一种计算机系统、计算机网络及数据通信方法技术方案

本发明专利技术实施例提供了一种计算机系统、计算机网络及数据通信方法，其中计算机系统，包括设置有虚拟网卡驱动模块的客户操作系统、真实网卡驱动模块和设置有通信模块的虚拟机监视器，还包括：安全系统，设置于用户操作系统外部，与用户操作系统同时运行在虚拟机上，用于根据安全规则对所述真实网卡驱动模块接收到的外部数据进行检测和认证；所述虚拟网卡驱动模块用于通过所述通信模块从所述安全系统获取所述外部数据中通过检测和认证的第一外部数据，并发送给所述用户操作系统。本发明专利技术的实施例保证系统不至于被多种类型的攻击数据攻击，加强了计算机系统的安全。

A computer system, a computer network, and a data communication method

The embodiment of the invention provides a computer system, computer network and data communication method, the computer system comprises a virtual NIC driver module client operating system, the real driver of virtual machine monitor module and a communication module, including: security system, set in the user operating system and external users at the same time operating system running in a virtual machine, according to the safety rules of the real network card driver external data received module testing and certification; the virtual NIC driver module is used for acquiring the first external data through testing and certification of the external data from the security system through the communication module, and send to the user operating system. The embodiment of the invention ensures that the system is not attacked by various types of attack data, thereby enhancing the security of the computer system.

