CN102467637A - 一种虚拟化环境下的反病毒系统及其反病毒方法 - Google Patents
一种虚拟化环境下的反病毒系统及其反病毒方法 Download PDFInfo
- Publication number
- CN102467637A CN102467637A CN2011102136197A CN201110213619A CN102467637A CN 102467637 A CN102467637 A CN 102467637A CN 2011102136197 A CN2011102136197 A CN 2011102136197A CN 201110213619 A CN201110213619 A CN 201110213619A CN 102467637 A CN102467637 A CN 102467637A
- Authority
- CN
- China
- Prior art keywords
- virus
- virtual machine
- buffer memory
- scanning
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提出了一种虚拟化环境下的反病毒系统,以及使用该反病毒系统进行反病毒的方法。本发明提出的反病毒系统包括反病毒主体程序和反病毒代理程序,反病毒主体程序安装在反病毒虚拟机上,用来完成监控识别、扫描和清除病毒和自动升级等现有常规的传统反病毒软件系统的基本功能;反病毒代理程序安装在工作虚拟机上,用来对普通虚拟机的文件系统进行监控以及和反病毒虚拟机进行通信交互。通过上述这些与虚拟化环境相契合的特性,可以避免将现有常规反病毒方法直接运用于虚拟化环境时可能出现的“扫描风暴”(即一段时间内资源利用率可能达到极限值),达到在为虚拟机提供安全保护的同时,不至于影响虚拟机的正常使用的目的。
Description
技术领域
本发明涉及反病毒技术领域,尤其涉及一种虚拟化环境下的反病毒系统,以及使用该反病毒系统进行反病毒的方法。
背景技术
当今信息时代,网络技术迅猛发展,随之而来的各类病毒也同时四处传播,甚至到了无孔不入的地步,对计算机和网络造成极大的威胁。另一方面,随着虚拟化技术的不断发展,虚拟化技术的实际应用也越来越广泛,无论是服务器虚拟化还是桌面虚拟化,其应用都在不断地增加,根据Gartner(Gartner是美国一家从事信息技术研究和咨询的公司)的预测,在2009年x86服务器上面安装的虚拟机数量将会超过400万台,而且虚拟桌面的数量也将会从2007年的不到500万台增加到2011年的6.8亿台。因此,在虚拟化环境下,也必然会面对各类病毒对虚拟机的安全造成威胁这样一个问题,这也就使得虚拟化环境下的反病毒解决方案成为了必然。
对于普通的单个计算机用户来说,通常只需要在自己的计算机上安装反病毒软件,保证对病毒库的及时更新,并定期对计算机进行扫描以查杀病毒,就基本上可以在一定程度上(要想仅依靠反病毒软件就来百分之百保证计算机不受病毒侵扰是不现实的)保护计算机免受病毒的侵扰了。并且,反病毒软件通常可以设定病毒库的自动更新,以及定时扫描查杀病毒,用户基本上不用手动去进行任何操作。以上这些就是我们所熟悉的通常的反病毒方法。
在虚拟化环境下的数据中心中,一台机器上可以创建多台虚拟机,要对数据中心的每一台虚拟机进行反病毒保护,可以按照常规思路,即像普通的单个计算机用户一样,在每一台虚拟机中都分别装上反病毒软件。这样一来,也就的确实现了对数据中心的每一台虚拟机的反病毒保护,但是,还需要考虑到,反病毒软件在进行扫描时,是要占用一定资源的,特别是在进行全盘扫描时,反病毒软件对CPU的使用,以及对磁盘数据的读取,这些资源占用可不是能够忽略不计的;而且全盘扫描是比较耗时的,也就是说这种较大的资源占用的情形将会持续一个比较长的时间段。虽然很多的反病毒软件都在资源占用率上做了很大的优化,但这也只是对于单用户环境而言的。对于单个用户来说,他独占一台计算机的全部资源,所以反病毒软件工作时对资源的占用,相对于全部资源来说,也只是很小的一部分,在部分性能强劲的计算机上,用户甚至感觉不到这种资源占用。但在虚拟化环境下,情况就大不相同了,每一台虚拟机只拥有一台实体计算机一定比例的资源,这样一来,在一台虚拟机上反病毒软件对资源的占用程度(反病毒软件占用的资源相对于虚拟机的全部资源)就要高于在一台实体计算机上反病毒软件对资源的占用程度(反病毒软件占用的资源相对于实体计算机的全部资源);另一方面,每一台实体计算机上都有多台虚拟机在运行,如果每一台虚拟机上的反病毒软件都同时开始进行病毒扫描的话,整个实体计算机的资源使用率就会很高了,甚至可能会影响到虚拟机用户对虚拟机的正常使用。所以,如果在虚拟化环境下采取这种常规方式,来对数据中心中的各虚拟机进行反病毒保护的话,可能会很容易遇到性能瓶颈。
图1对比说明了把常规的反病毒方法运用于虚拟化环境下可能产生的问题。图1的上半部分描述的是单个用户的常规反病毒方法对实体计算机资源的占用情况,图1的下半部分描述的是把常规的反病毒方法运用于虚拟化环境中时,对实体计算机资源的占用情况。图1中的黑色粗线条表示的是反病毒软件在扫描病毒时对资源的占用情况,线条的宽度表示反病毒软件的资源使用率。
从图1中可以直观地看到,对于单个用户来说,全部的实体计算机资源只面对一个反病毒软件(暂时忽略其它运行于计算机上的应用软件,当前仅考虑反病毒软件),就算反病毒软件的资源使用率再高(黑色粗线条变得更宽),也比较难达到实体计算机的资源极限值;但对于虚拟化环境来说,全部的实体计算机资源要同时面对n个虚拟机中的反病毒软件,一旦n个反病毒软件同时进行扫描,很容易会达到实体计算机的资源极限值(如图1中所示情形),而且就算单个反病毒软件的资源使用率很低(黑色粗线条变得很细),虚拟机的数量较多的话,也比较容易达到实体计算机的资源极限值。
