基于虚拟化环境下的安全防护方法及系统技术方案

本发明专利技术提供一种基于虚拟化环境下的安全防护方法及系统。其中方法包括：安全虚拟机接收到主动扫描任务后，向主动扫描任务指定的虚拟机发送安全防护事件；指定的虚拟机接收到所述安全防护事件后，根据安全防护事件生成待检测数据，并通过其对应的虚拟机内存将待检测数据写入物理内存空间中；安全虚拟机对物理内存空间中的待检测数据进行安全检测，并在检测到待检测数据中存在病毒信息时，对待检测数据中的病毒信息进行查杀处理，并将查杀处理后的待检测数据反馈给指定的虚拟机。其能够避免在同一物理主机的多个虚拟机中重复部署多个安全防护软件时对资源的占用，且安全防护软件能够随时随地的对虚拟机进行主动安全防护。

Security protection method and system based on Virtualization environment

The invention provides a security protection method and system based on a virtualized environment. The method includes: receiving security virtual machine active scanning task after scanning the virtual machine to send to active safety event task specified; the specified virtual machine receives the security incident, according to security events generated data to be detected, and by the virtual machine memory should be the detection will be written to the physical data the memory space; security virtual machine safety testing data to be detected physical memory space, and the virus information data to be measured in detection, killing and virus information in the detection data, and killing the processed data to be detected and feedback to the specified virtual machine. The utility model can avoid the occupation of resources when repeatedly deploying multiple security protection software in a plurality of virtual machines of the same physical host, and the security protection software can actively and safely protect the virtual machine at any time and place.

【技术实现步骤摘要】
基于虚拟化环境下的安全防护方法及系统
本专利技术涉及虚拟化
，特别是涉及基于虚拟化环境下的安全防护方法及系统。
技术介绍
随着硬件虚拟化技术的广泛应用，在一台物理主机上可以同时运行多个操作系统，操作系统之间相互隔离，使得对硬件设施的管理更加有效、灵活和节约。例如：可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上，从而达到资源的合理分配；又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上，并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题，在虚拟化的部署过程中也会面临。为了解决虚拟化环境下虚拟机安全的问题，传统的解决办法如图1所示，需要在每台物理主机上的各个虚拟机中部署一套安全防护软件，从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品，会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用，可采用一种轻代理的方式，轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理，虚拟机中只保留最低限度的安全引擎服务数据。但将安全防护软件中的数据移到云端服务器，虚拟机在进行安全引擎时，需要占用一定的网络带宽并对网络环境的响应速度有一定的要求。安全防护软件在对虚拟机进行主动安全防护时，对网络环境有一定的要求，无法随时随地的对虚拟机进行安全防护。
技术实现思路
基于此，有必要针对传统轻代理的安全防护软件无法随时随地的对虚拟机进行安全防护的问题，提供一种能够随时随地的对虚拟机进行安全防护的基于虚拟化环境下的安全防护方法及系统。为达到专利技术目的，提供一种基于虚拟化环境下的安全防护方法，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：所述安全虚拟机接收到主动扫描任务后，向所述主动扫描任务指定的虚拟机发送安全防护事件；所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中；所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测，并在检测到所述待检测数据中存在病毒信息时，对所述待检测数据中的病毒信息进行查杀处理，并将查杀处理后的待检测数据反馈给所述主动扫描任务指定的虚拟机。在其中一个实施例中，所述安全虚拟机接收到主动扫描任务时，向所述主动扫描任务指定的虚拟机发送安全防护事件的步骤包括：所述安全虚拟机接收到所述主动扫描任务后，从主动扫描任务中提取所述主动扫描任务指定的虚拟机的指定标记信息；所述安全虚拟机根据所述指定标记信息和各个所述虚拟机的自身标记信息，向与所述指定标记信息相匹配的自身标记信息对应的虚拟机发送安全防护事件。在其中一个实施例中，所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中的步骤包括：所述指定的虚拟机由所述安全防护事件中提取指定的文件目录信息；所述指定的虚拟机根据所述指定的文件目录信息获取指定的文件目录下的数据作为所述待检测数据；所述指定的虚拟机将所述待检测数据缓存入所述指定的虚拟机对应的指定虚拟内存中，并根据所述指定虚拟内存与所述物理内存空间的映射关系将所述待检测数据写入所述物理内存空间中。在其中一个实施例中，所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的步骤包括：当所述指定的虚拟机为多个时，所述安全虚拟机获取各个所述指定的虚拟机将所述待检测数据写入所述物理内存空间中的写入优先顺序或由所述安全防护事件中提取各个所述指定的虚拟机的预设优先级；所述安全虚拟机按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果。在其中一个实施例中，所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中的步骤之后，还包括：所述安全虚拟机根据其自身的安全虚拟内存与所述物理内存空间之间的映射关系将写入所述物理内存空间中的所述待检测数据存储在所述安全虚拟内存中。本专利技术还提供一种基于虚拟化环境下的安全防护系统，所述系统包括物理主机，所述物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中预设个数的虚拟机被配置为安全虚拟机；所述安全虚拟机包括发送模块和检测模块，所述虚拟机包括生成写入模块；其中：所述发送模块，用于在所述安全虚拟机接收到主动扫描任务后，向所述主动扫描任务指定的虚拟机发送安全防护事件；所述生成写入模块，用于在主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中；所述检测模块，用于对所述物理内存空间中的待检测数据进行安全检测，并在检测到所述待检测数据中存在病毒信息时，对所述待检测数据中的病毒信息进行查杀处理，并将查杀处理后的待检测数据反馈给所述主动扫描任务指定的虚拟机。在其中一个实施例中，所述发送模块包括：第一提取单元，用于在所述安全虚拟机接收到所述主动扫描任务后，从主动扫描任务中提取所述主动扫描任务指定的虚拟机的指定标记信息；发送单元，用于根据所述指定标记信息和各个所述虚拟机的自身标记信息，向与所述指定标记信息相匹配的自身标记信息对应的虚拟机发送安全防护事件。在其中一个实施例中，所述生成写入模块还包括：第二提取单元，用于在所述指定的虚拟机接收到所述安全防护事件后，由所述安全防护事件中提取指定的文件目录信息；第一获取单元，用于根据所述指定的文件目录信息获取指定的文件目录下的数据作为所述待检测数据；写入单元，用于将所述待检测数据缓存入所述指定的虚拟机对应的指定虚拟内存中，并根据所述指定虚拟内存与所述物理内存空间的映射关系将所述待检测数据写入所述物理内存空间中。在其中一个实施例中，所述检测模块包括：第二获取单元，用于当指定的虚拟机为多个时，获取各个所述指定的虚拟机将所述待检测数据写入所述物理内存空间中的写入优先顺序或由所述安全防护事件中提取各个所述指定的虚拟机的预设优先级；检测单元，用于按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果。在其中一个实施例中，所述安全虚拟机还包括：存储模块，用于在将所述待检测数据通过接收所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间之后，根据所述安全虚拟机的安全虚拟内存与所述物理内存空间之间的映射关系将写入所述物理内存空间中的所述待检测数据存储在所述安全虚拟内存中。本专利技术的有益效果包括：上述基于虚拟化环境下的安全防护方法及系统，由于利用了“无代理安全防护机制”，因此能够避免在同一物理主机的多个虚拟机中重复部署多个安全防护软件时对计算资源和存储资源的占用，并且在安全虚拟机对其他本文档来自技高网...

