本发明专利技术提供了一种虚拟平台网络隔离下保护虚拟机安全的方法及系统,包括获取在线威胁情报列表,形成威胁情报库;虚拟机在接收到QGA监听模块下发的进程收集指令后,通过qemu‑ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给QGA监听模块;查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。本发明专利技术在网络隔离的情况下,通过QGA监听模块和qemu‑ga模块,形成虚拟化管理平台与虚拟机的数据交互,实现虚拟化管理平台对虚拟机的安全管理,保证了虚拟机的信息安全。
A method and system to protect virtual machine security under network isolation of virtual platform
【技术实现步骤摘要】
一种虚拟平台网络隔离下保护虚拟机安全的方法及系统
本专利技术涉及信息安全
,尤其是一种虚拟平台网络隔离下保护虚拟机安全的方法及系统。
技术介绍
目前,主流的虚拟化厂商都采用QEMU(QuickEmulator,快速仿真器,一种软件模拟的虚拟化技术)技术把硬件设备虚拟化,将数据中心的服务器、存储、网络等资源形成一个巨大的资源池,管理者通过虚拟化管理平台可动态监控、调度部署其中资源,并通过网络提供给用户,提高了数据中心资源的使用率,降低了管理的复杂度。为了保证管理平台的数据安全问题,虚拟化厂商通常采用VLAN(VirtualLocalAreaNetwork,虚拟局域网)方式,把数据中心的管理网和业务网进行网络隔离。管理网是指虚拟化管理平台中进行计算、存储和网络资源进行管理的网络。业务网是指虚拟机中承载业务的网络。这种管理网和业务网进行VLAN网络隔离的方式,能够有效阻止虚拟化数据中心的管理网(虚拟化管理平台)遭受来自业务网(虚拟机中)的攻击。在考虑数据安全场景时,虚拟数据中心通常采用管理网和业务网进行VLAN隔离进行网络实施。但是同样也带来问题:虚拟化管理平台无法通过管理网络集中监控该平台下的虚拟机安全状态。在管理网和业务网进行VLAN网络隔离时,虚拟机下常规的安全杀毒软件、系统加固软件要么进行单一虚拟机节点的保护,要么只能在业务网内进行虚拟机安全的管理(管理平台所在的管理网与虚拟机所在的业务网网络隔离)。这两种方法都无法通过管理网中的虚拟化管理平台进行虚拟机安全管理。因此,普通的保护虚拟机方法,在管理网和业务网进行VLAN网络隔离时,虚拟化管理平台无法集中的对虚拟机的安全状态进行统一化的管理,为虚拟及的安全造成重大隐患。
技术实现思路
本专利技术提供了一种虚拟平台网络隔离下保护虚拟机安全的方法及系统,用于解决现有在管理网和业务网进行网络隔离时,虚拟化管理平台无法对虚拟机的安全进行管理的问题。为实现上述目的,本专利技术采用下述技术方案:本专利技术第一方面提供了一种虚拟平台网络隔离下保护虚拟机安全的方法,所述方法包括以下步骤:获取在线威胁情报列表,形成威胁情报库;虚拟机在接收到QGA监听模块下发的进程收集指令后,通过qemu-ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给QGA监听模块;查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。进一步地,所述威胁情报库内的数据包括威胁情报来源、威胁情报获取时间、威胁对象名称、对象特征值和威胁对象描述。进一步地,所述QGA监听模块基于监控策略下发进程指令,所述监控策略包括手动触发收集和周期性收集;若为手动触发收集,则QGA监听模块立即发送指令至qemu-ga模块;若为周期性收集,则QGA模块检测当前是否到周期检测时间,如果是,则发送指令至qemu-ga模块,如果否,则等待下一个周期时间。进一步地,所述查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中的具体过程为:进行进程遍历,查看每个进程对应进程文件的哈希值是否威胁情报数据库中;若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同,则继续遍历下一个进程;若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同,则将该进程信息添加至虚拟机漏洞信息表中,然后继续遍历下一个进程。进一步地,所述虚拟机漏洞信息表中的数据包括威胁对象名称、威胁情报获取来源、威胁情报获取时间、进程名称、进程哈希值、进程所在虚拟机IP、进程所在虚拟机UUID、虚拟机所在宿主机IP和虚拟机所在宿主机UUID。本专利技术第二方面提供了一种虚拟平台网络隔离下保护虚拟机安全的系统,包括虚拟化管理平台和虚拟机,所述系统还包括虚拟机信息监控部件、虚拟机安全管理部件和安全管理中心部件;所述虚拟机信息监控部件包括相互通信的QGA监听模块和qemu-ga模块,所述QGA监听模块,向qemu-ga模块下发进程收集指令,所述qemu-ga模块基于所述指令,进行虚拟机当前运行进程信息的收集,形成进程列表,并计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给QGA监听模块;所述虚拟机安全管理部件获取所述哈希值,并查看所述哈希值是否存在于威胁情报库中,若存在,则将进程信息添加至虚拟机漏洞信息表中;所述安全管理中心部件根据所述虚拟机漏洞信息表,进行告警提示。