CN102760212A - 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 - Google Patents
一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 Download PDFInfo
- Publication number
- CN102760212A CN102760212A CN2012101776858A CN201210177685A CN102760212A CN 102760212 A CN102760212 A CN 102760212A CN 2012101776858 A CN2012101776858 A CN 2012101776858A CN 201210177685 A CN201210177685 A CN 201210177685A CN 102760212 A CN102760212 A CN 102760212A
- Authority
- CN
- China
- Prior art keywords
- malicious code
- virtual desktop
- memory image
- detecting method
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤:基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;虚拟桌面环境下恶意代码检测步骤。有效提高了检测的效率,同时降低了检测给系统服务环境带来的性能损耗。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法。
背景技术
虚拟桌面是通过硬件虚拟化技术,将多个桌面操作系统集中运行在少量服务器的虚拟机上,从而实现服务器硬件资源的复用,用户可以使用不同终端,如传统PC,智能手机,瘦客户端等通过网络使用这些桌面环境。虚拟桌面可以将传统的用户PC终端分散管理转变为集中的管理,极大地减少了系统运维成本和运维工作量。目前该技术已经得到了广泛的应用。
虽然虚拟桌面带来了相应的快捷与成本的节约,但是虚拟桌面中的安全问题仍旧广泛存在,而恶意代码的问题就是其中之一。由于虚拟桌面的存储管理模式从之前的分散管理变成了集中管理,使得在虚拟桌面环境中的恶意代码检测方法也要随之产生变化。传统的使用杀毒软件独立检测的方法虽然仍然可以使用,但是由于存储的文件相对集中,规模变大,杀毒软件的检测效率会相应变低,同时对整个系统环境造成的性能影响也会变大。
发明内容
本发明解决的技术问题在于提高杀毒软件的检测效率,降低对整个系统环境造成的性能影响。
为了解决以上问题,一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤:
基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;
虚拟桌面环境下恶意代码检测步骤。
进一步,作为一种优选,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括:虚拟机的存储镜像采用集中管理。
进一步,作为一种优选,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括:每台虚拟机的系统数据和用户数据相互分离,系统数据采用克隆机制,用户数据采用独占机制。
进一步,作为一种优选,所有虚拟机的系统数据为共用,即存储母本,每个存储镜像对应一张位图表,位图的每一位用于标记该位所对应的块是否被修改过,其中1表示修改过,0表示未修改。
进一步,作为一种优选,所述虚拟桌面环境下恶意代码检测步骤进一步包括:采用一种在Domain-0中将数据重组步骤。
进一步,作为一种优选,所述采用一种在Domain-0中将数据重组步骤进一步包括:根据虚拟机读磁盘请求中的磁盘名和块号等信息重组数据。
进一步,作为一种优选,进一步包括:如果发现重组所得文件为PE格式文件,则用恶意代码检测软件进行特征检查,做出判断从而决定是否允许虚拟机获得请求数据。
本发明的有益效果在于,在虚拟桌面环境中,由于相同操作系统的桌面具有很大的共性,即除了用户个人信息和数据之外,其他用于维持操作系统运行的程序内容都是一致的。而这一特性使得承载虚拟桌面的每台虚拟机所使用的操作系统存储镜像具有很强的通用性,从而多个虚拟机使用同一个操作系统存储镜像的方法是可行的。镜像克隆技术就是上述方法的一个实现,它将一个装好完整操作系统的原始镜像作为母本,当多个虚拟机启动时,从唯一的母本中所需读取数据,这样有效减小了存储的数量和规模以及容量开销等,同时这样也使得对恶意代码的检测为系统带来的开销有效降低。
附图说明
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中:
图1本发明实施例的工作流程图。
具体实施方式
以下参照图1对本发明的实施例进行说明。
为使上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤:
基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;
虚拟桌面环境下恶意代码检测步骤。
如图1所示,一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤:
S1、虚拟机读数据;
S2、挂起读操作;
S3、块号对应的位图位;
S4、如果位图位为0,则从母本读数据;
S5、如果位图位为1,则从私有磁盘读数据;
S6、数据重组并检测;
S7、是否为恶意代码;
S8、不是恶意代码,则恢复读操作;
S9、如果是恶意代码,则失败读操作并返回。
在存储服务器上,首先建立一个装好完整操作系统以及桌面环境所需的应用软件等的磁盘镜像,称为母本,母本被赋予只读属性;同时,为每个虚拟机建立一个单独的私有磁盘镜像,用于存放每台虚拟机的用户的个人文件,以及每台虚拟机运行时需要写入磁盘的临时文件等,该虚拟机的私有磁盘镜像的大小与母本需要保持一致。虚拟机采用iSCSI访问远端的磁盘镜像。在存储服务器上,每个磁盘镜像,包括母本和私有磁盘镜像,都有一张对应的位图表,用于标识其所有的物理块状态。当虚拟机读取文件时,首先检查要读取的位是否被修改,若是,则从私有磁盘镜像读取数据,否则从母本读取数据。当虚拟机首次启动时,由于其私有磁盘镜像初始为空,则从母本中读取所需数据来完成启动,而当需要向磁盘写入数据时,则写入自己的私有磁盘镜像,下次读取时,读取最新的数据。在Domain-0中,可以方便的捕获到所有虚拟机对磁盘的读写操作,而当捕获到读操作时,则可以通过上述的位图机制,获取读取的目标磁盘镜像以及块号信息,从而得到读取的全部数据,从而可以在Domain-0中对数据进行重组。如果发现重组所得文件为PE格式文件,则用恶意代码检测软件进行特征检查,即可做出判断从而决定是否允许虚拟机获得请求数据。
例如,在存储服务器上建立一个10GB大小的母本,并为每台虚拟机建立一个独立的10GB大小的私有磁盘镜像,为这些私有磁盘镜像建立位图表,在这里,我们以512字节为单位,则位图表的尺寸为20MB,位图的每一位用于标记该位所对应的块是否被修改过,其中1表示修改过,0表示未修改。当虚拟机启动时,首先读取其对应的位图表,如果要读取的数据块在位图表里对应的值为1,则从私有磁盘镜像中读取数据,如果要读取的数据块在位图表里对应的值为0,则从母本中读取数据。这样可以在保证虚拟机一致性的基础上,同时保证虚拟机的独立性。
