一种虚拟机系统文件的检测方法与装置制造方法及图纸

本发明专利技术公开了一种虚拟机系统文件的检测方法，通过将虚拟机的系统磁盘镜像文件作为虚拟机磁盘设备的磁盘文件，使系统磁盘镜像文件作为一块磁盘设备插入到特权域中，也就是说在特权域中虚拟机的文件系统是完整的，从而可以通过offset值获取磁盘文件进行挂载并检测磁盘文件的安全，而且通过度量值和度量扩展值的方式检测虚拟机磁盘文件的安全性，不需要直接对比文件内容，因此可以避免虚拟机数据直接暴露出来，使检测过程更安全。本发明专利技术实施例还公开了一种虚拟机系统文件的检测装置，同样可以实现以上技术效果。

Method and device for detecting file of virtual machine system

The invention discloses a detection method of virtual machine system files, the system disk image file to the virtual machine disk file as a virtual machine disk device, the system disk image file as a disk device is inserted into a privileged domain, that is to say the file system of the virtual machine is complete in the privileged domain. So you can get the disk file to mount and detect the disk file security via the offset, and through the safety measure and measure the value expansion mode to detect the virtual machine disk file, do not need to directly compare the contents of the file, so you can avoid virtual machine data directly exposed, make the detection process more secure. The embodiment of the invention also discloses a detecting device for the virtual machine system file, which can also realize the above technical effect.

【技术实现步骤摘要】
一种虚拟机系统文件的检测方法与装置
本专利技术涉及虚拟机安全领域，更具体地说，涉及一种虚拟机系统文件的检测方法与装置。
技术介绍
近年来虚拟化技术得到了快速发展，大部分的业务平台已由传统的物理硬件平台迁移到了虚拟化平台。随着大量业务迁移到虚拟平台，针对虚拟机的攻击逐年增长，越来越多的第三方攻击者向虚拟机内植入恶意代码、病毒等，从而造成虚拟机内部的数据损坏、丢失等。由此可见，虚拟机平台的安全问题十分重要。目前检测虚拟机是否已被攻击是通过获取虚拟机磁盘文件，然后将磁盘文件作为一个虚拟磁盘文件，读取offset值后进行挂载，再通过读取文件信息判断文件是否被恶意修改。但是随着虚拟化技术的成熟，为了低资源成本和提高平台部署速度，虚拟机模板技术应运而生，由于模板技术中使用的磁盘快照增量技术，使得一个虚拟机磁盘镜像文件只保存增量内容而无法查看所有内容，整个虚拟机文件系统是不完整的，因此再采用现有的安全检测技术时，不能通过offset值获取文件进行挂载。而且现有的检测方法是通过直接对文件内容进行比较，效率很低而且虚拟机数据直接暴露出来，十分不安全。因此，如何对模板生成的文件系统进行安全检测，是本领域技术人员需要解决的问题。
技术实现思路
本专利技术的目的在于提供一种虚拟机系统文件的检测方法与装置，以对模板生成的文件系统进行安全检测。为实现上述目的，本专利技术实施例提供了如下技术方案：一种虚拟机系统文件的检测方法，包括：获取待度量虚拟机的系统磁盘镜像文件；在特权域中添加虚拟磁盘设备，并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件；激活所述虚拟磁盘设备，并对所述虚拟磁盘设备的磁盘进行挂载；利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件，获得度量值与度量扩展值，利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。其中，对所述虚拟磁盘设备的磁盘进行挂载，包括：判断所述虚拟磁盘设备的磁盘是否使用LVM进行管理；若是，则获取所述虚拟磁盘设备的磁盘的sector大小与所述磁盘的每个分区的开始sector编号；利用所述sector大小与所述开始sector编号计算得到每个分区的offset值；利用所述offset值对磁盘进行挂载；若否，则对所述待度量虚拟机的磁盘镜像进行装载；获取LVM卷组信息，并利用所述LVM卷组信息激活逻辑卷组；利用激活后的逻辑卷则信息对磁盘进行挂载。其中，当所述虚拟磁盘设备的磁盘没有使用LVM进行管理时，所述利用所述度量值与度量扩展值判断所述系统磁盘镜像文件是否被篡改后，还包括：使用umount卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备。其中，当所述虚拟磁盘设备的磁盘使用LVM进行管理时，所述利用所述度量值与度量扩展值判断所述系统磁盘镜像文件是否被篡改后，还包括：将所述逻辑卷组取消激活，使用kpartx卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备。其中，在所述卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备，还包括：将所述虚拟磁盘设备销毁。其中，所述利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件，包括：利用所述待度量虚拟机的度量模板获取待度量的磁盘文件列表；利用所述待度量虚拟机的度量算法度量所述磁盘文件列表中的每一个磁盘文件。其中，所述度量算法，包括SHA1算法、SHA256算法、SM3算法中的任意一种。一种虚拟机系统文件的检测装置，包括：系统磁盘镜像文件获取模块，用于获取待度量虚拟机的系统磁盘镜像文件；添加模块，用于在特权域中添加虚拟磁盘设备，并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件；挂载模块，用于激活所述虚拟磁盘设备，并对所述虚拟磁盘设备的磁盘进行挂载；度量模块，用于利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件，获得度量值与度量扩展值，利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。其中，所述挂载模块，包括：判断单元，用于判断所述虚拟磁盘设备的磁盘是否使用LVM进行管理；第一挂载单元，用于当所述虚拟磁盘设备的磁盘没有使用LVM进行管理时，获取所述虚拟磁盘设备的磁盘的sector大小与所述磁盘的每个分区的开始sector编号；利用所述sector大小与所述开始sector编号计算得到每个分区的offset值；利用所述offset值对磁盘进行挂载；第二挂载单元，用于当所述虚拟磁盘设备的磁盘使用LVM进行管理时，对所述待度量虚拟机的磁盘镜像进行装载；获取LVM卷组信息，并利用所述LVM卷组信息激活逻辑卷组；利用激活后的逻辑卷则信息对磁盘进行挂载。其中，还包括：销毁模块，用于将所述虚拟磁盘设备销毁。本专利技术提供一种虚拟机系统文件的检测方法，包括：获取待度量虚拟机的系统磁盘镜像文件；在特权域中添加虚拟磁盘设备，并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件；激活所述虚拟磁盘设备，并对所述虚拟磁盘设备的磁盘进行挂载；利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件，获得度量值与度量扩展值，利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。通过以上方案可知，本专利技术实施例提供的一种虚拟机系统文件的检测方法，通过将虚拟机的系统磁盘镜像文件作为虚拟机磁盘设备的磁盘文件，使系统磁盘镜像文件作为一块磁盘设备插入到特权域中，也就是说在特权域中虚拟机的文件系统是完整的，从而可以通过offset值获取磁盘文件进行挂载并检测磁盘文件的安全，而且通过度量值和度量扩展值的方式检测虚拟机磁盘文件的安全性，不需要直接对比文件内容，因此可以避免虚拟机数据直接暴露出来，使检测过程更安全。本专利技术实施例还公开了一种虚拟机系统文件的检测装置，同样可以实现以上技术效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例公开的一种虚拟机系统文件的检测方法流程图；图2为本专利技术实施例公开的一种具体的虚拟机系统文件的检测方法流程图；图3为本专利技术实施例公开的一种虚拟机系统文件的检测装置结构示意图；图4为本专利技术实施例公开的一种具体的虚拟机系统文件的检测装置结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例公开了一种虚拟机系统文件的检测方法与装置，以对模板生成的文件系统进行安全检测。参见图1，本专利技术实施例提供的一种虚拟机系统文件的检测方法，具体包括：S101，获取待度量虚拟机的系统磁盘镜像文件。在本方案中，虚拟机是一种对XEN虚拟化中由模板创建的虚拟机。需要说明的是，在一个虚拟环境中，虚拟机的多个磁盘可能存储在多个存储库中，可以根据虚拟机的UUID(通用唯一标识码)获取虚拟机的系统磁盘，以及系统磁盘所述存储库和存储库挂载等信息，根据这些信息最终定位到虚拟机系统磁盘的具体本文档来自技高网...

