CN109992351A - 虚拟主机程序安全控制方法、装置、设备和介质 - Google Patents
虚拟主机程序安全控制方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN109992351A CN109992351A CN201711492048.9A CN201711492048A CN109992351A CN 109992351 A CN109992351 A CN 109992351A CN 201711492048 A CN201711492048 A CN 201711492048A CN 109992351 A CN109992351 A CN 109992351A
- Authority
- CN
- China
- Prior art keywords
- host computer
- program
- fictitious host
- controlled
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本发明公开了虚拟主机程序安全控制方法、装置、设备和介质。该方法包括:获取待控制程序访问虚拟主机需要的资源;根据获取的需要的资源设定待控制程序能够访问虚拟主机的权限;根据设定的权限为虚拟主机建立行为控制描述库。本发明实施例提供的虚拟主机程序安全控制方法,通过设定权限并建立行为控制描述库,使对虚拟主机的待控制程序的监控不依赖于现有的基于特征的策略,进一步通过预设的时间可以定时读取从而阻止未知程序访问虚拟主机并能够主动防护、有效抵御零日攻击,从而保护虚拟主机免受其它攻击。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种虚拟主机程序安全控制方法、装置、设备和介质。
背景技术
在云计算、虚拟化、大数据这些概念不断出现并逐渐改变互联网技术(InternetTechnology,简称为IT)环境的情况下,如何利用新技术改善IT服务效率,适应业务发展需要成为本领域研究的方向。从目前看软件定义的数据中心(Software Define DataCenter,简称为SDDC)将是未来云计算的终极形态,将云计算中的弹性服务、资源池化、按需服务等观念更加深层次、全面的在数据中心环境中交付。虚拟化的使用,虚拟主机爆炸式增长,虚拟主机成为新的风险点。所以针对虚拟主机的防护是目前急需解决的问题。
目前常用的虚拟主机防护通过部署软件防火墙或虚拟化防病毒软件两种方式:1.软件防火墙,是一种基于应用限制网络连接使用的方法,限制虚拟主机由内向外和由外向内的网络流。软件防火墙是一种控制隔离技术,是在被保护虚拟主机和外部网络之间的一道屏障,用以分隔被保护虚拟主机与外部网络系统,防止发生不可预测、潜在的破坏性侵入;2.虚拟化防病毒软件是一种基于无代理恶意软件防护的方法,通过使用虚拟化层相关的应用程序编程接口(Application Program Interface,简称为API)实现全面的病毒防护。
综上,现有技术的缺点是:1.软件防火墙不能防范恶意的知情者,如果入侵者已经进入虚拟主机,软件防火墙无能为力;2.虚拟化防病毒对于未知行为病毒,不能有效检测,不能对发现的未知病毒进行有效的清除。
因此,亟需能够针对每个待控制程序唯一对应的访问权限,用来抵御已知和/或未知的恶意软件,控制使用系统资源的权限的技术。
发明内容
本发明实施例提供了一种虚拟主机程序安全控制方法、装置、设备和介质,通过给每个待控制程序设定访问权限,能够限制未知程序的访问从而保护虚拟主机的安全。
根据本发明实施例的一个方面,提供了一种虚拟主机程序安全控制方法,该方法包括:获取待控制程序访问虚拟主机需要的资源;根据获取的需要的资源设定待控制程序能够访问虚拟主机的权限;根据设定的权限为虚拟主机建立行为控制描述库。
根据本发明实施例的另一方面,提供一种虚拟主机程序安全控制的装置,包括:获取模块,用于获取待控制程序访问虚拟主机需要的资源;设定模块,用于根据获取的需要的资源设定待控制程序能够访问虚拟主机的权限;建立模块,用于根据设定的权限为虚拟主机建立行为控制描述库。
根据本发明实施例的另一方面,提供一种虚拟主机程序安全控制的设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被所述处理器执行时实现上述的方法。
根据本发明实施例的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现上述的方法。
与现有技术相比,本申请实施例提供的虚拟主机程序安全控制方法、装置、设备和介质,通过给每个待控制程序设定权限,实现了对每个待控制程序的一一对应的权限监控。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的虚拟主机程序安全控制方法的流程示意图;
图2是本发明实施例的虚拟主机程序安全控制方法的逻辑示意图;
图3是本发明实施例的虚拟主机程序安全控制方法的实现机制示意图;
图4是本发明实施例的虚拟主机程序安全控制方法的模块化结构示意图;
图5是本发明实施例的虚拟主机程序安全控制的装置的结构示意图;
图6是本发明实施例的虚拟主机程序安全控制的设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