【技术实现步骤摘要】

本专利技术涉及计算机安全
，特别是一种计算机系统、计算机网络及 数据通〗言方法。
技术介绍
目前计算才几的安全软件或安全模块都设置于计算机，安全软件或安全模块 运行基于用户当前的操作系统，当用户操作系统被攻击后，攻击者在控制操作 系统的基础上，对安全软件或安全模块进行操作，使其无效，或给出错误信息，如主机防火墙方案，当操作系统被攻击后，攻击者在控制操作系统的基础上 可以随意设置防火强的安全规则；主机入侵监测系统和防病毒软件方案，其基于模式匹配技术，在操作系统 被攻击后，入侵监测系统和防病毒软件容易被攻击者操纵；VPN网络流量加密方案，在操作系统被攻击后，攻击者可以对密钥管理 系统进行攻击，使加密系统无效，或获取用户密钥。因此，为了解决上述的问题，出现了一种信任链解决方案，其在开机启动 时，检测并修复被攻击的模块，但其无法解决操作系统在运行过程中攻击者对 进程和系统的攻击，特别是在系统内存中植入病毒程序。
技术实现思路
本专利技术实施例的目的是提供一种计算机系统、计算机网络及数据通信方 法，保i正客户才喿作系统在数据通信过程中的系统安全。为了实现上述目的，本专利技术实施例提供了一种计算机系统，包括设置有虚 拟网卡驱动模块的客户操作系统、真实网卡驱动模块和设置有通信模块的虚拟 机监视器，其中，还包括6安全系统，设置于所述用户操作系统外部，与所述用户操作系统同时运行 在虚拟机上，用于根据安全规则对所述真实网卡驱动模块接收到的外部数据进4亍才企测和iU正；主系统检测模块，用于检测并修复所述虚拟机监视器和安全系统； 用户系统检测模块，用于检测并修复所述客户操作系统； 所述虚拟网卡驱动模块用于通过所述通信模块从所述安全系统获取所述外部数据中通过检测和认证的第一外部数据，并发送给所述用户操作系统。 优选的，上述的计算机系统中，所述安全系统设置于服务操作系统或所述虚拟机监视器，或为所述虚拟机监视器的进程。 优选的，上述的计算机系统中，所述用户系统检测模块包括特征信息获取单元，用于获取所述第一外部数 据中的攻击数据的攻击特征信息； 所述安全系统具体包括 安全规则库，用于保存安全规则；安全检测模块，用于根据所述安全规则对所述外部数据进行检测和认证； 新规则生成模块，用于根据所述攻击特征信息生成新的安全规则后更新所 述安全规则库中的安全规则。优选的，上述的计算机系统中，所述安全检测模块中包括 防火墙；和/或虛拟私有网络加密单元；和/或 入侵检测单元；和/或 病毒防护单元。为了实现上述目的，本专利技术实施例还提供了一种计算机系统，包括设置有 虚拟网卡驱动模块的客户操作系统、真实网卡驱动模块和设置有通信模块的虚 拟机监视器，其中，还包括安全系统，设置于所述客户操作系统外部，用于根据安全规则对所述真实 网卡驱动模块接收到的外部数据进行认证；所述虛拟网卡驱动模块用于通过所述通信模块从所述安全系统获取所述 外部数据中通过认证的第一外部数据。优选的，上述的计算机系统中，所述安全系统设置于服务操作系统或所述 虚拟机监^L器，或为所述虚拟机监视器的进程。优选的，上述的计算机系统中，还包括用户检测修复模块，用于检测所述第一外部数据中的攻击数据，并获取所 述攻击数据的攻击特征信息；第一规则更新模块，用于根据所述攻击特征信息更新所述安全规则。 优选的，上述的计算机系统中，所述安全系统包括 防火墙；和/或虚拟私有网络加密单元；和/或 入侵检测单元；和/或 病毒防护单元。优选的，上述的计算机系统中，还包括系统检测修复模块，用于检测并修复被攻击的所述虛拟机监视器、所述安 全系统或真实固件。优选的，上述的计算机系统中，还包括通知模块，用于将所述第一规则更新模块更新后的安全规则发送给网络策 略更新系统；第二规则更新模块，用于根据所述网络策略更新系统发送的安全规则执行 安全规则更新操作。为了实现上述目的，本专利技术实施例还提供了一种计算机网络，包括多个计 算机系统，其中，所述计算机系统包括设置有虛拟网卡驱动模块的客户操作系统；真实网卡驱动模块；设置有通信模块的虚拟机监视器；安全系统，设置于所述客户操作系统外部，用于根据安全规则对所述真实 网卡驱动模块接收到的外部数据进行认证；所述虚拟网卡驱动^t块用于通过所述通信模块从所述安全系统获取所述 外部数据中通过认证的第 一外部数据。优选的，上述的计算机网络中，所述计算机系统还包括8用户检测修复模块，用于检测所述第一外部数据中的攻击数据，并获取所述攻击数据的攻击特征信息；第一规则更新模块，用于根据所述攻击特征信息更新所述安全规则。 优选的，上述的计算机网络中，所述计算机系统还包括 系统检测修复模块，用于检测并修复被攻击的所述虚拟机监视器、所述安全系统或真实固件。优选的，上述的计算机网络中，所述计算机系统还包括通知模块和第二规则更新模块，所迷计算才几网络还包括与所述计算机系统连接的网络策略更新系统，其中所述通知模块用于将所述第一规则更新模块更新后的安全规则发送给所 述网络策略更新系统；所述网络策略更新系统用于接收所述通知模块发送的安全规则，并将接收 到的安全规则发送给所述第二规则更新模块；所述第二规则更新模块用于根据所述网络策略更新系统发送的更新后的 安全规则执行安全规则更新。为了实现上述目的，本专利技术实施例还提供了 一种计算机系统的数据通信方 法，其中，包括步骤设置于客户操作系统外部的安全系统从物理网卡获取待发送到所述客户 操作系统的外部数据；所述安全系统利用安全规则对所述外部数据进行认证；将所述外部数据中通过认证的第 一外部数据发送到所述客户操作系统。优选的，上述的方法中，还包括检测所述第一外部数据中的攻击数据，并获取所述攻击数据的攻击特征信息；根据所述攻击特征信息更新所述安全规则。 优选的，上述的方法中，还包括检测并修复被攻击的所述服务操作系统、所述虚拟机监视器、所述安全系 统或真实固件。优选的，上述的方法中，还包括第一计算机系统将所述根据所述攻击特征信息更新所述安全规则步骤中更新后的安全规则发送给网络策略更新系统；所述网络策略更新系统将接收到的更新后的安全规则转发给第二计算机 系统；所述第二计算机系统根据所述网络策略更新系统转发的所述更新后的安 全规则执行安全规则更新操作。本专利技术的实施例具有以下有益效果首先，通过将安全系统设置于GOS的外部，攻击者在控制GOS时也无法 控制安全系统，使得安全系统可以继续处理其他类型的攻击数据，保证系统不 至于被多种类型的攻击数据攻击；其次，利用检测修复模块检测GOS被攻击的状况，获取攻击特征信息， 并根据所述攻击特征信息更新安全系统中的安全规则，因此，能够保证GOS 不会再次受相同类型的攻击数据的攻击；最后，将更新后的安全规则同步到计算机网络中的其他计算机系统，可以 进一步加强整个网络的安全。附图说明图1为本专利技术实施例的计算机系统的一种结构示意图； 图2为本专利技术实施例的计算机系统的另 一 种结构示意图； 图3为本专利技术实施例的方法的流程示意图； 图4为本专利技术实施例的计算机系统的又一种结构示意图； 图5为本专利技术实施例的计算机系统的的又一种结构示意图。具体实施例方式本专利技术的实施例中，通过设置一个独立于用户操作系统的安全系统，该安 全子系统对外部输入数据进行验证，将验证通过的数据发送到用本文档来自技高网...

