The invention discloses a detection method of virtual machine system files, the system disk image file to the virtual machine disk file as a virtual machine disk device, the system disk image file as a disk device is inserted into a privileged domain, that is to say the file system of the virtual machine is complete in the privileged domain. So you can get the disk file to mount and detect the disk file security via the offset, and through the safety measure and measure the value expansion mode to detect the virtual machine disk file, do not need to directly compare the contents of the file, so you can avoid virtual machine data directly exposed, make the detection process more secure. The embodiment of the invention also discloses a detecting device for the virtual machine system file, which can also realize the above technical effect.
【技术实现步骤摘要】
一种虚拟机系统文件的检测方法与装置
本专利技术涉及虚拟机安全领域,更具体地说,涉及一种虚拟机系统文件的检测方法与装置。
技术介绍
近年来虚拟化技术得到了快速发展,大部分的业务平台已由传统的物理硬件平台迁移到了虚拟化平台。随着大量业务迁移到虚拟平台,针对虚拟机的攻击逐年增长,越来越多的第三方攻击者向虚拟机内植入恶意代码、病毒等,从而造成虚拟机内部的数据损坏、丢失等。由此可见,虚拟机平台的安全问题十分重要。目前检测虚拟机是否已被攻击是通过获取虚拟机磁盘文件,然后将磁盘文件作为一个虚拟磁盘文件,读取offset值后进行挂载,再通过读取文件信息判断文件是否被恶意修改。但是随着虚拟化技术的成熟,为了低资源成本和提高平台部署速度,虚拟机模板技术应运而生,由于模板技术中使用的磁盘快照增量技术,使得一个虚拟机磁盘镜像文件只保存增量内容而无法查看所有内容,整个虚拟机文件系统是不完整的,因此再采用现有的安全检测技术时,不能通过offset值获取文件进行挂载。而且现有的检测方法是通过直接对文件内容进行比较,效率很低而且虚拟机数据直接暴露出来,十分不安全。因此,如何对模板生成的文件系统进行安全检测,是本领域技术人员需要解决的问题。
技术实现思路
本专利技术的目的在于提供一种虚拟机系统文件的检测方法与装置,以对模板生成的文件系统进行安全检测。为实现上述目的,本专利技术实施例提供了如下技术方案:一种虚拟机系统文件的检测方法,包括:获取待度量虚拟机的系统磁盘镜像文件;在特权域中添加虚拟磁盘设备,并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件;激活所述虚拟磁盘设备,并对所述虚拟磁盘设 ...
【技术保护点】
一种虚拟机系统文件的检测方法,其特征在于,包括:获取待度量虚拟机的系统磁盘镜像文件;在特权域中添加虚拟磁盘设备,并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件;激活所述虚拟磁盘设备,并对所述虚拟磁盘设备的磁盘进行挂载;利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件,获得度量值与度量扩展值,利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。
【技术特征摘要】
1.一种虚拟机系统文件的检测方法,其特征在于,包括:获取待度量虚拟机的系统磁盘镜像文件;在特权域中添加虚拟磁盘设备,并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件;激活所述虚拟磁盘设备,并对所述虚拟磁盘设备的磁盘进行挂载;利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件,获得度量值与度量扩展值,利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。2.根据权利要求1所述的检测方法,其特征在于,对所述虚拟磁盘设备的磁盘进行挂载,包括:判断所述虚拟磁盘设备的磁盘是否使用LVM进行管理;若是,则获取所述虚拟磁盘设备的磁盘的sector大小与所述磁盘的每个分区的开始sector编号;利用所述sector大小与所述开始sector编号计算得到每个分区的offset值;利用所述offset值对磁盘进行挂载;若否,则对所述待度量虚拟机的磁盘镜像进行装载;获取LVM卷组信息,并利用所述LVM卷组信息激活逻辑卷组;利用激活后的逻辑卷则信息对磁盘进行挂载。3.根据权利要求2所述的检测方法,其特征在于,当所述虚拟磁盘设备的磁盘没有使用LVM进行管理时,所述利用所述度量值与度量扩展值判断所述系统磁盘镜像文件是否被篡改后,还包括:使用umount卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备。4.根据权利要求2所述的检测方法,其特征在于,当所述虚拟磁盘设备的磁盘使用LVM进行管理时,所述利用所述度量值与度量扩展值判断所述系统磁盘镜像文件是否被篡改后,还包括:将所述逻辑卷组取消激活,使用kpartx卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备。5.根据权利要求3或4所述的检测方法,其特征在于,在所述卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备,还包括:将所述虚拟磁盘设备销毁。6....
【专利技术属性】
技术研发人员:韩春超,
申请(专利权)人:浪潮北京电子信息产业有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。