下面结合附图,详细描述根据本发明实施例的虚拟主机程序安全控制方法、装置、设备和介质。应注意,这些实施例并不是用来限制本发明公开的范围。
请参阅图1至图3,图1示出根据本发明实施例的虚拟主机程序安全控制方法的流程图,图2是本发明实施例的虚拟主机程序安全控制方法的逻辑示意图,图3是本发明实施例的虚拟主机程序安全控制方法的实现机制示意图。如图1所示,本发明实施例中的虚拟主机程序安全控制方法100包括以下步骤:
S110,获取待控制程序访问虚拟主机需要的资源。
在S110中,每一个待控制程序以特殊方式访问某些资源以完成任务。其中,每一个待控制程序在其完成任务的过程中有一些资源是必需创建或修改的,例,日志文件、消息存储和文档文件;还有一些资源则只要读取就可以,例,配置数据、动态库和内容。通过梳理虚拟主机每个待控制程序需要访问和读取的资源,可以进一步确定每个待控制程序必须访问的资源。
在本发明一些实施例中,获取待控制程序访问虚拟主机需要的资源,包括:
S111,根据待控制程序的类别分组。通过对待控制程序的分组,获取每组待控制程序访问系统需要的资源。
S112,获取每组待控制程序访问虚拟主机需要的资源。
采用先分类方式将待控制程序分组,再获取每组待控制程序的必须访问的资源的方式,降低了工作量,提高了工作效率。
S120,根据获取的需要的资源设定待控制程序能够访问虚拟主机的权限。
在S120中,给待控制程序设定权限用于定义操作系统功能或应用程序与系统资源,例,文件、注册表、设备和网络连接等相关的可接受活动。即相当于给待控制程序定制了一个外壳,限定其访问行为。
在本发明一些实施例中,本发明实施例中的虚拟主机程序安全控制方法还包括:为带控制程序设定的权限为待控制程序能够访问虚拟主机的最小权限。
在本发明一些实施例中,根据获取的需要的资源设定待控制程序能够访问虚拟主机的权限包括:将权限与应用、进程、端口关联。通过将应用、进程、端口、权限进行关联,定义安全规则,可以理解的是,该权限与其中的至少一项关联,当该权限与应用、进程和端口均关联时全面阻断了待控制程序可能对虚拟主机不同路径的非法访问。
大多数待控制程序只需要访问虚拟主机有限的系统资源和访问权限就可以实现正常的功能。但是绝大多数程序可以访问的资源和权限远远超过其必需,导致攻击者可以轻易地利用漏洞,获取非法的权限访问,如非法获得主机的访问权限。通过为每个程序预定义最小权限或者可接受的资源访问行为,可以阻断所有已知和未知的安全威胁。
S130,根据设定的权限为虚拟主机建立行为控制描述库。
在S130中,根据设定的权限将所有程序的访问的权限集成到行为控制描述库。系统通过为每台虚拟主机加载行为描述库,以使系统中与行为描述库对应的每个待控制程序的访问权限有对应的行为描述从而被限定,省去为每台虚拟主机的待控制程序一一设定权限的重复操作。
在本发明一些实施例中,行为控制描述库包括:限定行为控制描述和通用行为控制描述。其中,限定行为控制描述用于定义被允许的行为,其他所有行为都被限制的,比如互联网信息服务(Internet Information Services,简称为IIS)只需要提供最基本的web服务,不需要调用cmd.exe指令;可以理解的是,并不是所有的待控制程序都需要对虚拟主机网外连接,通用行为控制描述用于定义哪些行为被禁止,其他所有行为都不受约束,这样可以限定一般程序对于系统关键信息的修改。
在本发明一些实施例中,虚拟主机程序安全控制方法还包括:将权限和行为控制描述库加载到操作系统内核。
所有待控制程序访问虚拟主机时几乎无法绕过操作系统内核,通过将权限和行为控制描述库加载到操作系统内核,不仅保护系统其他关键资源同时保护该权限和行为控制描述库,从而确保该权限和行为控制描述库保持完整并持续运行,恶意软件不能禁用或避开权限和行为控制描述库。
在本发明一些实施例中,虚拟主机程序安全控制方法还包括:当待控制程序为未知程序时,建立待控制程序的运行脚本。
对于系统中新出现的未知程序,当无法知道其需要创建或修改哪些资源时,通过获取的待控制程序的运行脚本来监控待控制程序。
在本发明一些实施例中,运行脚本包括进程脚本、端口脚本、用户脚本和路径信息脚本。
通过对未知的待控制程序的进程脚本、端口脚本、用户脚本和路径信息脚本的监控,无论待控制程序以哪种路径访问虚拟主机都可以被监控,可以理解的是,也可以只监控四个运行脚本的其中一个或几个。
在本发明一些实施例中,虚拟主机程序安全控制方法还包括:检测待控制程序的运行状态,在检测到待控制程序运行异常时生成异常信息。
虚拟主机运行状态及变更监控包括:进程异常监控、端口变更监控、关键配置文件变更监控和账号变更监控这四个主要方面。
进程异常监控,是指通过监控待控制程序的进程发现待控制程序的异常,例,在Linux操作系统下,PS命令用于获取进程,权限对应的程序每30秒通过调用脚本读取虚拟主机当前进程的运行信息,并且将虚拟主机当前的进程列表信息输入到文本文件pslist中,通过syslog发送到对应权限的后台数据库,并与之前建立的权限进行比对,一旦发现异常的默认进程即不在预先定义的权限之内,则生成告警及通知,可以及时发现可能的业务应用故障及黑客攻击入侵行为。
端口变更监控,是指通过监控待控制程序的端口发现待控制程序的异常,例,Netstat命令用于获取端口,权限对应的程序每30秒执行一次脚本实时监控虚拟主机的当前端口开放信息,并与之前建立的权限设定的可访问资源进行比对,一旦发现异常的开发端口即不在预先定义的端口权限内,则生成告警及通知,以便及时发现业务应用故障、黑客非法访问、后门连接等事件。
