一种用于虚拟机的沙箱保护系统及方法技术方案

技术编号:15022514 阅读:104 留言:0更新日期:2017-04-05 00:14
一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。本发明专利技术还公开了一种用于虚拟机的沙箱保护方法。本发明专利技术的对虚拟机权限进行控制,可以保证在虚拟机进程出现权限漏洞并被利用的情况下限制用户在宿主机上的权限,有效的保证系统安全。

【技术实现步骤摘要】

本专利技术涉及虚拟机领域,具体地说,涉及一种用于虚拟机的沙箱保护系统及方法
技术介绍
虚拟机的出现,极大的提高了系统资源的利用率,降低了成本。由于虚拟机拥有了完整的操作系统,拥有对系统的调用权限,因此为了保证系统的稳定性和安全,需要对虚拟机的权限进行一定的限制。在现有的虚拟化权限控制系统中,都是采用虚拟设备进行控制,并与硬件辅助虚拟化进行整合进行控制,尽力防止虚拟机获取更高的权限。随着技术的更新,在虚拟机监视器程序的漏洞越来越多的被暴露,导致虚拟机在进程中获取到更高的权限之后却没有受到任何限制,可以进行任何操作以达到破坏目的。
技术实现思路
为了解决上述问题,本专利技术提供一种可以防止虚拟机进行提权并且限制虚拟机调用权限的用于虚拟机的沙箱保护系统及方法。本专利技术的一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。本专利技术的一种用于虚拟机的沙箱保护方法,其特征在于,通过采用用于虚拟机的沙箱保护系统来实现,包括如下步骤:s1、在拥有虚拟机监视模块的宿主机上安装用于运行虚拟机并定义限制虚拟机权限的包括虚拟机权限定义模块、数据收集模块和数据过滤模块的沙箱模块,进入步骤s2;s2、通过所述沙箱模块中的虚拟机权限定义模块在虚拟机监视模块中定义允许虚拟机拥有的权限,进入步骤s3;s3、在所述沙箱模块中启动虚拟机,进入步骤s4;s4、启动的虚拟机发出系统调用请求,进入步骤s5;s5、通过所述沙箱模块中的数据收集模块收集虚拟机发起的所有系统调用请求,进入步骤s6;s6、通过所述沙箱模块中的数据过滤模块过滤所述步骤s5中由所述数据收集模块收集到的虚拟机的所有系统调用请求,判断虚拟机的调用是否超越由所述虚拟机权限定义模块定义的权限,若是,进入步骤s7;若否,进入步骤s8;s7、拒绝执行虚拟机超越权限的调用;s8、执行虚拟机请求的系统调用。采用本专利技术的沙箱保护系统及方法,对虚拟机权限进行控制,可以保证在虚拟机进程出现权限漏洞并被利用的情况下限制用户在宿主机上的权限,即使虚拟机对权限进行了提权操作,仍然不能超越权限进行调用,有效的保证系统安全。附图说明图1是本专利技术的用于虚拟机的沙箱保护系统结构示意图;图2是本专利技术的用于虚拟机的沙箱保护方法流程示意图。具体实施方式为了更好的理解本专利技术,下面结合附图详细说明本专利技术。如图1所示,本专利技术的一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。优选地,所述虚拟机权限定义模块在所述虚拟机监视模块控制的虚拟机权限范围内定义虚拟机具体的调用权限。所述数据过滤模块禁止执行虚拟机超过所述虚拟机权限定义模块定义的权限之外的调用。本专利技术的一种用于虚拟机的沙箱保护方法,其特征在于,通过采用用于虚拟机的沙箱保护系统来实现,包括如下步骤:s1、在拥有虚拟机监视模块的宿主机上安装用于运行虚拟机并定义限制虚拟机权限的包括虚拟机权限定义模块、数据收集模块和数据过滤模块的沙箱模块,进入步骤s2;s2、通过所述沙箱模块中的虚拟机权限定义模块在虚拟机监视模块中定义允许虚拟机拥有的权限,进入步骤s3;s3、在所述沙箱模块中启动虚拟机,进入步骤s4;s4、启动的虚拟机发出系统调用请求,进入步骤s5;s5、通过所述沙箱模块中的数据收集模块收集虚拟机发起的所有系统调用请求,进入步骤s6;s6、通过所述沙箱模块中的数据过滤模块过滤所述步骤s5中由所述数据收集模块收集到的虚拟机的所有系统调用请求,判断虚拟机的调用是否超越由所述虚拟机权限定义模块定义的权限,若是,进入步骤s7;若否,进入步骤s8;s7、拒绝执行虚拟机超越权限的调用;s8、执行虚拟机请求的系统调用。优选地,所述虚拟机监视模块为虚拟机提供设备虚拟化并控制虚拟机权限;所述虚拟机权限定义模块定义虚拟机的权限不超过所述虚拟机监视模块控制的权限。采用本专利技术的沙箱保护系统及方法,对虚拟机权限进行控制,可以保证在虚拟机进程出现权限漏洞并被利用的情况下限制用户在宿主机上的权限,即使虚拟机对权限进行了提权操作,仍然不能超越权限进行调用,有效的保证系统安全。以上所述,仅为本专利技术较佳的具体实施方式,但本专利技术的保护范围并不局限于此,任何熟悉本
的技术人员在本专利技术披露的技术范围内,根据本专利技术的技术方案及其专利技术构思加以等同替换或改变,都应涵盖在本专利技术的保护范围之内。本文档来自技高网
...

【技术保护点】
一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,其特征在于,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。

【技术特征摘要】
1.一种用于虚拟机的沙箱保护系统,所述用于虚拟机的沙箱保护系统用于宿主机,所
述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,其特征在
于,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;
所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟
机所有的系统调用的数据收集模块、对所述数据收集模块收集的虚拟机的系统调用以所述
虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。
2.根据权利要求1所述的用于虚拟机的沙箱保护系统,其特征在于,所述虚拟机权限定
义模块在所述虚拟机监视模块控制的虚拟机权限范围内定义虚拟机具体的调用权限。
3.根据权利要求2所述的用于虚拟机的沙箱保护系统,其特征在于,所述数据过滤模块
禁止执行虚拟机超过所述虚拟机权限定义模块定义的权限之外的调用。
4.一种用于虚拟机的沙箱保护方法,其特征在于,所述用于虚拟机的沙箱保护方法通
过采用用于虚拟机的沙箱保护系统来实现,包括如下步骤:
s1、在拥有虚拟机监视模块的宿主机上安装用于...

【专利技术属性】
技术研发人员:黄川刘晓毅
申请(专利权)人:中国电子科技网络信息安全有限公司
类型:发明
国别省市:四川;51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1