CN102722678B - 一种虚拟桌面可执行程序保护机制 - Google Patents
一种虚拟桌面可执行程序保护机制 Download PDFInfo
- Publication number
- CN102722678B CN102722678B CN201210177884.9A CN201210177884A CN102722678B CN 102722678 B CN102722678 B CN 102722678B CN 201210177884 A CN201210177884 A CN 201210177884A CN 102722678 B CN102722678 B CN 102722678B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- executable program
- virtual
- virtual desktop
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟桌面可执行程序保护机制,包括以下步骤:虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理。有效阻止了不可信的程序运行,提高了虚拟桌面的整体安全性能。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种虚拟桌面可执行程序保护机制。
背景技术
虚拟桌面是通过硬件虚拟化技术,将多个桌面操作系统集中运行在少量服务器的虚拟机上,从而实现服务器硬件资源的复用,用户可以使用不同终端,如传统PC,智能手机,瘦客户端等通过网络使用这些桌面环境。虚拟桌面可以将传统的用户PC终端分散管理转变为集中的管理,极大地减少了系统运维成本和运维工作量。目前该技术已经得到了广泛的应用。
然而虚拟桌面依然面临着病毒、木马等恶意程序的威胁。与传统的终端应用环境不同,一旦虚拟桌面环境中出现病毒和木马,由于运算和存储的相对集中,导致这些恶意程序的散布和传播速度会远远快于传统的终端应用环境。而恶意程序一旦蔓延开来,必定会对虚拟桌面的服务环境造成极大的干扰和影响。
发明内容
本发明解决的技术问题在于有效防止虚拟桌面环境中恶意程序蔓延。
为了解决以上问题,一种虚拟桌面可执行程序保护机制,包括以下步骤:
虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;
在承载虚拟机的物理主机上部署可执行程序保护机制的代理。
进一步,作为一种优选,所述虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤进一步包括:在一台或多台物理主机上搭建虚拟机的运行环境,而在额外的独立存储主机上搭建虚拟机所需的存储环境,虚拟机采用iSCSI访问远端的存储镜像。
进一步,作为一种优选,所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理进一步包括:代理被部署在物理主机的Domain-0中,而Domain-0作为虚拟机的特权域,可以控制其他非特权虚拟机的运行状态,当监控到虚拟机内部有对CreateProcess和LoadLibrary等系统调用的请求时,就挂起该请求,对请求装载的可执行程序进行度量检查后再做处理。
进一步,作为一种优选,:在初始化虚拟桌面服务环境时,预设一个可信的可执行程序列表,并保存这个列表里的可执行程序的Hash值作为整个系统的白名单,只有在白名单之内的可执行程序才准予运行,否则不允许运行。
进一步,作为一种优选,采用一种在Domai-0中进行虚拟机内部可执行程序度量和Hash值比对的方法。
进一步,作为一种优选,根据Domain-0中度量和匹配结果,对虚拟机内部的系统调用请求做出处理,即是否允许被度量的可执行程序运行。
本发明的有益效果在于,该方法以虚拟机镜像克隆机制和可执行程序白名单机制为技术基础,从根本上阻断不可信代码的运行,使得虚拟桌面环境不会受到恶意代码的侵害,同时兼顾了该安全机制对系统带来的性能影响,使系统开销降到最低。
附图说明
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中:
图1本发明实施例的工作流程图。
具体实施方式
以下参照图1对本发明的实施例进行说明。
为使上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
一种虚拟桌面可执行程序保护机制,包括以下步骤:虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理。
如图1所示,一种虚拟桌面可执行程序保护机制,包括以下步骤:
S1、VM发出CreateProcess和LoadLibrary系统调用请求;
S2、挂起该请求;
S3、数据重组;
S4、是否在系统白名单内;
S5、如果在,则恢复VM内的系统调用请求;
S6、如果不在,则失败VM内的系统调用请求并返回。
本发明的核心在于部署在承载虚拟机的物理主机Domain-0中的代理。该代理的设计基于如下两个原则:一、能够准确捕获虚拟机内的程序操作;二、不能够被旁路。下面结合附图和上述原则对本发明进行详细说明:由于Domain-0是虚拟机环境中的特权域,所有非特权虚拟机的文件读写,CPU调度等操作都需要经过Domain-0,因此将代理部署在Domain-0中,可以方便捕获到非特权虚拟机中的系统调用;同时在非特权虚拟机内部运行的代码由于优先级较低,无法感知在Domain-0中的安全机制,因此无法将其避开,从而确保安全机制的有效。
在实施过程中,首先需要拟定可信的软件集合,然后使用工具计算这些软件可执行代码的Hash值,将这些Hash值统一保存,即是系统的“白名单”。