关键配置文件变更监控,是指通过监控关键配置文件变更发现待控制程序的异常,例,权限对应的程序每30秒执行一次脚本通过监控虚拟主机关键配置文件的变更情况,如:账号密码配置文件passwd文件、关键服务配置文件、启动项配置文件、定时任务配置文件等,一旦检测到对上述文件的修改、替换、删除等写操作,则生成告警事件及通知,及时发现黑客在攻击过程中的一些恶意篡改行为。
帐号变更监控,权限对应的程序每30秒执行一次脚本自动收集虚拟主机的帐号信息,并且对帐号变更行为进行及时通知告警,包括帐号新增、删除、修改,如权限修改、密码修改等。
在本发明一些实施例中,虚拟主机程序安全控制方法还包括:根据异常信息禁止待控制程序运行。
通过本发明的虚拟主机程序安全控制方法可以实现如下功能:
虚拟主机入侵防护及加固,进程控制及保护,针对系统及常见应用服务进程制定基于行为的外壳,限定每个应用程序允许访问的资源及其访问权限,确保相关应用程序及进程只执行了经过授权及许可的操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。
漏洞攻击保护,通过将对虚拟主机的各种访问行为与访问权限进行匹配,及时发现针对服务器的攻击入侵行为并进行主动保护,确保虚拟主机的安全。
系统加固及锁定,通过限制对某些系统的关键部分设置、文件系统以及对服务的访问及修改,对虚拟主机进行加固及锁定,防止虚拟主机被不适当的更改。
请一并参阅图4,图4示出本发明实施例的虚拟主机程序安全控制方法的模块化结构示意图,如图:只有从左到右是一个“通路”,这样的资源访问才是允许的。相当于将虚机主机每一个允许的待控制程序设定一个权限,超出权限允许的资源或行为是明确禁止的。不必一一列举所有的恶意行为,只需要将明确允许的行为即可保证系统的安全稳定运行。
具体的,虚拟主机程序安全控制方法的实现原理如下:
S1:定义操作系统核心功能,由于虚拟主机的虚拟业务相对单一,定义好操作系统核心功能及应用程序,并记录到待控制程序对应权限的后台数据库中就可方便对待控制程序的控制。
S2:为每个待控制程序设定权限,包括:
S21:导入系统通用进程,导入操作系统命令,作为系统通用进程监控权限,其中,导入操作系统命令指操作系统最小化运行允许的进程、端口等。
S22:定义已知规则,是对待控制程序运行必须的进程、端口等的定义,比如IIS服务只需要提供最基本的Web服务仅需要运行在普通用户权限层面即可提供正常服务,默认端口80,默认进程w3wp.exe,默认站点的物理路径为“%SystemDrive%\inetpub\wwwroot”,根据已知信息实现待控制程序设定。
定义未知规则,有些待控制程序,无法确认其使用的进程、端口等,从而无法通过已知规则定义,就需要使用未知规则定义。获取待控制程序的进程脚本、端口脚本、用户脚本和路径信息脚本,作为一个例子,在linux操作系统下,PS命令用于获取进程,netstat命令用于获取端口,whereis用于获取路径等,通过上述命令获取待控制程序的脚本并通过syslog发送至待控制权限管理后台数据库中,可以将未知信息或不完整信息通过建立脚本方式转换成已知信息。
S3:程序分组,将待控制程序按照所实现的功能、对系统的资源需求等划分为各个程序集合,从而来对待控制程序和待控制程序能够使用的资源做出相应的限制,将程序集合记录到后台数据库中并将规则下发至每个待控制程序的权限中。
S4:行为控制描述,虚拟主机的每个待控制程序都有明确的定义,每个待控制程序有且只有一个相应的行为控制描述(即BCD码),行为控制描述显示每个程序的资源和权限允许列表,描述了权限的任何过程集将被限制在访问系统资源,如文件、注册表项、入站/出站网络连接等。
S5:调用系统内部资源,待控制程序的权限设定了待控制程序每个部分允许的行为,为每个待控制程序调用执行之前都会由权限对应的程序调用并确保其有效性,然后再将其传递给操作系统的执行引擎。
通过本发明的虚拟主机程序安全控制方法将每一个允许的待控制的程序限制在一个访问权限中,超出访问权限的资源或行为是明确禁止的,限制了恶意行为的访问。
图5是本发明一实施例提供的虚拟主机程序安全控制的装置的结构示意图。如图5所示,虚拟主机程序安全控制的装置200与虚拟主机程序安全控制方法100相对应,虚拟主机程序安全控制的装置200具体包括:
获取模块210,用于获取待控制程序访问虚拟主机需要的资源。
设定模块220,用于根据获取的需要的资源设定待控制程序能够访问虚拟主机的权限。
建立模块230,用于根据设定的权限为虚拟主机建立行为控制描述库。
在本发明的一些实施例中,虚拟主机程序安全控制的装置还包括:
加载模块,用于将权限和行为控制描述库加载到操作系统内核。
在本发明的一些实施例中,虚拟主机程序安全控制的装置还包括:
第一获取子模块,用于根据待控制程序的类别分组。
第二获取子模块,用于获取每组待控制程序访问虚拟主机需要的资源。
在本发明的一些实施例中,虚拟主机程序安全控制的装置还包括:
脚本模块,用于当待控制程序为未知程序时,建立待控制程序的运行脚本。
在本发明的一些实施例中,虚拟主机程序安全控制的装置还包括:
运行状态模块,用于检测待控制程序的运行状态,在检测到待控制程序运行异常时生成异常信息。
在本发明的一些实施例中,虚拟主机程序安全控制的装置还包括:
异常监控模块,用于根据异常信息禁止待控制程序运行。