简言之,如果在虚拟化环境下直接采用常规的反病毒方法(即在每一台虚拟机上分别装各自独立的反病毒软件),很容易遇到性能瓶颈,而在出现性能瓶颈时,甚至会影响到用户对虚拟机的正常使用,因为在实体计算机的资源使用率接近或达到极限值时,虚拟机操作系统的响应时间会变得很长。
发明内容
基于上述原因,本发明旨在提供一种虚拟化环境下的反病毒方法,该方法是专门针对虚拟化环境,结合了虚拟化环境的特点而提出的,以期达到在为虚拟机提供安全保护的同时,不至于影响虚拟机的正常使用的目的。
本发明目的在于,结合虚拟化环境的特点和现有常规的反病毒技术,提出了一种适合于虚拟化环境的反病毒系统。该反病毒系统是专门针对虚拟化环境,因此整个方法的理念都是和虚拟化环境的特点紧密相关的。
为达上述目的本发明提供了一种虚拟化环境下的反病毒系统,其包括:反病毒主体模块及全局扫描缓存,该反病毒主体模块能监控识别、扫描和清除病毒以及自动升级并且一直监听来自反病毒代理模块发出的请求,并维护全局扫描缓存;反病毒代理模块及本地扫描缓存,反病毒代理模块能监控虚拟机的文件系统和内存以及向反病毒主体模块发出病毒扫描请求,并能维护虚拟机上的本地扫描缓存。
其中:
该反病毒主体模块设置在一台独立的、专门的反病毒虚拟机中。
而各反病毒代理模块设置在各需要接受反病毒保护服务的工作虚拟机中。
该系统还包括工作虚拟机创建模板,该创建模板为先把反病毒代理模块集成到普通虚拟机中,并执行了首次全盘扫描之后,而发布成的用于采用基于模板的创建方式建工作虚拟机的模板。
本发明还提供了一种虚拟化环境下的反病毒方法,其在反病毒虚拟机和工作虚拟机上分别安装反病毒主体程序和反病毒代理程序;并且由反病毒虚拟机一直监听来自工作虚拟机中的反病毒代理程序的请求,当反病毒代理程序向反病毒虚拟机发送扫描请求时,反病毒虚拟机的反病毒主体程序接收该请求,在这两台虚拟机之间建立通信信道,并对工作虚拟机进行扫描。
其进一步方案为:
其扫描策略为:扫描时,该反病毒虚拟机先使用发出请求的工作虚拟机上的反病毒代理程序所维护的本地扫描缓存,再使用该反病毒虚拟机所维护的全局扫描缓存,检查该被扫描的文件在本地扫描缓存或全局扫描缓存中是否有匹配项,最后才使用反病毒虚拟机的杀毒引擎进行扫描。
本地扫描缓存和全局扫描缓存中记录着已经扫描过的无病毒文件的标识信息,如果在扫描本地扫描缓存或全局扫描缓存时能够找到匹配项,则表示这个被扫描的文件是无病毒的。
杀毒引擎每次对文件进行扫描之后,将更新全局扫描缓存,同时各工作虚拟机的本地扫描缓存也会定期和反病毒虚拟机的全局扫描缓存进行同步。
其包括以下步骤:
1)在反病毒虚拟机和工作虚拟机上分别安装反病毒主体程序(步骤501)和反病毒代理程序。
2)反病毒虚拟机一直监听来自工作虚拟机中的反病毒代理程序的请求。
3)系统首次运行时,工作虚拟机上的反病毒代理程序向反病毒虚拟机发送一个全盘扫描的请求。
4)反病毒虚拟机上的反病毒主体程序接收到步骤3)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,并对工作虚拟机进行全盘扫描。
5)初次扫描时在工作虚拟机上建立本地扫描缓存。
6)反病毒代理程序对工作虚拟机的文件系统和内存进行实时监控。当检测到有文件修改操作时,首先在本地扫描缓存中检查是否存在匹配项,如果存在匹配项,则继续进行监控;如果不存在匹配项,则请求查找全局扫描缓存中是否有匹配项。
7)反病毒虚拟机接收到步骤6)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道进行缓存查找,并在反病毒虚拟机的全局扫描缓存中检查是否存在匹配项,如果存在匹配项,则说明该文件曾在其它虚拟机上被扫描过,是无病毒的;如果不存在匹配项,则请求反病毒虚拟机对该文件进行扫描。
8)反病毒虚拟机接收到步骤7)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,使用杀毒引擎对该文件进行扫描,更新并同步本地扫描缓存和全局扫描缓存。
另外,在步骤1)中,其还可包括一个虚拟机模板制作步骤,其是先安装好反病毒代理程序到一台工作虚拟机中,并对其进行全盘扫描,再发布为模板;这样,并基于这个模板创建其他工作虚拟机,这样,就不用在首次运行时再进行全盘扫描了。
本发明的有益技术效果在于:本发明所提出的反病毒系统和反病毒方法结合了虚拟化环境的特点,采用反病毒虚拟机进行集中管理,在普通工作虚拟机上分别设置代理的逻辑结构;扫描策略采取先在本地扫描缓存中进行匹配,再到全局扫描缓存中进行匹配,最后才使用杀毒引擎进行文件扫描;结合基于模板创建虚拟机的方式提供安全模板,免去了同一模板创建的虚拟机初次运行时的全盘扫描;通过这些与虚拟化环境相契合的特性,可以避免将常规反病毒方法直接运用于虚拟化环境时可能出现的“扫描风暴”(即一段时间内资源利用率可能达到极限值),达到在为虚拟机提供安全保护的同时,不至于影响虚拟机的正常使用的目的。
附图说明
图1 为把现有常规的反病毒方法运用于虚拟化环境下产生的问题示意图;
图2为把现有常规的反病毒方法运用于虚拟化环境下的系统结构图;
图3为本发明所提出的虚拟化环境下的反病毒系统结构图;
图4为本发明的反病毒系统运用于包含多个虚拟网络的虚拟化环境下的逻辑结构示意图;
图5为反病毒主体程序在反病毒虚拟机上运行的基本流程图;
图6为反病毒代理程序在普通工作虚拟机上运行的基本流程图;
图7为本发明的反病毒系统在实际应用环境中的逻辑结构图;
图8为本发明的反病毒方法实现的具体流程图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图所示,图2为把现有常规的反病毒方法运用于虚拟化环境下的系统结构图。图3为本发明所提出的虚拟化环境下的反病毒系统结构图。