当虚拟机内部需要加载可执行程序时,会发出CreateProcess或LoadLibrary的系统调用请求以及对磁盘文件的读请求,而部署在Domain-0中的代理程序会捕获到此类请求,并将其挂起;同时根据读请求中包含的磁盘名,磁盘块偏移量等信息,代理程序会将虚拟机请求的可执行程序代码在Domain-0中重组。重组完成后,代理程序对其进行Hash运算并与系统“白名单”中预存的Hash值进行比对,如果匹配成功,则恢复虚拟机内的系统调用请求,使该代码得到执行;如果匹配不成功,则失败掉虚拟机内的系统调用请求。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
Claims (1)
1.一种虚拟桌面可执行程序保护方法,其特征在于,包括以下步骤:
将虚拟桌面环境中的虚拟机的计算和存储相分离的步骤;
在承载虚拟机的物理主机上部署可执行程序保护机制的代理的步骤;
通过在虚拟桌面环境中进行虚拟机内部可执行程序度量和Hash值比对实现恶意代码的检测的步骤;
其中,所述将虚拟桌面环境中的虚拟机的计算和存储相分离的步骤具体为:
在一台或多台物理主机上搭建虚拟机的运行环境,而在额外的独立存储主机上搭建虚拟机所需的存储环境,虚拟机采用iSCSI访问远端的存储镜像;
所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理的步骤具体为:
将代理部署在物理主机的Domain-0中,所述Domain-0作为虚拟机的特权域,用于控制非特权虚拟机的运行状态;
所述通过在虚拟桌面环境中进行虚拟机内部可执行程序度量和Hash值比对实现恶意代码的检测的步骤具体为:
当虚拟机内部需要加载可执行程序时,发出CreateProcess或LoadLibrary的系统调用请求以及对磁盘文件的读请求,部署在Domain-0中的代理程序会捕获到所述系统调用请求,并将其挂起;
代理程序根据所述读请求中包含的磁盘名和磁盘块偏移量,将虚拟机请求的可执行程序代码在Domain-0中重组;
重组完成后,所述代理程序对所述可执行程序代码进行Hash运算并与系统白名单中预存的Hash值进行比对:
如果匹配成功,则恢复虚拟机内的系统调用请求,使所述可执行程序代码得到执行;
如果匹配不成功,则失败掉虚拟机内的系统调用请求并返回。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210177884.9A CN102722678B (zh) | 2012-05-31 | 2012-05-31 | 一种虚拟桌面可执行程序保护机制 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210177884.9A CN102722678B (zh) | 2012-05-31 | 2012-05-31 | 一种虚拟桌面可执行程序保护机制 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102722678A CN102722678A (zh) | 2012-10-10 |
| CN102722678B true CN102722678B (zh) | 2016-06-15 |
Family
ID=46948432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210177884.9A Active CN102722678B (zh) | 2012-05-31 | 2012-05-31 | 一种虚拟桌面可执行程序保护机制 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102722678B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103747095A (zh) * | 2014-01-21 | 2014-04-23 | 上海江南长兴重工有限责任公司 | 一种虚拟桌面系统及方法 |
| CN105159744B (zh) * | 2015-08-07 | 2018-07-24 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的度量方法及装置 |
| CN107203408B (zh) | 2016-03-17 | 2021-02-23 | 华为技术有限公司 | 重定向的方法、装置和系统 |
| CN108664772A (zh) * | 2018-04-27 | 2018-10-16 | 北京可信华泰信息技术有限公司 | 一种保证系统安全性的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101520833A (zh) * | 2009-04-10 | 2009-09-02 | 武汉大学 | 基于虚拟机的数据防泄漏系统及其方法 |
| CN101751529A (zh) * | 2008-12-09 | 2010-06-23 | 辉达公司 | 用于安全处理处理器的虚拟机中的机密内容的方法和装置 |
| CN101819619A (zh) * | 2010-04-14 | 2010-09-01 | 梁庆生 | 一种防止病毒及木马的方法 |
| CN102129531A (zh) * | 2011-03-22 | 2011-07-20 | 北京工业大学 | 一种基于Xen的主动防御方法 |
| CN102214127A (zh) * | 2010-11-15 | 2011-10-12 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8646098B2 (en) * | 2009-06-25 | 2014-02-04 | Flexera Software Llc | Method and system for software licensing under machine virtualization |
-
2012