【技术保护点】
一种虚拟机系统文件的检测方法，其特征在于，包括：获取待度量虚拟机的系统磁盘镜像文件；在特权域中添加虚拟磁盘设备，并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件；激活所述虚拟磁盘设备，并对所述虚拟磁盘设备的磁盘进行挂载；利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件，获得度量值与度量扩展值，利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。

【技术特征摘要】
1.一种虚拟机系统文件的检测方法，其特征在于，包括：获取待度量虚拟机的系统磁盘镜像文件；在特权域中添加虚拟磁盘设备，并将所述系统磁盘镜像文件作为所述虚拟磁盘设备的磁盘文件；激活所述虚拟磁盘设备，并对所述虚拟磁盘设备的磁盘进行挂载；利用所述待度量虚拟机的度量算法度量所述虚拟磁盘设备内的磁盘文件，获得度量值与度量扩展值，利用所述度量值与度量扩展值检测所述系统磁盘镜像文件是否被篡改。2.根据权利要求1所述的检测方法，其特征在于，对所述虚拟磁盘设备的磁盘进行挂载，包括：判断所述虚拟磁盘设备的磁盘是否使用LVM进行管理；若是，则获取所述虚拟磁盘设备的磁盘的sector大小与所述磁盘的每个分区的开始sector编号；利用所述sector大小与所述开始sector编号计算得到每个分区的offset值；利用所述offset值对磁盘进行挂载；若否，则对所述待度量虚拟机的磁盘镜像进行装载；获取LVM卷组信息，并利用所述LVM卷组信息激活逻辑卷组；利用激活后的逻辑卷则信息对磁盘进行挂载。3.根据权利要求2所述的检测方法，其特征在于，当所述虚拟磁盘设备的磁盘没有使用LVM进行管理时，所述利用所述度量值与度量扩展值判断所述系统磁盘镜像文件是否被篡改后，还包括：使用umount卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备。4.根据权利要求2所述的检测方法，其特征在于，当所述虚拟磁盘设备的磁盘使用LVM进行管理时，所述利用所述度量值与度量扩展值判断所述系统磁盘镜像文件是否被篡改后，还包括：将所述逻辑卷组取消激活，使用kpartx卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备。5.根据权利要求3或4所述的检测方法，其特征在于，在所述卸载所述虚拟磁盘设备的磁盘并拔出所述虚拟磁盘设备，还包括：将所述虚拟磁盘设备销毁。6....

【专利技术属性】
技术研发人员：韩春超，
申请(专利权)人：浪潮北京电子信息产业有限公司，
类型：发明
国别省市：北京,11