本发明专利技术提供一种基于虚拟化环境下的安全防护方法及装置。其中方法包括:安全虚拟机接收主动扫描任务,向主动扫描任务指定的客户虚拟机发送安全防护指令;安全虚拟机接收客户虚拟机响应于所述安全防护指令的文件事件处理请求;安全虚拟机获取安全处理流程的CPU占用率;所述安全虚拟机将CPU占用率与安全处理流程的CPU占用率预设阈值进行比较;若CPU占用率大于CPU占用率预设阈值,则安全虚拟机拒绝对所述文件事件处理请求中的文件事件进行处理。该安全防护方法及装置,通过在安全虚拟机中对主动扫描过程的CPU占用率进行限定,能够使得安全虚拟机能够对客户虚拟机中文件监控的文件事件做出快速响应,从而提高了客户虚拟机的运行速度。
【技术实现步骤摘要】
基于虚拟化环境下的安全防护方法及装置
本专利技术涉及虚拟化
,特别是涉及基于虚拟化环境下的安全防护方法及装置。
技术介绍
随着硬件虚拟化技术的广泛应用,在一台物理主机上可以同时运行多个操作系统,操作系统之间相互隔离,使得对硬件设施的管理更加有效、灵活和节约。但基于虚拟化技术的操作系统部署中会面临的安全威胁问题。为了解决虚拟化环境下虚拟机安全的问题,传统的解决办法需要在每台物理主机上的各个虚拟机中部署一套安全防护软件,从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。然而,在同一物理主机上的多个虚拟机中都部署一套安全防护产品,会造成对计算资源和存储资源的占用,并且处理器CPU在监控的同时还要对其他虚拟机进行主动扫描,使得处理器CPU经常处于满负荷运行的状态,造成在监控过程中各个虚拟机中文件处理速率变慢。
技术实现思路
基于此,有必要针对传统轻代理的安全防护软件无法随时随地的对虚拟机进行安全防护的问题,提供一种能够提高虚拟机中,文件处理速率的基于虚拟化环境下的安全防护方法及装置。一种基于虚拟化环境下的安全防护方法,其中,物理主机上部署有多个客户虚拟机及安全虚拟机;所述方法包括:所述安全虚拟机接收主动扫描任务,向所述主动扫描任务指定的客户虚拟机发送安全防护指令;所述安全虚拟机接收客户虚拟机响应于所述安全防护指令的文件事件处理请求;所述安全虚拟机获取安全处理流程的CPU占用率;所述安全虚拟机将所述CPU占用率与预设阈值进行比较;若所述CPU占用率大于所述预设阈值,则所述安全虚拟机拒绝对所述文件事件处理请求中的文件事件进行处理。在其中一个实施例中,所述安全虚拟机接收到主动扫描任务时,向所述主动扫描任务指定的虚拟机发送安全防护指令的步骤包括:所述安全虚拟机从主动扫描任务中提取所述主动扫描任务指定的客户虚拟机的指定标识;所述安全虚拟机根据所述指定标识和各个客户虚拟机的预设标识,向预设标识中与所述指定标识相匹配的客户虚拟机发送安全防护指令。在其中一个实施例中,所述安全虚拟机获取安全处理流程的CPU占用率的步骤包括:获取预定时段内所述安全虚拟机的多个CPU负载值;计算多个CPU负载值的平均值,获得该预定时段内的CPU负载平均值,作为安全处理流程的CPU占用率。在其中一个实施例中,所述安全虚拟机拒绝对所述文件事件请求中的文件事件进行处理之后还包括:继续获取所述安全处理流程的CPU占用率;将CPU占用率与所述预设阈值继续进行比较;当所述安全处理流程的CPU占用率小于所述CPU占用率预设阈值时,再对所述文件事件处理请求中的文件事件进行处理。在其中一个实施例中,所述当所述安全处理流程的CPU占用率小于所述预设阈值时,再对所述文件事件进行处理的步骤还包括:获取各个客户虚拟机返回的文件事件处理请求的优先顺序;当安全处理流程的CPU占用率小于所述CPU占用率预设阈值时,按照优先顺序对所述文件事件处理请求中的文件事件进行处理。一种基于虚拟化环境下的安全防护装置,其中,物理主机部署有多个客户虚拟机及安全虚拟机,所述安全防护装置应用于安全虚拟机中;所述安全防护装置包括:指令发送模块,用于接收到主动扫描任务时,向所述主动扫描任务指定的客户虚拟机发送安全防护指令;请求接收模块,用于接收客户虚拟机响应于所述安全防护指令的文件事件处理请求;CPU占用率获取模块,用于获取安全处理流程的CPU占用率;CPU占用率比较模块,用于将所述CPU占用率与安全处理流程的CPU占用率预设阈值进行比较;事件处理模块,用于在所述CPU占用率大于所述CPU占用率预设阈值时,拒绝对所述文件事件处理请求中的文件事件进行处理。在其中一个实施例中,所述指令发送模块包括:标识提取单元,用于从主动扫描任务中提取所述主动扫描任务指定的客户虚拟机的指定标识;指令发送单元,用于根据所述指定标识和各个客户虚拟机的预设标识,向预设标识中与所述指定标识相匹配的客户虚拟机发送安全防护指令。在其中一个实施例中,所述CPU占用率获取模块还包括:CPU负载值获取单元,用于获取预定时段内所述安全虚拟机的多个CPU负载值;CPU占用率计算单元,用于计算多个CPU负载值的平均值,获得该预定时段内的CPU负载平均值,作为安全处理流程的CPU占用率。在其中一个实施例中,在所述事件处理模块拒绝对所述文件事件处理请求中的文件事件进行处理之后,所述CPU占用率获取模块还用于继续获取所述安全处理流程的CPU占用率;所述CPU占用率比较模块还用于将CPU占用率与所述CPU占用率预设阈值继续进行比较;直到所述安全处理流程的CPU占用率小于所述CPU占用率预设阈值时,所述事件处理模块还用于对所述文件事件处理请求中的文件事件进行处理。在其中一个实施例中,所述事件处理模块还包括:优先级获取单元,用于获取各个客户虚拟机返回的文件事件处理请求的优先顺序;文件事件处理单元,用于当安全处理流程的CPU占用率小于所述CPU占用率预设阈值时,按照优先顺序再对所述文件事件处理请求中的文件事件进行处理。上述基于虚拟化环境下的安全防护方法及装置,通过在安全虚拟机中,对主动扫描过程的CPU占用率进行限定,使得安全虚拟机能够有处理能力同时对客户虚拟机中文件监控的文件事件做出快速响应,从而提高了客户虚拟机的运行速度。附图说明图1为一个实施例中的部署有安全虚拟机的物理主机的结构示意图;图2为一个实施例中的基于虚拟化环境下的安全防护方法的流程示意图;图3为一个实施例中的基于虚拟化环境下的安全防护装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本专利技术基于虚拟化环境下的安全防护方法及装置进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例提供的基于虚拟化环境下的安全防护方法,可应用于图1所示的安全防护系统中,安全防护系统运行于物理主机中。该物理主机包括通过系统总线连接的处理器、非易失性存储介质、内存、网络接口、显示屏和输入系统。该物理主机上部署有多个客户虚拟机及安全虚拟机,该安全虚拟机配置有安全防护装置,用于处理监控下的文件事件,例如对客户虚拟机中的文件进行监控及处理;以及主动扫描下的文件事件,例如主动启动对客户虚拟机的病毒查杀。该处理器用于提供计算和控制能力,支撑整个物理主机的运行。该方法基于“无代理安全防护机制”,一个物理主机上部署有多个虚拟机,多个虚拟机中有预设个数的虚拟机为安全虚拟机,其余的为没有配置安全防护软件的客户虚拟机。该无代理安全防护机制由于每个虚拟机的虚拟内存对应同一物理内存空间,即相当于各个虚拟机共享一个物理内存空间,这样多个虚拟机之间便可通过该物理内存空间实现相互之间的直接通信。其中,事件管理器相当于是运行在VMM(VirtualMachineMonitor,虚拟机监管器)层的一个软件,用于实现同一物理主机内各个虚拟机之间的安全防护事件及数据的传输,其相当于各个虚拟机之间的通信管道。虚拟内存利用传统的仿真软件将VMM层中的一段存储空间仿真得到。VMM用于对各个虚拟机进行规划、部署、管路和优化。本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的物本文档来自技高网...
【技术保护点】
一种基于虚拟化环境下的安全防护方法,其特征在于,物理主机上部署有多个客户虚拟机及安全虚拟机;所述方法包括:所述安全虚拟机接收主动扫描任务,向所述主动扫描任务指定的客户虚拟机发送安全防护指令;所述安全虚拟机接收客户虚拟机响应于所述安全防护指令的文件事件处理请求;所述安全虚拟机获取安全处理流程的CPU占用率;所述安全虚拟机将所述CPU占用率与预设阈值进行比较;若所述CPU占用率大于所述预设阈值,则所述安全虚拟机拒绝对所述文件事件处理请求中的文件事件进行处理。
【技术特征摘要】
1.一种基于虚拟化环境下的安全防护方法,其特征在于,物理主机上部署有多个客户虚拟机及安全虚拟机;所述方法包括:所述安全虚拟机接收主动扫描任务,向所述主动扫描任务指定的客户虚拟机发送安全防护指令;所述安全虚拟机接收客户虚拟机响应于所述安全防护指令的文件事件处理请求;所述安全虚拟机获取安全处理流程的CPU占用率;所述安全虚拟机将所述CPU占用率与预设阈值进行比较;若所述CPU占用率大于所述预设阈值,则所述安全虚拟机拒绝对所述文件事件处理请求中的文件事件进行处理。2.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述安全虚拟机接收到主动扫描任务时,向所述主动扫描任务指定的客户虚拟机发送安全防护指令的步骤包括:所述安全虚拟机从主动扫描任务中提取所述主动扫描任务指定的客户虚拟机的指定标识;所述安全虚拟机根据所述指定标识和各个客户虚拟机的预设标识,向预设标识中与所述指定标识相匹配的客户虚拟机发送安全防护指令。3.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述安全虚拟机获取安全处理流程的CPU占用率的步骤包括:获取预定时段内所述安全虚拟机的多个CPU负载值;计算多个CPU负载值的平均值,获得该预定时段内的CPU负载平均值,作为安全处理流程的CPU占用率。4.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述安全虚拟机拒绝对所述文件事件请求中的文件事件进行处理之后还包括:继续获取所述安全处理流程的CPU占用率;将CPU占用率与预设阈值继续进行比较;当所述安全处理流程的CPU占用率小于所述预设阈值时,再对所述文件事件处理请求中的文件事件进行处理。5.根据权利要求4所述的基于虚拟化环境下的安全防护方法,其特征在于,所述当所述安全处理流程的CPU占用率小于所述预设阈值时,再对所述文件事件进行处理的步骤包括:获取各个客户虚拟机返回的文件事件处理请求的优先顺序;当安全处理流程的CPU占用率小于所述预设阈值时,按照所述优先顺序对所述文件事件处理请求中的文件事件进行处理。6.一种基于虚拟化环境下的安全防护装置,其特征在于,物理主机部署有多个...
【专利技术属性】
技术研发人员:刘青霞,
申请(专利权)人:北京瑞星信息技术股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。