【技术保护点】
一种计算机系统，包括设置有虚拟网卡驱动模块的客户操作系统、真实网卡驱动模块和设置有通信模块的虚拟机监视器，其特征在于，还包括：　安全系统，设置于所述用户操作系统外部，与所述用户操作系统同时运行在虚拟机上，用于根据安全规则对所述真实网卡 驱动模块接收到的外部数据进行检测和认证；　主系统检测模块，用于检测并修复所述虚拟机监视器和安全系统；　用户系统检测模块，用于检测并修复所述客户操作系统；　所述虚拟网卡驱动模块用于通过所述通信模块从所述安全系统获取所述外部数 据中通过检测和认证的第一外部数据，并发送给所述用户操作系统。

【技术特征摘要】
1.一种计算机系统，包括设置有虚拟网卡驱动模块的客户操作系统、真实网卡驱动模块和设置有通信模块的虚拟机监视器，其特征在于，还包括安全系统，设置于所述用户操作系统外部，与所述用户操作系统同时运行在虚拟机上，用于根据安全规则对所述真实网卡驱动模块接收到的外部数据进行检测和认证；主系统检测模块，用于检测并修复所述虚拟机监视器和安全系统；用户系统检测模块，用于检测并修复所述客户操作系统；所述虚拟网卡驱动模块用于通过所述通信模块从所述安全系统获取所述外部数据中通过检测和认证的第一外部数据，并发送给所述用户操作系统。2. 根据权利要求1所述的计算机系统，其特征在于，所述安全系统设置 于服务操作系统或所述虛拟机监视器，或为所述虚拟机监视器的进程。3. 根据权利要求2所述的计算机系统，其特征在于所述用户系统^r测模块包括特征信息获取单元，用于获取所述第一外部数 据中的攻击数据的攻击特征信息； 所述安全系统具体包括 安全规则库，用于保存安全规则；安全才企测模块，用于根据所述安全规则对所述外部数据进行检测和认证； 新规则生成模块，用于根据所述攻击特征信息生成新的安全规则后更新所 述安全规则库中的安全规则。4. 根据权利要求3所述的虛拟机系统，其特征在于，所述安全检测模块 中包括防火墙；和/或虛拟私有网络加密单元；和/或 入侵检测单元；和/或 病毒防护单元。5. —种计算机系统，包括设置有虛拟网卡驱动模块的客户操作系统、真 实网卡驱动模块和设置有通信模块的虚拟机监视器，其特征在于，还包括安全系统，设置于所述客户操作系统外部，用于根据安全规则对所述真实网卡驱动模块接收到的外部数据进行认证；所述虛拟网卡驱动模块用于通过所述通信模块从所述安全系统获取所述 外部数据中通过认证的第 一外部数据。6. 根据权利要求5所述的计算机系统，其特征在于，所述安全系统设置 于服务操作系统或所述虚拟机监视器，或为所述虚拟机监视器的进程。7. 根据权利要求6所述的计算机系统，其特征在于，还包括 用户检测修复模块，用于检测所述第一外部数据中的攻击数据，并获取所述攻击数据的攻击特征信息；第一规则更新模块，用于根据所述攻击特征信息更新所述安全规则。8. 根据权利要求7所述的计算机系统，其特征在于，所述安全系统包括 防火墙；和/或虚拟私有网络加密单元；和/或 入侵检测单元；和/或 病毒防护单元。9. 根据权利要求5、 6、 7或8中任意一项权利要求所述的计算机系统， 其特征在于，还包括系统检测修复模块，用于检测并修复被攻击的所述虚拟机监视器、所述安 全系统或真实固件。10. 根据权利要求7或8所述的的计算机系统，其特征在于，还包括 通知模块，用于将所述第一...

【专利技术属性】
技术研发人员：韦卫，
申请(专利权)人：联想北京有限公司，
类型：发明
国别省市：11[中国|北京]