如图2所示,传统的反病毒系统通常就是一个独立的单个应用程序,这个独立的单个应用程序被安装在实体计算机上,对该实体计算机进行反病毒保护。本发明所提出的本发明所提出的虚拟化环境下的反病毒系统,其体系结构不同于传统的反病毒系统,本发明的反病毒系统不再是一个独立的单个应用程序。
如图3所示,本发明所提出的反病毒系统被分成了两个部分:
一个部分称之为反病毒主体程序,反病毒主体程序被安装在一台独立的、专门的虚拟机中,在这台专门的虚拟机中安装有一个操作系统,在此操作系统中只安装反病毒主体程序,不再安装其它应用程序,即这台虚拟机是专门用来反病毒的,所以把这台虚拟机称为反病毒虚拟机。
反病毒虚拟机类似于现有常规的传统的反病毒软件系统,其反病毒主体程序的功能也包括了监控识别、扫描和清除病毒和自动升级等现有常规的传统反病毒软件系统的基本功能。
另一部分称之为反病毒代理程序,反病毒代理程序被安装在每一台需要接受反病毒保护服务的普通工作虚拟机中,主要用来对普通工作虚拟机的文件系统进行监控以及和反病毒虚拟机进行通信交互。
普通工作虚拟机的反病毒代理程序的主要功能是监控虚拟机的文件系统和内存;通过网络连接,向反病毒虚拟机发出病毒扫描的请求,由反病毒虚拟机对请求病毒扫描的虚拟机进行病毒查杀扫描;维护普通工作虚拟机上的本地扫描缓存。
此外,本发明所提出的反病毒系统在创建普通工作虚拟机时可以尽可能采用基于模板的创建方式。在制作模板时,把反病毒代理程序集成到普通工作虚拟机中,并在执行了首次全盘扫描之后,再发布为模板。这样,如果有多台相同系统的虚拟机,只需执行一次首次运行时的全盘扫描就可以了,而不需要分别执行多次全盘扫描,大大的节省了时间和资源的消耗。
本发明还提出了一种使用该反病毒系统进行反病毒的方法,如图8所示,包括以下步骤:
1)在反病毒虚拟机和普通工作虚拟机上分别安装反病毒主体程序(步骤501)和反病毒代理程序(步骤601)。
2)反病毒虚拟机一直监听来自普通工作虚拟机中的反病毒代理程序的请求(步骤801)。
3)系统首次运行时,普通工作虚拟机上的反病毒代理程序向反病毒虚拟机发送一个全盘扫描的请求(步骤602)。
4)反病毒虚拟机上的反病毒主体程序接收到3)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,并对普通工作虚拟机进行全盘扫描(步骤802)。
5)初次扫描时在普通工作虚拟机上建立本地扫描缓存(步骤603)。
6)反病毒代理程序对普通工作虚拟机的文件系统和内存进行实时监控(步骤604)。当检测到有文件修改操作(步骤605)时,首先在本地扫描缓存中检查是否存在匹配项(步骤606),如果存在匹配项,则继续进行监控(步骤604);如果不存在匹配项,则请求查找全局扫描缓存中是否有匹配项(步骤607)。
7)反病毒虚拟机接收到6)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道进行缓存查找(步骤803),并在反病毒虚拟机的全局扫描缓存中检查是否存在匹配项(步骤608),如果存在匹配项,则说明该文件曾在其它虚拟机上被扫描过,是无病毒的;如果不存在匹配项,则请求反病毒虚拟机对该文件进行扫描(步骤609)。
8)反病毒虚拟机接收到7)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,使用杀毒引擎对该文件进行扫描(步骤802),更新并同步本地扫描缓存和全局扫描缓存(步骤603、804)。
在本发明所提出的反病毒的方法中,反病毒虚拟机对普通工作虚拟机进行扫描的策略为:反病毒虚拟机先使用发出请求的普通工作虚拟机上的反病毒代理程序所维护的本地扫描缓存,再使用该反病毒虚拟机所维护的全局扫描缓存,最后才使用反病毒虚拟机的杀毒引擎进行扫描,检查该被扫描的文件在本地扫描缓存或全局扫描缓存中是否有匹配项。由于本地扫描缓存和全局扫描缓存中记录着扫描过的无病毒文件的标识信息,如果在扫描本地扫描缓存或全局扫描缓存时能够找到匹配项,则说明这个被扫描的文件是无病毒的。杀毒引擎每次对文件进行扫描之后,都会更新全局扫描缓存,同时各普通工作虚拟机的本地扫描缓存也会定期和反病毒虚拟机的全局扫描缓存进行同步。
为使本发明的特征及优点得到更清楚的了解,以下结合图7做进一步说明。
首先描述一下本发明所提出的反病毒方法在实际应用环境中的逻辑结构。如图7所示,在这个应用环境中,最底层是实体计算机硬件1,虚拟机管理程序2作为中间媒介,和实体计算机硬件进行交互,为虚拟机提供相应的资源。虚拟机分为反病毒虚拟机3和普通工作虚拟机4,所有虚拟机上都需要安装虚拟机操作系统5,反病毒虚拟机3和普通工作虚拟机4的区别在于,反病毒虚拟机3仅仅在操作系统中安装反病毒主体程序6,不再安装其它应用软件,即该虚拟机是专用于反病毒的;而其它所有的普通工作虚拟机上都需要安装反病毒代理程序7,除此之外还可以安装普通工作虚拟机用户想要使用的任何其它应用软件。所有安装了反病毒代理程序7的普通工作虚拟机4上都维护着一个本地扫描缓存8,在反病毒虚拟机上则维护着一个全局扫描缓存9。普通工作虚拟机和反病毒虚拟机之间通过虚拟网络进行通信。
反病毒虚拟机3的反病毒主体程序6包含了监控识别、扫描和清除病毒和自动升级等现有常规的传统反病毒软件系统的基本功能。除此之外,反病毒主体程序6还包含与反病毒代理程序7进行网络通信的功能,以及对整个虚拟化环境下,所有与之相关联的反病毒代理程序对应的虚拟机的定时扫描进行统筹管理,即采用一定的策略,统一规划并实施对虚拟机的定时扫描,以达到对有限资源进行优化使用的目的。