进一步地,所述虚拟机信息监控部件还包括监控策略管理模块,所述监控策略管理模块用于将监控策略下发给所述QGA监听模块。进一步地,所述虚拟机安全管理部件还包括:威胁情报获取模块,通过在线情报工具抓取在线威胁情报,形成在线威胁情报列表;威胁情报处理模块,将所述在线威胁情报列表进行归一化处理,形成统一的数据格式,将归一化后的数据导入威胁情报库。本专利技术第二方面的所述虚拟平台网络隔离下保护虚拟机安全的系统能够实现第一方面及第一方面的各实现方式中的方法,并取得相同的效果。
技术实现思路
中提供的效果仅仅是实施例的效果,而不是专利技术所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:本专利技术通过QGA监听模块和qemu-ga模块,形成虚拟化管理平台与虚拟机的数据交互,通过qemu-ga模块收集虚拟机端的运行进程信息,对进程文件进行哈希运算,并将哈希值返回给QGA监听模块,这样虚拟化管理平台即可获取到虚拟机的每个进程文件的哈希值,从而进行安全管理,保证了虚拟机的信息安全。且整个过程不依赖网络,对现有管理网和业务网的VLAN网络隔离不造成任何影响。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术所述方法的流程示意图;图2是本专利技术所述方法步骤S1的流程示意图;图3是本专利技术所述方法中QGA监听模块针对不同监控策略的操作流程示意图;图4是本专利技术所述方法中虚拟机安全扫描流程示意图;图5是本专利技术所述系统的结构示意图。具体实施方式为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开,下文中对特定例子的部件和设置进行描述。此外,本专利技术可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。如本文档来自技高网...
【技术保护点】
1.一种虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述方法包括以下步骤:/n获取在线威胁情报列表,形成威胁情报库;/n虚拟机在接收到QGA监听模块下发的进程收集指令后,通过qemu-ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给QGA监听模块;/n查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;/n安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。/n
【技术特征摘要】
1.一种虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述方法包括以下步骤:
获取在线威胁情报列表,形成威胁情报库;
虚拟机在接收到QGA监听模块下发的进程收集指令后,通过qemu-ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给QGA监听模块;
查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;
安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。
2.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述威胁情报库内的数据包括威胁情报来源、威胁情报获取时间、威胁对象名称、对象特征值和威胁对象描述。
3.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述QGA监听模块基于监控策略下发进程指令,所述监控策略包括手动触发收集和周期性收集;
若为手动触发收集,则QGA监听模块立即发送指令至qemu-ga模块;
若为周期性收集,则QGA模块检测当前是否到周期检测时间,如果是,则发送指令至qemu-ga模块,如果否,则等待下一个周期时间。
4.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中的具体过程为:
进行进程遍历,查看每个进程对应进程文件的哈希值是否威胁情报数据库中;
若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同,则继续遍历下一个进程;
若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同,则将该进程信息添加至虚拟...
【专利技术属性】
技术研发人员:刘海伟,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。