基于虚拟化环境下的安全防护方法及系统和物理主机技术方案
Security protection method and system and physical host based on Virtualization environment
The invention provides a security protection method and a system and a physical host based on a virtualized environment. The method comprises the following steps: selecting a virtual machine preset number of multiple virtual machines deployed from the physical host in the virtual machine configuration and selected for secure virtual machine; create virtual memory for each virtual machine physical host, virtual memory of each virtual machine corresponding to the same physical memory space; when detecting a security event occurs, access security events corresponding to the data to be detected, and the virtual memory data to be detected by the virtual machine security door event into the physical memory space; the safety detection of test data to physical memory space in the use of secure virtual machine, get the appropriate test results, test the feedback to the virtual machine security door event. It not only reduces the use of computing resources or storage resources, but also has no requirement for the network environment.
【技术实现步骤摘要】
基于虚拟化环境下的安全防护方法及系统和物理主机
本专利技术涉及虚拟化
,特别是涉及基于虚拟化环境下的安全防护方法及系统和物理主机。
技术介绍
随着硬件虚拟化技术的广泛应用,在一台物理主机上可以同时运行多个操作系统,操作系统之间相互隔离,使得对硬件设施的管理更加有效、灵活和节约。例如:可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上,从而达到资源的合理分配;又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上,并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题,在虚拟化的部署过程中也会面临。为了解决虚拟化环境下虚拟机安全的问题,传统的解决办法如图1所示,需要在每台物理主机上的各个虚拟机中部署一套安全防护软件,从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品,会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用,可采用一种轻代理的方式,轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理,虚拟机中只保留最低限度的安全引擎服务数据。但将安全防护软件中的数据移到云端服务器,虚拟机在进行安全引擎时,需要占用一定的网络带宽并对网络环境的响应速度有一定的要求,这样如果无网络或网络环境比较差时,安全防护软件将不能很好地对虚拟机起到防护作用。
技术实现思路
基于此,有必要针对传统在同一物理主机的多个虚拟机中重复部署安全防护软件造成的资源占用及为了减轻对资源的占...
【技术保护点】
一种基于虚拟化环境下的安全防护方法,其特征在于,所述方法包括:从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果;将所述检测结果反馈给将要发生安全防护事件的虚拟机。
【技术特征摘要】
1.一种基于虚拟化环境下的安全防护方法,其特征在于,所述方法包括:从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果;将所述检测结果反馈给将要发生安全防护事件的虚拟机。2.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机的步骤之后,还包括:获取所述安全虚拟机的安全标记信息,并将所述安全标记信息分发给各个所述虚拟机;当检测到所述虚拟机有安全防护事件发生时,根据所述安全标记信息将发生所述安全防护事件的虚拟机的标记信息发送给所述安全虚拟机,以通知所述安全虚拟机对所述安全防护事件对应的待检测数据进行安全检测。3.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间步骤包括:在所述物理主机的物理内存中划分出预设内存作为所述共享内存空间;建立各个所述虚拟机的虚拟内存与所述共享内存空间的映射关系;利用所述映射关系将所述待检测数据写入或读出所述共享内存空间;其中,所述共享内存空间为各个所述虚拟机的虚拟内存对应的同一物理内存空间。4.根据权利要求3所述的基于虚拟化环境下的安全防护方法,其特征在于,所述共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。5.根据权利要求3所述的基于虚拟化环境下的安全防护方法,其特征在于,所述当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间的步骤包括:当检测到安全防护事件时,由所述安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由所述安全防护事件中提取所述待检测数据;将所述第一标记信息发送给所述安全虚拟机,将所述待检测数据缓存到所述将要发生安全防护事件的虚拟机的第一虚拟内存中;当接收到所述安全虚拟机反馈的安全检测信号时,根据所述映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述共享内存空间中。6.根据权利要求5所述的基于虚拟化环境下的安全防护方法,其特征在于,所述利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,以及将所述检测结果反馈给发生安全防护事件的虚拟机的步骤包括:获取所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的检测结果;由所述检测结果中提取与所述待检测数据对应的虚拟机的第一标记信息和所述待检测数据的安全信息;根据所述第一标记信息将所述待检测数据的安全信息反馈给与所述第一标记信息相对应的虚拟机。7.一种基于虚拟化环境下的安全防护系统,其特征在于,所述系统包括:配置模块,用于从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;创建模块,用于为所述物理主机中的每个虚拟机创建虚拟内存,各个...
【专利技术属性】
技术研发人员:王宇星,
申请(专利权)人:北京瑞星信息技术股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。