反病毒主体程序在反病毒虚拟机上运行的基本流程(即反病毒主体程序所要进行的主要工作)如图5所示。在反病毒虚拟机上安装运行反病毒主体程序(步骤501)之后,它会不断地自动更新病毒库(步骤502)(也可能会进行主体程序的整体升级或更新杀毒引擎)。同时,反病毒主体程序会按照用户所选择的定时扫描策略,安排并实施普通工作虚拟机的定时扫描(步骤503)。反病毒虚拟机上会建立一个全局扫描缓存,每次使用杀毒引擎对文件进行扫描之后,都会更新这个全局扫描缓存,并将其和普通工作虚拟机上的本地扫描缓存进行同步(步骤504)。反病毒虚拟机的另一项重要任务就是实时监听来自反病毒代理程序的请求,为普通工作虚拟机提供按需扫描服务(步骤505)。
综上所述,反病毒虚拟机3负责集中管理与其相关联的所有普通工作虚拟机4,根据用户选择的定时扫描策略,统筹规划并执行对各普通工作虚拟机的定时全盘扫描。这些扫描策略可以包括空闲时扫描、指定时间段扫描等。此外,反病毒虚拟机3中的反病毒主体程序6还负责定期把全局扫描缓存和各普通工作虚拟机中的本地扫描缓存进行同步,让各虚拟机及时共享扫描信息,以尽可能减少文件扫描的发生次数。
反病毒代理程序7在普通工作虚拟机4上运行的基本流程如图6所示。首先在普通工作虚拟机上安装好反病毒代理程序(步骤601)之后,初次运行反病毒代理程序时,会请求反病毒虚拟机进行全盘扫描(步骤602),并在该普通工作虚拟机上建立本地扫描缓存(步骤603)。之后,在普通工作虚拟机正常的工作过程中,反病毒代理程序会实时监控虚拟机的文件系统和内存(步骤604)。当检测到文件修改(步骤605)时,反病毒代理程序会首先在本地扫描缓存中进行查找,查看是否有该文件的匹配项(步骤606)。如果找到了匹配项,则说明该文件是无病毒的,返回继续进行实时监控(步骤604)。如果未找到匹配项,则向反病毒虚拟机发出请求(步骤607),在全局扫描缓存中进行查找,查看是否有该文件的匹配项(步骤608)。如果找到了匹配项,则说明该文件是无病毒的,返回继续进行实时监控(步骤604)。如果未找到匹配项,则向反病毒虚拟机发出请求,使用杀毒引擎对该文件进行扫描(步骤609),根据扫描结果更新并同步本地扫描缓存和全局扫描缓存(步骤603、804)。
本发明所提出的反病毒方法的扫描策略为:首先在反病毒代理所维护的本地扫描缓存中进行检查(步骤604、605);如果在本地扫描缓存中未找到匹配项(步骤606),再向反病毒虚拟机发送请求(步骤607),在反病毒虚拟机所维护的全局扫描缓存中进行检查(步骤803);如果在全局扫描缓存中也未找到匹配项(步骤608),再向反病毒虚拟机发送请求(步骤609),由反病毒虚拟机使用杀毒引擎对其进行文件扫描(步骤802),检查该被扫描的文件在本地扫描缓存或全局扫描缓存中是否有匹配项。
由于扫描缓存中记录着扫描过的无病毒文件的标识信息,如果在扫描缓存中能够找到匹配项,那就说明这个文件是无病毒的。杀毒引擎每次对文件进行扫描之后,都会更新全局扫描缓存,同时各虚拟机的本地扫描缓存会更新并定期和反病毒虚拟机的全局扫描缓存进行同步(步骤603、804)。这样,一个已经在某台虚拟机上扫描过的文件,在另一台虚拟机上再出现时,就不必使用杀毒引擎对其进行扫描了。在缓存中进行查找匹配(步骤606、608),比直接用杀毒引擎进行扫描效率更高,而且使用的资源更少。
此外,本发明提出的反病毒系统可以结合虚拟机基于模板的创建方式提供安全模板,即在制作虚拟机模板时,先安装好反病毒代理程序到一台普通工作虚拟机中,并对其进行全盘扫描。这样,基于这个模板创建的其他所有普通工作虚拟机就不用在初次运行时进行全盘扫描了。假如有10台虚拟机是基于安全模板创建的,那么将会省去10次首次运行时的全盘扫描,10次全盘扫描所占用的时间和资源是相当可观的,因此该方式也是节省时间、减少资源消耗的一种有效手段。
本发明所提出的反病毒系统也可运用于包含多个虚拟网络的虚拟化环境下,其逻辑结构示意图如图4所示。由于虚拟化环境下可以很方便地划分虚拟网络,不同的虚拟网络之间是可以实现网络隔离的,对于包含了多个虚拟网络的虚拟化环境,则每一个独立的虚拟网络都需要有自己的反病毒虚拟机,该反病毒虚拟机负责为同一虚拟网络内的其它普通工作虚拟机提供安全保护。
了解了本发明所提出的反病毒系统的逻辑结构之后,下面再结合图8说明一下使用该反病毒系统进行反病毒的方法的具体实现流程:
1)首先在反病毒虚拟机和普通工作虚拟机上分别安装反病毒主体程序(步骤501)和反病毒代理程序(步骤601),普通工作虚拟机上安装配置好反病毒代理程序后,首次运行时需要进行全盘扫描。
2)反病毒虚拟机安装配置好反病毒主体程序(步骤501)后,会一直监听网络中来自普通工作虚拟机中的反病毒代理程序的请求(步骤801)。
3)首次运行时,普通工作虚拟机上的反病毒代理程序向反病毒虚拟机发送一个全盘扫描的请求(步骤602)。
4)反病毒虚拟机中的反病毒主体程序接收到3)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,开始对普通工作虚拟机进行全盘扫描(步骤802)。
5)初次扫描时,会在普通工作虚拟机上建立本地扫描缓存,将扫描过的无病毒的文件的标识信息保存在本地扫描缓存中,扫描结束后再将本地扫描缓存合并到全局扫描缓存中。同时,本地扫描缓存在以后的运行过程中,也会更新并定期和反病毒虚拟机上的全局扫描缓存进行同步(步骤603、804)。
6)在通常的虚拟机使用过程中,普通工作虚拟机上的反病毒代理程序会一直对虚拟机的文件系统和内存进行实时监控(步骤604)。当检测到有文件修改操作(步骤605)时,首先在本地扫描缓存中检查是否存在匹配项(步骤606),如果存在匹配项,则说明该文件是曾被扫描过的,是无病毒的,继续进行监控(步骤604);如果在本地扫描缓存中不存在匹配项,则请求查找全局扫描缓存中是否有匹配项(步骤607)。
