征在于,所述用于虚拟机的沙箱保护方法通
过采用用于虚拟机的沙箱保护系统来实现,包括如下步骤:
s1、在拥有虚拟机监视模块的宿主机上安装用于...
【专利技术属性】
技术研发人员:黄川,刘晓毅,
申请(专利权)人:中国电子科技网络信息安全有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。