本发明专利技术提供一种基于虚拟化环境下的安全防护方法及装置。其中方法包括:安全虚拟机接收客户虚拟机的文件检测请求;根据文件检测请求获取文件标识;根据所述文件标识,在可信文件库中查找与所述文件标识对应的可信项,所述可信项包括客户虚拟机中系统文件的标识;若查找到所述可信项,所述安全虚拟机确认该文件为系统文件,且该文件为安全文件。该安全防护方法及装置,通过先判断文件是否为安全的系统文件,再进行查杀,能够避免安全虚拟机频繁的对各个客户虚拟机中的系统文件进行检测查杀,降低查杀频率,提高了安全虚拟机及客户虚拟机的运行速度。
【技术实现步骤摘要】
基于虚拟化环境下的安全防护方法及装置
本专利技术涉及虚拟化
,特别是涉及一种基于虚拟化环境下的安全防护方法及装置。
技术介绍
随着硬件虚拟化技术的广泛应用,在一台物理主机上可以同时运行多个虚拟操作系统,各虚拟操作系统之间相互隔离,使得对硬件设施的管理更加有效、灵活和节约。但基于虚拟化技术的操作系统部署中面临安全威胁问题。为了解决虚拟化环境下虚拟机安全的问题,传统的解决办法需要在每台物理主机上的各个虚拟机中部署一套安全防护软件,从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。然而,在同一物理主机上的多个虚拟机中都部署一套安全防护产品时,会造成对计算资源和存储资源的占用,并且安全防护软件在对各自系统内的文件进行监控或查杀时,会对各个虚拟机中的所有文件均进行监控或查杀,造成各个虚拟机中的文件处理速率变慢。
技术实现思路
基于此,确有必要提供一种能够提高虚拟机中的文件处理速率的安全防护方法及装置。一种基于虚拟化环境下的安全防护方法,其中,物理主机上部署有多个客户虚拟机及安全虚拟机;所述方法包括:所述安全虚拟机接收客户虚拟机的文件检测请求;所述安全虚拟机根据文件检测请求获取文件标识;所述安全虚拟机根据所述文件标识,在可信文件库中查找与所述文件标识对应的可信项,所述可信项包括客户虚拟机中系统文件的标识;若查找到所述可信项,所述安全虚拟机确认该文件为系统文件,且该文件为安全文件。在其中一个实施例中,所述系统文件的标识包括各客户虚拟机安装的初始操作系统中系统文件的哈希值。在其中一个实施例中,在根据所述文件标识,查找可信文件库中与所述文件标识对应的可信项之前还包括:获取任一客户虚拟机的初始操作系统中,各系统文件的路径及大小;计算所述系统文件的哈希值,并将所述哈希值存入可信项。在其中一个实施例中,所述获取任一客户虚拟机的初始操作系统中,各系统文件的路径及大小包括:获取任一客户虚拟机的初始做操系统中,各系统文件的绝对路径。在其中一个实施例中,所述安全虚拟机根据所述文件标识,查找所述可信文件库中所述系统文件的标识的步骤包括:获取文件的文件名及大小;根据文件的文件名及大小计算文件的哈希值;将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对,查找所述可信文件库中是否存在与文件的哈希值对应的可信项。一种基于虚拟化环境下的安全防护装置,其中,物理主机部署有多个客户虚拟机及安全虚拟机,所述安全防护装置配置于安全虚拟机中,所述安全防护装置包括:文件检测请求接收模块,用于接收客户虚拟机的文件检测请求;文件标识获取模块,用于根据文件检测请求获取文件的文件标识;标识查询模块,用于根据所述文件标识,在可信文件库中查找与所述文件标识对应的可信项,所述可信文件库包括客户虚拟机中的系统文件的标识;可信文件判断模块,用于在查找到所述可信项时,确认该文件为系统文件,且该文件为安全文件。在其中一个实施例中,所述系统文件的标识包括各客户虚拟机安装的初始操作系统中系统文件的哈希值。在其中一个实施例中,所述安全防护装置还包括文件库加载模块,所述文件库加载模块包括:文件信息获取单元,用于获取任一客户虚拟机的初始操作系统中,各系统文件的路径及大小;文件库存储单元,用于计算所述系统文件的哈希值,并将所述哈希值存入可信项。在其中一个实施例中,所述各系统文件的路径,为各系统文件所在客户虚拟机中的绝对路径。在其中一个实施例中,所述可信文件判断模块还包括:文件信息监测单元,用于获取文件的文件名及大小;哈希值计算单元,用于根据文件的文件名及大小计算文件的哈希值;哈希值比对单元,用于将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对,查找所述可信文件库中是否存在与文件的哈希值对应的可信项。上述基于虚拟化环境下的安全防护方法及装置,在安全虚拟机对待检测的文件进行检测之前,通过先判断该文件是否为安全的系统文件,能够避免安全虚拟机频繁的对各个客户虚拟机中的系统文件进行检测查杀,降低了查杀频率,从而提高了安全虚拟机及客户虚拟机的运行速度。附图说明图1为一个实施例中的部署有安全虚拟机的物理主机的结构示意图;图2为一个实施例中的基于虚拟化环境下的安全防护方法的流程示意图;图3为一个实施例中加载可信文件库的步骤的流程示意图;图4为一个实施例中查找可信文件库的步骤的流程示意图;图5为一个实施例中的基于虚拟化环境下的安全防护装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本专利技术基于虚拟化环境下的安全防护方法及装置进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例提供的基于虚拟化环境下的安全防护方法,可应用于图1所示的安全防护系统中,安全防护系统运行于物理主机中。