7)反病毒虚拟机接收到6)中反病毒代理程序的请求之后,在两台虚拟机之间建立通信信道,建立连接进行缓存查找(步骤803),并在反病毒虚拟机的全局扫描缓存中检查是否存在匹配项(步骤608),如果存在匹配项,则说明该文件曾在其它虚拟机上被扫描过,是无病毒的(即该文件可能在本地扫描缓存和全局扫描缓存的最近一次同步到下一次同步之间的这段时间内,在其它虚拟机上被扫描过);如果不存在匹配项,则请求反病毒虚拟机对该文件进行扫描(步骤609)。
8)反病毒虚拟机接收到7)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,使用杀毒引擎对该文件进行扫描(步骤802),更新并同步本地扫描缓存和全局扫描缓存(步骤603、804)。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种虚拟化环境下的反病毒系统,其特征在于,包括:
反病毒主体模块及全局扫描缓存,该反病毒主体模块能监控识别、扫描和清除病毒以及自动升级并且一直监听来自反病毒代理模块发出的请求,并维护全局扫描缓存;
反病毒代理模块及本地扫描缓存,反病毒代理模块能监控虚拟机的文件系统和内存以及向反病毒主体模块发出病毒扫描请求,并能维护虚拟机上的本地扫描缓存。
2.如权利要求1所述的系统,其特征在于,该反病毒主体模块是设置于在一台独立的、专门的反病毒虚拟机中。
3.如权利要求1所述的系统,其特征在于,各反病毒代理模块设置在各需要接受反病毒保护服务的工作虚拟机中。
4.如权利要求3所述的系统,其特征在于,该系统还包括工作虚拟机创建模板,该创建模板为先把把反病毒代理模块集成到普通虚拟机中,并执行了首次全盘扫描之后,而发布成的用于采用基于模板的创建方式建工作虚拟机的模板。
5.一种虚拟化环境下的反病毒方法,其特征在于,其在反病毒虚拟机和工作虚拟机上分别安装反病毒主体程序和反病毒代理程序;并且由反病毒虚拟机一直监听来自工作虚拟机中的反病毒代理程序的请求,当反病毒代理程序向反病毒虚拟机发送扫描请求时,反病毒虚拟机的反病毒主体程序接收该请求,在这两台虚拟机之间建立通信信道,并对工作虚拟机进行扫描。
6.如权利要求5所述的方法,其特征在于,其扫描策略为:扫描时,该反病毒虚拟机先使用发出请求的工作虚拟机上的反病毒代理程序所维护的本地扫描缓存,再使用该反病毒虚拟机所维护的全局扫描缓存,检查该被扫描的文件在本地扫描缓存或全局扫描缓存中是否有匹配项,最后才使用反病毒虚拟机的杀毒引擎进行扫描。
7.如权利要求6所述的方法,其特征在于,本地扫描缓存和全局扫描缓存中记录着已经扫描过的无病毒文件的标识信息,如果在扫描本地扫描缓存或全局扫描缓存时能够找到匹配项,则表示这个被扫描的文件是无病毒的。
8.如权利要求6所述的方法,其特征在于,杀毒引擎每次对文件进行扫描之后,将更新全局扫描缓存,同时各工作虚拟机的本地扫描缓存也会定期和反病毒虚拟机的全局扫描缓存进行同步。
9.如权利要求5所述的方法,其特征在于,其包括以下步骤:
1)在反病毒虚拟机和工作虚拟机上分别安装反病毒主体程序和反病毒代理程序;
2)反病毒虚拟机一直监听来自工作虚拟机中的反病毒代理程序的请求;
3)系统首次运行时,工作虚拟机上的反病毒代理程序向反病毒虚拟机发送一个全盘扫描的请求;
4)反病毒虚拟机上的反病毒主体程序接收到步骤3)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,并对工作虚拟机进行全盘扫描;
5)初次扫描时在工作虚拟机上建立本地扫描缓存;
6)反病毒代理程序对工作虚拟机的文件系统和内存进行实时监控;当检测到有文件修改操作时,首先在本地扫描缓存中检查是否存在匹配项,如果存在匹配项,则继续进行监控;如果不存在匹配项,则请求查找全局扫描缓存中是否有匹配项;
7)反病毒虚拟机接收到步骤6)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道进行缓存查找,并在反病毒虚拟机的全局扫描缓存中检查是否存在匹配项,如果存在匹配项,则说明该文件曾在其它虚拟机上被扫描过,是无病毒的;如果不存在匹配项,则请求反病毒虚拟机对该文件进行扫描;
8)反病毒虚拟机接收到步骤7)中反病毒代理程序的请求之后,在这两台虚拟机之间建立通信信道,使用杀毒引擎对该文件进行扫描,更新并同步本地扫描缓存和全局扫描缓存。
10.如权利要求9所述的方法,其特征在于,在步骤1)中,其还包括一个虚拟机模板制作步骤,其是先安装好反病毒代理程序到一台工作虚拟机中,并对其进行全盘扫描,再发布为模板;并基于这个模板创建其他工作虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102136197A CN102467637A (zh) | 2011-07-28 | 2011-07-28 | 一种虚拟化环境下的反病毒系统及其反病毒方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102136197A CN102467637A (zh) | 2011-07-28 | 2011-07-28 | 一种虚拟化环境下的反病毒系统及其反病毒方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102467637A true CN102467637A (zh) | 2012-05-23 |
Family