本发明实施例提供的虚拟主机程序安全控制方法,通过设定权限并建立行为控制描述库,使对虚拟主机的待控制程序的监控不依赖于现有的基于特征的策略,进一步通过预设的时间可以定时读取从而阻止未知程序访问虚拟主机并能够主动防护、有效抵御零日攻击,从而保护虚拟主机免受其它攻击。
另外,结合本发明实施例提供的虚拟主机程序安全控制方法100和本发明实施例提供的虚拟主机程序安全控制的装置200可以由虚拟主机程序安全控制的设备300来实现。图6是本发明实施例提供的虚拟主机程序安全控制的设备的硬件结构示意图。
如图6所示,虚拟主机程序安全控制的设备300包括输入设备301、输入接口302、中央处理器303、存储器304、输出接口305、以及输出设备306。其中,输入接口302、中央处理器303、存储器304、以及输出接口305通过总线310相互连接,输入设备301和输出设备306分别通过输入接口302和输出接口305与总线310连接,进而与虚拟主机程序安全控制的设备300的其他组件连接。
具体地,输入设备301接收来自外部(例如,虚拟主机程序安全控制指令)的输入信息,并通过输入接口302将输入信息传送到中央处理器303;中央处理器303基于存储器304中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器304中,然后通过输出接口305将输出信息传送到输出设备306;输出设备306将输出信息输出到虚拟主机程序安全控制的设备300的外部供用户使用。
也就是说,图6所示的虚拟主机程序安全控制的设备也可以被实现为包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1和图2描述的虚拟主机程序安全控制方法和装置。
在一个实施例中,图6所示的虚拟主机程序安全控制的设备可以被实现为一种设备,该设备可以包括:存储器,用于存储程序;处理器,用于运行存储器中存储的程序,以执行本发明实施例提供的虚拟主机程序安全控制方法。
另外,结合上述实施例中的虚拟主机程序安全控制方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种虚拟主机程序安全控制方法。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或装置。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (13)
1.一种虚拟主机程序安全控制方法,其特征在于,包括:
获取待控制程序访问所述虚拟主机需要的资源;
根据获取的所述需要的资源设定所述待控制程序能够访问所述虚拟主机的权限;
根据设定的所述权限为所述虚拟主机建立行为控制描述库。
2.根据权利要求1所述的方法,其特征在于,所述权限为所述待控制程序能够访问所述虚拟主机的最小权限。
3.根据权利要求1所述的方法,其特征在于,所述根据获取的所述需要的资源设定所述待控制程序能够访问所述虚拟主机的权限包括:将所述权限与应用、进程、端口关联。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:将所述权限和所述行为控制描述库加载到操作系统内核。
5.根据权利要求1所述的方法,其特征在于,所述获取待控制程序访问所述虚拟主机需要的资源的方法包括:
根据所述待控制程序的类别分组;
获取每组所述待控制程序访问所述虚拟主机需要的资源。
6.根据权利要求1所述的方法,其特征在于,所述行为控制描述库包括:
限定行为控制描述,用于定义被允许的行为;
和,通用行为控制描述,用于定义被禁止的行为。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述待控制程序为未知程序时,建立所述待控制程序的运行脚本。
8.根据权利要求7所述的方法,其特征在于,所述运行脚本包括进程脚本、端口脚本、用户脚本和路径信息脚本。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
检测所述待控制程序的运行状态,在检测到所述待控制程序运行异常时生成异常信息。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
根据所述异常信息禁止所述待控制程序运行。
11.一种虚拟主机程序安全控制的装置,其特征在于,包括:
获取模块,用于获取待控制程序访问虚拟主机需要的资源;
设定模块,用于根据获取的所述需要的资源设定所述待控制程序能够访问所述虚拟主机的权限;
建立模块,用于根据设定的所述权限为虚拟主机建立行为控制描述库。
12.一种虚拟主机程序安全控制的设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-10任一项所述的方法。
13.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-10中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711492048.9A CN109992351A (zh) | 2017-12-30 | 2017-12-30 | 虚拟主机程序安全控制方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711492048.9A CN109992351A (zh) | 2017-12-30 | 2017-12-30 | 虚拟主机程序安全控制方法、装置、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109992351A true CN109992351A (zh) | 2019-07-09 |