【技术保护点】
一种基于虚拟化环境下的安全防护方法，其特征在于，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：所述安全虚拟机接收到主动扫描任务后，向所述主动扫描任务指定的虚拟机发送安全防护事件；所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中；所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测，并在检测到所述待检测数据中存在病毒信息时，对所述待检测数据中的病毒信息进行查杀处理，并将查杀处理后的待检测数据反馈给所述主动扫描任务指定的虚拟机。

【技术特征摘要】
1.一种基于虚拟化环境下的安全防护方法，其特征在于，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：所述安全虚拟机接收到主动扫描任务后，向所述主动扫描任务指定的虚拟机发送安全防护事件；所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中；所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测，并在检测到所述待检测数据中存在病毒信息时，对所述待检测数据中的病毒信息进行查杀处理，并将查杀处理后的待检测数据反馈给所述主动扫描任务指定的虚拟机。2.根据权利要求1所述的基于虚拟化环境下的安全防护方法，其特征在于，所述安全虚拟机接收到主动扫描任务时，向所述主动扫描任务指定的虚拟机发送安全防护事件的步骤包括：所述安全虚拟机接收到所述主动扫描任务后，从主动扫描任务中提取所述主动扫描任务指定的虚拟机的指定标记信息；所述安全虚拟机根据所述指定标记信息和各个所述虚拟机的自身标记信息，向与所述指定标记信息相匹配的自身标记信息对应的虚拟机发送安全防护事件。3.根据权利要求2所述的基于虚拟化环境下的安全防护方法，其特征在于，所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中的步骤包括：所述指定的虚拟机由所述安全防护事件中提取指定的文件目录信息；所述指定的虚拟机根据所述指定的文件目录信息获取指定的文件目录下的数据作为所述待检测数据；所述指定的虚拟机将所述待检测数据缓存入所述指定的虚拟机对应的指定虚拟内存中，并根据所述指定虚拟内存与所述物理内存空间的映射关系将所述待检测数据写入所述物理内存空间中。4.根据权利要求3所述的基于虚拟化环境下的安全防护方法，其特征在于，所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的步骤包括：当所述指定的虚拟机为多个时，所述安全虚拟机获取各个所述指定的虚拟机将所述待检测数据写入所述物理内存空间中的写入优先顺序或由所述安全防护事件中提取各个所述指定的虚拟机的预设优先级；所述安全虚拟机按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果。5.根据权利要求1至4任一项所述的基于虚拟化环境下的安全防护方法，其特征在于，所述主动扫描任务指定的虚拟机接收到所述安全防护事件后，根据所述安全防护事件生成待检测数据，并通过其对应的虚拟机内存将所述待检测数据写入所述物理内存空间中的步骤之后，还包括：所述安全虚拟机根据其自身的安全虚拟内存与所述物理内存空间之间的映射关系...

【专利技术属性】
技术研发人员：王宇星，
申请(专利权)人：北京瑞星信息技术股份有限公司，
类型：发明
国别省市：北京,11