ID=46071264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102136197A Pending CN102467637A (zh) | 2011-07-28 | 2011-07-28 | 一种虚拟化环境下的反病毒系统及其反病毒方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102467637A (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102760212A (zh) * | 2012-05-31 | 2012-10-31 | 北京朋创天地科技有限公司 | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 |
| CN102880557A (zh) * | 2012-09-13 | 2013-01-16 | 浙江金大科技有限公司 | 一种异构数据源的多级分布式高速缓存 |
| CN103810426A (zh) * | 2012-11-09 | 2014-05-21 | 国际商业机器公司 | 用于检测克隆的虚拟机实例的方法和系统 |
| CN103810429A (zh) * | 2014-02-28 | 2014-05-21 | 成都长天信息技术有限公司 | 基于桌面云虚拟化技术的电脑病毒查杀方法 |
| CN104063267A (zh) * | 2014-07-11 | 2014-09-24 | 孙强强 | 一种虚拟机流量监控方法及系统 |
| CN104484155A (zh) * | 2014-11-24 | 2015-04-01 | 北京奇虎科技有限公司 | 一种虚拟化平台下下发指令的方法和装置 |
| CN104504331A (zh) * | 2014-12-19 | 2015-04-08 | 北京奇虎科技有限公司 | 虚拟化安全检测方法与系统 |
| CN105320889A (zh) * | 2015-02-10 | 2016-02-10 | 中国移动通信集团广东有限公司 | 一种安全检测方法及装置 |
| CN105474225A (zh) * | 2013-08-14 | 2016-04-06 | 惠普发展公司,有限责任合伙企业 | 在基于云的数据中心中对计算资源进行自动监控 |
| CN105631320A (zh) * | 2015-12-18 | 2016-06-01 | 北京奇虎科技有限公司 | 虚拟机逃逸的检测方法及装置 |
| WO2017028612A1 (zh) * | 2015-08-18 | 2017-02-23 | 中兴通讯股份有限公司 | 虚拟机杀毒的方法及装置 |
| CN107239700A (zh) * | 2017-06-28 | 2017-10-10 | 郑州云海信息技术有限公司 | 一种基于xen虚拟化平台的安全防护方法 |
| CN107451152A (zh) * | 2016-05-31 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 计算设备、数据缓存和查找的方法及装置 |
| CN107545183A (zh) * | 2017-09-15 | 2018-01-05 | 郑州云海信息技术有限公司 | 一种杀毒方法、装置及系统 |
| JP2019527877A (ja) * | 2016-06-24 | 2019-10-03 | シーメンス アクティエンゲゼルシャフト | Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信 |
| CN110874473A (zh) * | 2018-09-04 | 2020-03-10 | 成都华为技术有限公司 | 病毒检测方法、装置及系统、云服务系统、存储介质 |
| TWI694699B (zh) * | 2019-01-07 | 2020-05-21 | 瑞昱半導體股份有限公司 | 虛擬機器的通訊方法、電子裝置以及非暫態電腦可讀取記錄媒體 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090089879A1 (en) * | 2007-09-28 | 2009-04-02 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US20090158432A1 (en) * | 2007-12-12 | 2009-06-18 | Yufeng Zheng | On-Access Anti-Virus Mechanism for Virtual Machine Architecture |
| CN101599947A (zh) * | 2008-06-06 | 2009-12-09 | 盛大计算机(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
-
2011
- 2011-07-28 CN CN2011102136197A patent/CN102467637A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090089879A1 (en) * | 2007-09-28 | 2009-04-02 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US20090158432A1 (en) * | 2007-12-12 | 2009-06-18 | Yufeng Zheng | On-Access Anti-Virus Mechanism for Virtual Machine Architecture |
| CN101599947A (zh) * | 2008-06-06 | 2009-12-09 | 盛大计算机(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102760212B (zh) * | 2012-05-31 | 2015-04-01 | 北京朋创天地科技有限公司 | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 |