- 2012-05-31 CN CN201210177884.9A patent/CN102722678B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101751529A (zh) * | 2008-12-09 | 2010-06-23 | 辉达公司 | 用于安全处理处理器的虚拟机中的机密内容的方法和装置 |
| CN101520833A (zh) * | 2009-04-10 | 2009-09-02 | 武汉大学 | 基于虚拟机的数据防泄漏系统及其方法 |
| CN101819619A (zh) * | 2010-04-14 | 2010-09-01 | 梁庆生 | 一种防止病毒及木马的方法 |
| CN102214127A (zh) * | 2010-11-15 | 2011-10-12 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
| CN102129531A (zh) * | 2011-03-22 | 2011-07-20 | 北京工业大学 | 一种基于Xen的主动防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102722678A (zh) | 2012-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10013274B2 (en) | Migrating virtual machines to perform boot processes | |
| US9465652B1 (en) | Hardware-based mechanisms for updating computer systems | |
| US9769250B2 (en) | Fight-through nodes with disposable virtual machines and rollback of persistent state | |
| US10148693B2 (en) | Exploit detection system | |
| KR102368170B1 (ko) | 멀웨어의 자동화된 런타임 검출 | |
| KR101535502B1 (ko) | 보안 내재형 가상 네트워크 제어 시스템 및 방법 | |
| US9535741B1 (en) | Expansion of services for a virtual data center guest | |
| JP6055574B2 (ja) | セキュアなオペレーティングシステム環境へのコンテキストベースのスイッチング | |
| US9122503B1 (en) | Systems and methods for adaptive throttling of input/output requests in a virtual environment | |
| US10176329B2 (en) | Systems and methods for detecting unknown vulnerabilities in computing processes | |
| EP2902937B1 (en) | Method, apparatus, and system for triggering virtual machine introspection | |
| US9111089B1 (en) | Systems and methods for safely executing programs | |
| KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
| US9942268B1 (en) | Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments | |
| CN108388793B (zh) | 一种基于主动防御的虚拟机逃逸防护方法 | |
| US10007785B2 (en) | Method and apparatus for implementing virtual machine introspection | |
| CN102722678B (zh) | 一种虚拟桌面可执行程序保护机制 | |
| CN111143030B (zh) | 一种云环境可信虚拟机的迁移方法 | |
| Hwang et al. | Design of a hypervisor-based rootkit detection method for virtualized systems in cloud computing environments | |
| JP2014225302A (ja) | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ | |
| CN112395617A (zh) | 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备 | |
| US20230334153A1 (en) | Detect and prevent synchronizing of a corrupted file | |
| Zhou et al. | Agentless and uniform introspection for various security services in iaas cloud | |
| US20230259606A1 (en) | Asset Access Control Method, Apparatus, Device, and Medium | |
| US20240134976A1 (en) | Analyzing file entropy to identify adverse conditions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |