一种虚拟桌面可执行程序保护机制制造技术

本发明专利技术公开了一种虚拟桌面可执行程序保护机制，包括以下步骤：虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤；在承载虚拟机的物理主机上部署可执行程序保护机制的代理。有效阻止了不可信的程序运行，提高了虚拟桌面的整体安全性能。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种虚拟桌面可执行程序保护机制。
技术介绍
虚拟桌面是通过硬件虚拟化技术，将多个桌面操作系统集中运行在少量服务器的虚拟机上，从而实现服务器硬件资源的复用，用户可以使用不同终端，如传统PC，智能手机，瘦客户端等通过网络使用这些桌面环境。虚拟桌面可以将传统的用户PC终端分散管理转变为集中的管理，极大地减少了系统运维成本和运维工作量。目前该技术已经得到了广泛的应用。然而虚拟桌面依然面临着病毒、木马等恶意程序的威胁。与传统的终端应用环境不同，一旦虚拟桌面环境中出现病毒和木马，由于运算和存储的相对集中，导致这些恶意程 序的散布和传播速度会远远快于传统的终端应用环境。而恶意程序一旦蔓延开来，必定会对虚拟桌面的服务环境造成极大的干扰和影响。
技术实现思路
本专利技术解决的技术问题在于有效防止虚拟桌面环境中恶意程序蔓延。为了解决以上问题，一种虚拟桌面可执行程序保护机制，包括以下步骤虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤；在承载虚拟机的物理主机上部署可执行程序保护机制的代理。进一步，作为一种优选，所述虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤进一步包括在一台或多台物理主机上搭建虚拟机的运行环境，而在额外的独立存储主机上搭建虚拟机所需的存储环境，虚拟机采用iSCSI访问远端的存储镜像。进一步，作为一种优选，所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理进一步包括代理被部署在物理主机的Domain-O中，而Domain-O作为虚拟机的特权域，可以控制其他非特权虚拟机的运行状态，当监控到虚拟机内部有对CreateProcess和LoadLibrary等系统调用的请求时，就挂起该请求，对请求装载的可执行程序进行度量检查后再做处理。进一步，作为一种优选，在初始化虚拟桌面服务环境时，预设一个可信的可执行程序列表，并保存这个列表里的可执行程序的Hash值作为整个系统的白名单，只有在白名单之内的可执行程序才准予运行，否则不允许运行。进一步，作为一种优选，采用一种在Domai-O中进行虚拟机内部可执行程序度量和Hash值比对的方法。进一步，作为一种优选，根据Domain-O中度量和匹配结果，对虚拟机内部的系统调用请求做出处理，即是否允许被度量的可执行程序运行。本专利技术的有益效果在于，该方法以虚拟机镜像克隆机制和可执行程序白名单机制为技术基础，从根本上阻断不可信代码的运行，使得虚拟桌面环境不会受到恶意代码的侵害，同时兼顾了该安全机制对系统带来的性能影响，使系统开销降到最低。附图说明当结合附图考虑时，通过参照下面的详细描述，能够更完整更好地理解本专利技术以及容易得知其中许多伴随的优点，但此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定，其中图I本专利技术实施例的工作流程图。具体实施方式 以下参照图I对本专利技术的实施例进行说明。为使上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本专利技术作进一步详细的说明。一种虚拟桌面可执行程序保护机制，包括以下步骤虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤；在承载虚拟机的物理主机上部署可执行程序保护机制的代理。如图I所示，一种虚拟桌面可执行程序保护机制，包括以下步骤SI、VM 发出 CreateProcess 和 LoadLibrary 系统调用请求；S2、挂起该请求；S3、数据重组；S4、是否在系统白名单内；S5、如果在，则恢复VM内的系统调用请求；S6、如果不在，则失败VM内的系统调用请求并返回。本专利技术的核心在于部署在承载虚拟机的物理主机Domain-O中的代理。该代理的设计基于如下两个原则一、能够准确捕获虚拟机内的程序操作；二、不能够被旁路。下面结合附图和上述原则对本专利技术进行详细说明由于Domain-O是虚拟机环境中的特权域，所有非特权虚拟机的文件读写，CPU调度等操作都需要经过Domain-0，因此将代理部署在Domain-O中，可以方便捕获到非特权虚拟机中的系统调用；同时在非特权虚拟机内部运行的代码由于优先级较低，无法感知在Domain-O中的安全机制，因此无法将其避开，从而确保安全机制的有效。在实施过程中，首先需要拟定可信的软件集合，然后使用工具计算这些软件可执行代码的Hash值，将这些Hash值统一保存，即是系统的“白名单”。当虚拟机内部需要加载可执行程序时,会发出CreateProcess或LoadLibrary的系统调用请求以及对磁盘文件的读请求，而部署在Domain-O中的代理程序会捕获到此类请求，并将其挂起；同时根据读请求中包含的磁盘名，磁盘块偏移量等信息，代理程序会将虚拟机请求的可执行程序代码在Domain-O中重组。重组完成后，代理程序对其进行Hash运算并与系统“白名单”中预存的Hash值进行比对，如果匹配成功，则恢复虚拟机内的系统调用请求，使该代码得到执行；如果匹配不成功，则失败掉虚拟机内的系统调用请求。如上所述，对本专利技术的实施例进行了详细地说明，但是只要实质上没有脱离本专利技术的专利技术点及效果可以有很多的变形，这对本领域的技术人员来说是显而易 见的。因此，这样的变形例也全部包含在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种虚拟桌面可执行程序保护机制，其特征在于，包括以下步骤 虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤； 在承载虚拟机的物理主机上部署可执行程序保护机制的代理。2.根据权利要求I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法，其特征在于，所述虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤进一步包括在一台或多台物理主机上搭建虚拟机的运行环境，而在额外的独立存储主机上搭建虚拟机所需的存储环境，虚拟机采用iSCSI访问远端的存储镜像。3.根据权利要求I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法，其特征在于，所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理进一步包括代理被部署在物理主机的Domain-O中，而Domain-O作为虚拟机的特权域，可以控制其他非特权虚拟机的运行状态，当监控到虚拟机内部有对Creat...

【专利技术属性】
技术研发人员：石勇，郭煜，
申请(专利权)人：北京朋创天地科技有限公司，
类型：发明
国别省市：