Family
ID=67110775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711492048.9A Pending CN109992351A (zh) | 2017-12-30 | 2017-12-30 | 虚拟主机程序安全控制方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109992351A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851516A (zh) * | 2019-11-07 | 2020-02-28 | 中国银行股份有限公司 | 主机运控系统及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030131001A1 (en) * | 2002-01-04 | 2003-07-10 | Masanobu Matsuo | System, method and computer program product for setting access rights to information in an information exchange framework |
| CN1607484A (zh) * | 2003-10-16 | 2005-04-20 | 富士通株式会社 | 用于防止信息泄露的程序和装置以及该程序的存储介质 |
| CN102223359A (zh) * | 2010-07-29 | 2011-10-19 | 上海华御信息技术有限公司 | 基于虚拟磁盘的网络硬盘备份文件数据安全系统及方法 |
| CN102946468A (zh) * | 2012-10-18 | 2013-02-27 | 广东欧珀移动通信有限公司 | 一种手机运行程序异常自动报警的方法及系统 |
| CN106598377A (zh) * | 2016-10-31 | 2017-04-26 | 努比亚技术有限公司 | 一种基于虚拟聚合键应用的信息处理方法及其装置 |
| CN106897611A (zh) * | 2017-03-03 | 2017-06-27 | 金光 | 无需root权限的安全虚拟移动应用程序运行环境系统及方法与应用 |
| US20200211008A1 (en) * | 2018-12-26 | 2020-07-02 | Muhanbit Co., Ltd. | Security-enhanced wireless communication apparatus |
-
2017
- 2017-12-30 CN CN201711492048.9A patent/CN109992351A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030131001A1 (en) * | 2002-01-04 | 2003-07-10 | Masanobu Matsuo | System, method and computer program product for setting access rights to information in an information exchange framework |
| CN1607484A (zh) * | 2003-10-16 | 2005-04-20 | 富士通株式会社 | 用于防止信息泄露的程序和装置以及该程序的存储介质 |
| CN102223359A (zh) * | 2010-07-29 | 2011-10-19 | 上海华御信息技术有限公司 | 基于虚拟磁盘的网络硬盘备份文件数据安全系统及方法 |
| CN102946468A (zh) * | 2012-10-18 | 2013-02-27 | 广东欧珀移动通信有限公司 | 一种手机运行程序异常自动报警的方法及系统 |
| CN106598377A (zh) * | 2016-10-31 | 2017-04-26 | 努比亚技术有限公司 | 一种基于虚拟聚合键应用的信息处理方法及其装置 |
| CN106897611A (zh) * | 2017-03-03 | 2017-06-27 | 金光 | 无需root权限的安全虚拟移动应用程序运行环境系统及方法与应用 |
| US20200211008A1 (en) * | 2018-12-26 | 2020-07-02 | Muhanbit Co., Ltd. | Security-enhanced wireless communication apparatus |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851516A (zh) * | 2019-11-07 | 2020-02-28 | 中国银行股份有限公司 | 主机运控系统及方法 |
| CN110851516B (zh) * | 2019-11-07 | 2022-04-19 | 中国银行股份有限公司 | 主机运控系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| El Kafhali et al. | Security threats, defense mechanisms, challenges, and future directions in cloud computing | |
| CN110915182B (zh) | 数据处理中的入侵检测和缓解 | |
| KR102301721B1 (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
| US10430591B1 (en) | Using threat model to monitor host execution in a virtualized environment | |
| US9141812B2 (en) | Stateful reference monitor | |
| US6233576B1 (en) | Enhanced security for computer system resources with a resource access authorization control facility that creates files and provides increased granularity of resource permission | |
| EP1381928B1 (en) | Computer security and management system | |
| Ujcich et al. | Cross-app poisoning in software-defined networking | |
| JP2016031762A (ja) | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ | |
| US11675889B1 (en) | Systems and methods for data integrity and confidentiality within a computing system | |
| Almutairy et al. | A taxonomy of virtualization security issues in cloud computing environments | |
| US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
| KR100919643B1 (ko) | 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그제어 방법 | |
| He et al. | A policy management framework for self-protection of pervasive systems | |
| Çeliktaş | The ransomware detection and prevention tool design by using signature and anomaly based detection methods | |
| Çalışkan et al. | Benefits of the virtualization technologies with intrusion detection and prevention systems | |
| CN109992351A (zh) | 虚拟主机程序安全控制方法、装置、设备和介质 | |
| Sun et al. | Cloud armor: Protecting cloud commands from compromised cloud services | |
| CN112446029A (zh) | 可信计算平台 | |
| Kiszka et al. | Domain and type enforcement for real-time operating systems | |
| EP1944676B1 (en) | Stateful reference monitor | |
| US20230214248A1 (en) | Controlling Container Commands Issued In A Distributed Computing Environment | |
| RU2799117C1 (ru) | Способ и система предотвращения получения несанкционированного доступа к объектам корпоративной сети | |
| CN113225334B (zh) | 终端安全管理方法、装置、电子设备及存储介质 | |
| Djemaiel et al. | Dynamic detection and tolerance of attacks in storage area networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190709 |