该物理主机包括通过系统总线连接的处理器、非易失性存储介质、内存、网络接口、显示屏和输入系统。该物理主机上部署有多个客户虚拟机及安全虚拟机,该安全虚拟机配置有安全防护装置,用于处理监控下的文件事件,例如对客户虚拟机中的文件进行监控及处理;以及处理主动扫描下的文件事件,例如主动启动对客户虚拟机的病毒查杀。该处理器用于提供计算和控制能力,支撑整个物理主机的运行。该方法基于“无代理安全防护机制”,一个物理主机上部署有多个虚拟机,多个虚拟机中有预设个数的虚拟机为安全虚拟机,其余的为没有配置安全防护软件的客户虚拟机。该无代理安全防护机制由于每个虚拟机的虚拟内存对应同一物理内存空间,即相当于各个虚拟机共享一个物理内存空间,这样多个虚拟机之间便可通过该物理内存空间实现相互之间的直接通信。其中,事件管理器相当于是运行在VMM(VirtualMachineMonitor,虚拟机监管器)层的一个软件,用于实现同一物理主机内各个虚拟机之间的安全防护事件及数据的传输,其相当于各个虚拟机之间的通信管道。虚拟内存利用传统的仿真软件将VMM层中的一段存储空间仿真得到。VMM用于对各个虚拟机进行规划、部署、管路和优化。本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的物理主机的限定,具体的物理主机可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。在一个实施例中,请一并参阅图1及图2,提供了一种基于虚拟化环境下的安全防护方法,利用安全虚拟机对客户虚拟机中的文件进行检测,该方法包括以下步骤:S10,接收客户虚拟机的文件检测请求;S20,根据文件检测请求获取待检测文件的文件标识;S30,根据文件标识,在可信文件库中查找与文件标识对应的可信项,该可信项包括各客户虚拟机中系统文件的标识;S40,若查找到该可信项,安全虚拟机确认该文件为系统文件,且该文件为安全文件。在步骤S10中,在需要对客户虚拟机的文件进行监控或查杀时,安全虚拟机接收客户虚拟机发送的文件检测请求。在步骤S20中,安全虚拟机在接收到文件检测请求之后,根据该文件检测请求,获取待检测文件的文件标识,该文件标识可用于对该文件进行标识,以与其他文件进行区分。在步骤S30中,安全虚拟机将获取的文件标识与可信文件库中的可信项进行比对,查找可信文件库中,是否存在与该文件标识对应的可信项。其中,本文档来自技高网...
【技术保护点】
一种基于虚拟化环境下的安全防护方法,其特征在于,物理主机上部署有多个客户虚拟机及安全虚拟机;所述方法包括:所述安全虚拟机接收客户虚拟机的文件检测请求;所述安全虚拟机根据文件检测请求获取文件标识;所述安全虚拟机加载可信文件库,所述可信文件库包括多个可信项,所述可信项包括客户虚拟机中系统文件的标识;根据所述文件标识,在可信文件库中查找与所述文件标识对应的可信项,若查找到所述可信项,所述安全虚拟机确认该文件为系统文件,且该文件为安全文件。
【技术特征摘要】
1.一种基于虚拟化环境下的安全防护方法,其特征在于,物理主机上部署有多个客户虚拟机及安全虚拟机;所述方法包括:所述安全虚拟机接收客户虚拟机的文件检测请求;所述安全虚拟机根据文件检测请求获取文件标识;所述安全虚拟机加载可信文件库,所述可信文件库包括多个可信项,所述可信项包括客户虚拟机中系统文件的标识;根据所述文件标识,在可信文件库中查找与所述文件标识对应的可信项,若查找到所述可信项,所述安全虚拟机确认该文件为系统文件,且该文件为安全文件。2.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述系统文件的标识包括各客户虚拟机安装的初始操作系统中系统文件的哈希值。3.根据权利要求2所述的基于虚拟化环境下的安全防护方法,其特征在于,在根据所述文件标识,查找可信文件库中与所述文件标识对应的可信项之前还包括:获取任一客户虚拟机的初始操作系统中,各系统文件的路径及大小;计算所述系统文件的哈希值,并将所述哈希值存入可信项。4.根据权利要求3所述的基于虚拟化环境下的安全防护方法,其特征在于,所述获取任一客户虚拟机的初始操作系统中,各系统文件的路径及大小包括:获取任一客户虚拟机的初始做操系统中,各系统文件的绝对路径。5.根据权利要求2所述的基于虚拟化环境下的安全防护方法,其特征在于,所述安全虚拟机根据所述文件标识,查找所述可信文件库中所述系统文件的标识的步骤包括:获取文件的文件名及大小;根据文件的文件名及大小计算文件的哈希值;将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对,查找所述可信文件库中是否存在与文件的哈希值对应的可信项。6.一种...
【专利技术属性】
技术研发人员:王宇星,
申请(专利权)人:北京瑞星信息技术股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。