基于虚拟化环境下的安全防护方法及系统技术方案

本发明专利技术提供一种基于虚拟化环境下的安全防护方法及系统。其中方法包括：当有虚拟机捕获到安全防护事件时，捕获到安全防护事件的虚拟机作为第一虚拟机获取安全防护事件对应的待检测数据；第一虚拟机向安全虚拟机发送标识其身份的第一标记信息，并将待检测数据通过其自身的第一虚拟内存写入物理内存空间；安全虚拟机接收到所述第一标记信息后，对写入在物理内存空间的待检测数据进行安全检测，得到检测结果，并根据第一标记信息将检测结果反馈给所述第一虚拟机。其对网络环境无要求，因此能够在无网络的情况下实现对虚拟机捕获到的安全防护事件对应的数据进行安全防护，进而防止携带有安全威胁的安全防护事件威胁该虚拟机。

【技术实现步骤摘要】
基于虚拟化环境下的安全防护方法及系统
本专利技术涉及虚拟化
，特别是涉及基于虚拟化环境下的安全防护方法及系统。
技术介绍
随着硬件虚拟化技术的广泛应用，在一台物理主机上可以同时运行多个操作系统，操作系统之间相互隔离，使得对硬件设施的管理更加有效、灵活和节约。例如：可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上，从而达到资源的合理分配；又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上，并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题，在虚拟化的部署过程中也会面临。为了解决虚拟化环境下虚拟机安全的问题，传统的解决办法如图1所示，需要在每台物理主机上的各个虚拟机中部署一套安全防护软件，从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品，会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用，可采用一种轻代理的方式，轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理，虚拟机中只保留最低限度的安全引擎服务数据。但将安全防护软件中的数据移到云端服务器，虚拟机在进行安全引擎时，需要占用一定的网络带宽并对网络环境及其响应速度有一定的要求，这样当物理主机中的虚拟机捕获到安全防护事件而又无网络或网络环境较差的情况下，将无法实时地对捕获到的安全防护事件对应的数据进行安全防护。
技术实现思路
基于此，有必要针对传统轻代理的安全防护软件在无网络或网络环境较差的情况下无法实时地对虚拟机捕获到的安全防护事件对应的数据进行安全防护的问题，提供一种即使在无网络的情况下也能够实时对虚拟机捕获到的安全防护事件对应的数据进行安全防护的基于虚拟化环境下的安全防护方法及系统。为达到专利技术目的，提供一种基于虚拟化环境下的安全防护方法，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：当有虚拟机捕获到安全防护事件时，捕获到所述安全防护事件的虚拟机作为第一虚拟机获取所述安全防护事件对应的待检测数据；所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间；所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机。在其中一个实施例中，在所述安全虚拟机根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机之后，还包括：所述第一虚拟机接收所述检测结果，并由所述检测结果中提取所述待检测数据的安全信息；所述第一虚拟机根据所述安全信息判断所述待检测数据是否为安全数据；若是，则执行所述安全防护事件；若否，则不执行所述安全防护事件。在其中一个实施例中，所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间的步骤包括：所述第一虚拟机将所述待检测数据缓存在所述第一虚拟内存中；所述第一虚拟机向所述安全虚拟机发送所述第一标记信息，并在接收到所述安全虚拟机根据所述第一标记信息反馈的安全检测信号时，根据所述第一虚拟内存与所述物理内存空间的映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述物理内存空间。在其中一个实施例中，所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机的步骤包括：当捕获所述安全防护事件的第一虚拟机为多个时，所述安全虚拟机获取各个所述第一虚拟机将对应的待检测数据写入所述物理内存空间的写入优先顺序或各个所述第一虚拟机的预设优先级；所述安全虚拟机按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果，并将各个所述检测结果反馈给相应的第一虚拟机。在其中一个实施例中，在所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果的步骤之前，还包括：所述安全虚拟机根据其安全虚拟内存与所述物理内存空间之间的映射关系将写入所述物理内存空间中的所述待检测数据存储在所述安全虚拟机内存中。本专利技术还提供一种基于虚拟化环境下的安全防护系统，所述系统包括物理主机，所述物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中预设个数的虚拟机被配置为安全虚拟机；所述虚拟机包括获取模块和发送写入模块，所述安全虚拟机包括检测反馈模块；其中：所述获取模块，用于当有虚拟机捕获到安全防护事件时，捕获到所述安全防护事件的虚拟机作为第一虚拟机获取所述安全防护事件对应的待检测数据；发送写入模块，用于在所述第一虚拟机捕获到所述安全防护事件之后，向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过所述第一虚拟机的第一虚拟内存写入所述物理内存空间；所述检测反馈模块，用于在所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机。在其中一个实施例中，所述虚拟机还包括：提取模块，用于在所述第一虚拟机接收所述检测结果后，由所述检测结果中提取所述待检测数据的安全信息；判断模块，用于根据所述安全信息判断所述待检测数据是否为安全数据；若是，则执行所述安全防护事件；若否，则不执行所述安全防护事件。在其中一个实施例中，所述发送写入模块包括：缓存单元，用于在所述第一虚拟机捕获到所述安全防护事件之后，将所述安全防护事件对应的所述待检测数据缓存在所述第一虚拟内存中；发送写入单元，用于向所述安全虚拟机发送所述第一标记信息，并在接收到所述安全虚拟机根据所述第一标记信息反馈的安全检测信号时，根据所述第一虚拟内存与所述物理内存空间的映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述物理内存空间。在其中一个实施例中，所述检测反馈模块包括：获取单元，用于当捕获所述安全防护事件的第一虚拟机为多个时，获取各个所述第一虚拟机将对应的待检测数据写入所述物理内存空间的写入优先顺序或各个所述第一虚拟机的预设优先级；检测单元，用于按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果，并将各个所述检测结果反馈给相应的第一虚拟机。在其中一个实施例中，所述安全虚拟机还包括：存储模块，用于在所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果的步骤之前，根据所述安全虚拟机的安全虚拟内存与所述物理内存空间之间的映射关系将写入所述物理内存空间中的所述待检测数据存储在所述安全虚拟机内存中。本专利技术的有益效本文档来自技高网...

【技术保护点】
一种基于虚拟化环境下的安全防护方法，其特征在于，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：当有虚拟机捕获到安全防护事件时，捕获到所述安全防护事件的虚拟机作为第一虚拟机获取所述安全防护事件对应的待检测数据；所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间；所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机。

【技术特征摘要】
1.一种基于虚拟化环境下的安全防护方法，其特征在于，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：当有虚拟机捕获到安全防护事件时，捕获到所述安全防护事件的虚拟机作为第一虚拟机获取所述安全防护事件对应的待检测数据；所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间；所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机。2.根据权利要求1所述的基于虚拟化环境下的安全防护方法，其特征在于，在所述安全虚拟机根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机之后，还包括：所述第一虚拟机接收所述检测结果，并由所述检测结果中提取所述待检测数据的安全信息；所述第一虚拟机根据所述安全信息判断所述待检测数据是否为安全数据；若是，则执行所述安全防护事件；若否，则不执行所述安全防护事件。3.根据权利要求1所述的基于虚拟化环境下的安全防护方法，其特征在于，所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间的步骤包括：所述第一虚拟机将所述待检测数据缓存在所述第一虚拟内存中；所述第一虚拟机向所述安全虚拟机发送所述第一标记信息，并在接收到所述安全虚拟机根据所述第一标记信息反馈的安全检测信号时，根据所述第一虚拟内存与所述物理内存空间的映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述物理内存空间。4.根据权利要求1所述的基于虚拟化环境下的安全防护方法，其特征在于，所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机的步骤包括：当捕获所述安全防护事件的第一虚拟机为多个时，所述安全虚拟机获取各个所述第一虚拟机将对应的待检测数据写入所述物理内存空间的写入优先顺序或各个所述第一虚拟机的预设优先级；所述安全虚拟机按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果，并将各个所述检测结果反馈给相应的第一虚拟机。5.根据权利要求1至4任一项所述的基于虚拟化环境下的安全防护方法，其特征在于，在所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果的步骤之前，还包括：所述安全虚拟机根据其安全虚拟内存与所述物理内存空间之间的映射关系将写入所述物理内存空间中的所述待检测数...

【专利技术属性】
技术研发人员：刘思宇，
申请(专利权)人：北京瑞星信息技术股份有限公司，
类型：发明
国别省市：北京,11