【技术实现步骤摘要】
虚拟机内运行应用识别方法、装置、设备及存储介质
本专利技术涉及虚拟化
,尤其涉及一种虚拟机内运行应用识别方法、装置、设备及计算机可读存储介质。
技术介绍
随着虚拟化、容器、无服务技术的发展,数据中心的流量模型也在发生变化,一方面是流量规模在急剧增大,另一方面是流量流向也有南北向主导逐渐变为东西向主导。因而需要找到一种解决方案,能在大流量下以较低的性能开销对东西向流量进行有效防护。目前业界的解决方案大致可以归结为以下三类:(1)基于ACL技术(accesscontrollist,访问控制列表)对东西向访问关系进行控制。ACL是3~4层的防护技术,只能依据五元组来限制恶意流量在数据中心里的横向移动。ACL实现简单,性能开销小,但存在已被绕过的缺陷,其本质在于ACL将IP和端口认为是恶意程序的唯一标识,但攻击者可以通过伪造端口(即假冒为某个合法程序)等手段,来绕过ACL的访问控制,获得目标服务器的访问权,并进行后续的攻击。(2)基于DPI(DeepPacketInspection,深度报文检测)来实现...
【技术保护点】
1.一种虚拟机内运行应用识别方法,其特征在于,所述虚拟机内运行应用识别方法包括以下步骤:/n监测虚拟机内是否存在新的应用程序启动;/n若存在,则确定所述应用程序运行的地址空间;/n判断所述地址空间是否存在绑定的IP和端口号;/n若是,则识别所述应用程序为合法应用,否则识别所述应用程序为冒用合法IP和端口号的非法应用。/n
【技术特征摘要】
1.一种虚拟机内运行应用识别方法,其特征在于,所述虚拟机内运行应用识别方法包括以下步骤:
监测虚拟机内是否存在新的应用程序启动;
若存在,则确定所述应用程序运行的地址空间;
判断所述地址空间是否存在绑定的IP和端口号;
若是,则识别所述应用程序为合法应用,否则识别所述应用程序为冒用合法IP和端口号的非法应用。
2.如权利要求1所述的虚拟机内运行应用识别方法,其特征在于,所述监测虚拟机内是否存在新的应用程序启动包括:
监测虚拟机是否执行syscall指令或sysenter指令以进行系统调用;
若是,则判断所述系统调用是否为execve系统调用;
若为execve系统调用,则确定当前虚拟机内存在新的应用程序启动。
3.如权利要求1所述的虚拟机内运行应用识别方法,其特征在于,所述监测虚拟机内是否存在新的应用程序启动还包括:
截获虚拟机内的地址空间切换操作,以供记录虚拟机内运行的每一个地址空间;
判断虚拟机内是否运行新的地址空间;
若是,则确定当前虚拟机内存在新的应用程序启动。
4.如权利要求1-3中任一项所述的虚拟机内运行应用识别方法,其特征在于,所述虚拟机内运行应用识别方法还包括:
在对虚拟机内运行应用进行识别之前,将虚拟机内运行的合法应用的地址空间与指定的IP和端口号进行绑定。
5.如权利要求1-3中任一项所述的虚拟机内运行应用识别方法,其特征在于,所述虚拟机内运行应用识别方法还包括:
在对虚拟机内运行应用进行识别之前,设置应用程序的网络连接白名单规则;
其中,所述网络连接白名单规则用于规定应用程序在虚拟机中运行时能否对外连接网络以及对外连接网络所使用的IP和端口号。
6.如权利要求5所述的虚拟机内运行应用识别方法,其特征在于,所述虚拟机内运行应用识别方法还包括:
当应用程序在虚拟机内运行时,截获所述应用程序与网络连接相关的系统调用,以供获得系统调用参数;
基于所述网络连接白名单规则,对所述系统调用参数进行验证,以供识别所述应用程序是否符合所述网络连接白名单规则。
7.如权利要求6所述的虚拟机内运行应用识别方法,其特征在于,所述虚拟机内运行应用识别方法还包括:
当识别到冒用合法IP和端口号的非法应用时,向分布式防火墙下发临时的访问控制列表策略,以供所述分布式防火墙对所述非法应用进行拦截;
当识别到应用程序不符合所述网络连接白名单规则时,将不符合所述网络连接白名单规则的网络连接信息下发至所述分布式防火墙;
其中,所述分布式防火墙部署在虚拟机与虚拟网络转发设备之间,并支持基于五元组的访问控制列表策略与基于应用标识的安全策略。
8.一种虚拟机内运行应用识别装置,其特征在于,所述虚拟机内运行应用识别装置包括:
监测模块,用于监测虚拟机内是否存在新的应用程序启动;
确定模块,用于当虚拟机内存在新的应用程...
【专利技术属性】
技术研发人员:陈晓帆,古亮,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。