| CN102760212A (zh) * | 2012-05-31 | 2012-10-31 | 北京朋创天地科技有限公司 | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 |
| CN102880557A (zh) * | 2012-09-13 | 2013-01-16 | 浙江金大科技有限公司 | 一种异构数据源的多级分布式高速缓存 |
| CN102880557B (zh) * | 2012-09-13 | 2015-06-10 | 浙江金大科技有限公司 | 一种异构数据源的多级分布式高速缓存的查找方法 |
| CN103810426A (zh) * | 2012-11-09 | 2014-05-21 | 国际商业机器公司 | 用于检测克隆的虚拟机实例的方法和系统 |
| CN103810426B (zh) * | 2012-11-09 | 2017-04-05 | 国际商业机器公司 | 用于检测克隆的虚拟机实例的方法和系统 |
| CN105474225B (zh) * | 2013-08-14 | 2019-05-14 | 慧与发展有限责任合伙企业 | 在基于云的数据中心中对计算资源进行自动监控 |
| US10095863B2 (en) | 2013-08-14 | 2018-10-09 | Hewlett Packard Enterprise Development Lp | Automating monitoring of a computing resource in a cloud-based data center |
| CN105474225A (zh) * | 2013-08-14 | 2016-04-06 | 惠普发展公司,有限责任合伙企业 | 在基于云的数据中心中对计算资源进行自动监控 |
| CN103810429A (zh) * | 2014-02-28 | 2014-05-21 | 成都长天信息技术有限公司 | 基于桌面云虚拟化技术的电脑病毒查杀方法 |
| CN104063267A (zh) * | 2014-07-11 | 2014-09-24 | 孙强强 | 一种虚拟机流量监控方法及系统 |
| CN104063267B (zh) * | 2014-07-11 | 2017-11-14 | 孙强强 | 一种虚拟机流量监控方法及系统 |
| CN104484155A (zh) * | 2014-11-24 | 2015-04-01 | 北京奇虎科技有限公司 | 一种虚拟化平台下下发指令的方法和装置 |
| CN104484155B (zh) * | 2014-11-24 | 2018-05-01 | 北京奇安信科技有限公司 | 一种虚拟化平台下下发指令的方法和装置 |
| CN104504331A (zh) * | 2014-12-19 | 2015-04-08 | 北京奇虎科技有限公司 | 虚拟化安全检测方法与系统 |
| CN104504331B (zh) * | 2014-12-19 | 2017-12-08 | 北京奇安信科技有限公司 | 虚拟化安全检测方法与系统 |
| WO2016095687A1 (zh) * | 2014-12-19 | 2016-06-23 | 北京奇虎科技有限公司 | 虚拟化安全检测方法与系统 |
| CN105320889A (zh) * | 2015-02-10 | 2016-02-10 | 中国移动通信集团广东有限公司 | 一种安全检测方法及装置 |
| WO2017028612A1 (zh) * | 2015-08-18 | 2017-02-23 | 中兴通讯股份有限公司 | 虚拟机杀毒的方法及装置 |
| CN106469275A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 虚拟机杀毒方法及装置 |
| CN105631320A (zh) * | 2015-12-18 | 2016-06-01 | 北京奇虎科技有限公司 | 虚拟机逃逸的检测方法及装置 |
| CN105631320B (zh) * | 2015-12-18 | 2019-04-19 | 北京奇虎科技有限公司 | 虚拟机逃逸的检测方法及装置 |
| CN107451152A (zh) * | 2016-05-31 | 2017-12-08 | 阿里巴巴集团控股有限公司 | 计算设备、数据缓存和查找的方法及装置 |
| CN107451152B (zh) * | 2016-05-31 | 2021-06-11 | 阿里巴巴集团控股有限公司 | 计算设备、数据缓存和查找的方法及装置 |
| JP2019527877A (ja) * | 2016-06-24 | 2019-10-03 | シーメンス アクティエンゲゼルシャフト | Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信 |
| US11022949B2 (en) | 2016-06-24 | 2021-06-01 | Siemens Aktiengesellschaft | PLC virtual patching and automated distribution of security context |
| CN107239700A (zh) * | 2017-06-28 | 2017-10-10 | 郑州云海信息技术有限公司 | 一种基于xen虚拟化平台的安全防护方法 |
| CN107545183A (zh) * | 2017-09-15 | 2018-01-05 | 郑州云海信息技术有限公司 | 一种杀毒方法、装置及系统 |
| CN110874473A (zh) * | 2018-09-04 | 2020-03-10 | 成都华为技术有限公司 | 病毒检测方法、装置及系统、云服务系统、存储介质 |
| TWI694699B (zh) * | 2019-01-07 | 2020-05-21 | 瑞昱半導體股份有限公司 | 虛擬機器的通訊方法、電子裝置以及非暫態電腦可讀取記錄媒體 |
| US11144370B2 (en) | 2019-01-07 | 2021-10-12 | Realtek Semiconductor Corporation | Communication method for virtual machines, electronic device, and non-transitory computer readable storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102467637A (zh) | 一种虚拟化环境下的反病毒系统及其反病毒方法 | |
| EP2649548B1 (en) | Antimalware protection of virtual machines | |
| US8819832B2 (en) | Systems and methods for performing vulnerability scans on virtual machines | |
| US8176558B2 (en) | Anti-virus method, computer, and recording medium | |
| US9166988B1 (en) | System and method for controlling virtual network including security function | |
| US8978032B2 (en) | Host naming application programming interface | |
| KR101574366B1 (ko) | 가상 머신 및 애플리케이션 수명들의 동기화 | |
| US20140137110A1 (en) | Capacity reclamation and resource adjustment | |
| US10437620B2 (en) | Pinned vulnerability scanner for scanning virtual machines on a single machine | |
| US20190220369A1 (en) | Method, device and computer program product for data backup | |
| US20200034178A1 (en) | Virtualization agnostic orchestration in a virtual computing system | |
| US10353800B2 (en) | System and method for graph based monitoring and management of distributed systems | |
| CN102833310A (zh) | 一种基于虚拟化技术的工作流引擎集群系统 | |
| US11126468B2 (en) | Agent driven cluster gating for service management | |
| US9275201B2 (en) | Execution-based license discovery and optimization | |
| Corradi et al. | Increasing cloud power efficiency through consolidation techniques | |
| CN103810444A (zh) | 一种云计算平台中多租户应用隔离的方法和系统 | |
| US20170185496A1 (en) | Assigning network device subnets to perform network activities using network device information | |
| CN104156255A (zh) | 一种虚拟机迁移方法、虚拟机迁移装置及源物理主机 | |
| CN102882932A (zh) | 基于云服务器的信息安全虚拟实验系统 | |
| CN109165078B (zh) | 一种虚拟分布式服务器及其访问方法 | |
| CN101650666A (zh) | 一种计算机管理系统及方法 | |
| US11704105B2 (en) | Method, device, and computer program product for managing virtual machine upgrade | |
| US10157110B2 (en) | Distributed system, server computer, distributed management server, and failure prevention method | |
| CN111277499A (zh) | 基于gateway网关实时生效的动态路由方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120523 |