在进行恶意代码检测时,位于Domain-0里的恶意代码检测程序会捕获所有对磁盘上数据的读操作。当捕获到虚拟机要求读取某个文件时,会先挂起虚拟机的请求,然后根据读请求中所包含的磁盘名称和块号信息,将所请求的数据在Domai-0中重组,用恶意代码检测工具对其进行检查。如果是恶意程序,则拒绝掉虚拟机的读请求并返回;如果不是恶意程序,则中止挂起,继续虚拟机对该部分数据的读操作请求。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
Claims (8)
1.一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,包括以下步骤:
基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;
虚拟桌面环境下恶意代码检测步骤。
2.根据权利要求1所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括:虚拟机的存储镜像采用集中管理。
3.根据权利要求1所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括:每台虚拟机的系统数据和用户数据相互分离,系统数据采用克隆机制,用户数据采用独占机制。
4.根据权利要求书3所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所有虚拟机的系统数据为共用,即存储母本,每个存储镜像对应一张位图表,位图的每一位用于标记该位所对应的块是否被修改过,其中1表示修改过,0表示未修改。
5.根据权利要求书4所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,当虚拟机启动时,首先读取其对应的位图表,如果要读取的数据块在位图表里对应的值为1,则从私有磁盘镜像中读取数据,如果要读取的数据块在位图表里对应的值为0,则从母本中读取数据。
6.根据权利要求书1所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述虚拟桌面环境下恶意代码检测步骤进一步包括:采用一种在Domain-0中将数据重组步骤。
7.根据权利要求书6所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述采用一种在Domain-0中将数据重组步骤进一步包括:根据虚拟机读磁盘请求中的磁盘名和块号等信息重组数据。
8.根据权利要求书7所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,进一步包括:如果发现重组所得文件为PE格式文件,则用恶意代码检测软件进行特征检查,做出判断从而决定是否允许虚拟机获得请求数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210177685.8A CN102760212B (zh) | 2012-05-31 | 2012-05-31 | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210177685.8A CN102760212B (zh) | 2012-05-31 | 2012-05-31 | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102760212A true CN102760212A (zh) | 2012-10-31 |
| CN102760212B CN102760212B (zh) | 2015-04-01 |
Family
ID=47054667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210177685.8A Active CN102760212B (zh) | 2012-05-31 | 2012-05-31 | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102760212B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103942120A (zh) * | 2014-04-02 | 2014-07-23 | 南京鼎岩信息科技有限公司 | 一种基于虚拟化技术的读写方法及系统 |
| CN104360959A (zh) * | 2014-10-28 | 2015-02-18 | 华为技术有限公司 | 数据存储的方法及控制器 |
| CN107357908A (zh) * | 2017-07-17 | 2017-11-17 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟机系统文件的检测方法与装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961272A (zh) * | 2004-06-29 | 2007-05-09 | 英特尔公司 | 通过沙箱技术改进计算机安全性的方法 |
| US20090158432A1 (en) * | 2007-12-12 | 2009-06-18 | Yufeng Zheng | On-Access Anti-Virus Mechanism for Virtual Machine Architecture |
| CN102214127A (zh) * | 2010-11-15 | 2011-10-12 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
| CN102467637A (zh) * | 2011-07-28 | 2012-05-23 | 中标软件有限公司 | 一种虚拟化环境下的反病毒系统及其反病毒方法 |
-
2012
- 2012-05-31 CN CN201210177685.8A patent/CN102760212B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961272A (zh) * | 2004-06-29 | 2007-05-09 | 英特尔公司 | 通过沙箱技术改进计算机安全性的方法 |
| US20090158432A1 (en) * | 2007-12-12 | 2009-06-18 | Yufeng Zheng | On-Access Anti-Virus Mechanism for Virtual Machine Architecture |
| CN102214127A (zh) * | 2010-11-15 | 2011-10-12 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
| CN102467637A (zh) * | 2011-07-28 | 2012-05-23 | 中标软件有限公司 | 一种虚拟化环境下的反病毒系统及其反病毒方法 |
Non-Patent Citations (1)
| Title |
|---|
| 程川: "一种基于Xen的信任虚拟机安全访问设计与实现", 《计算机与数字工程》, vol. 38, no. 3, 31 December 2010 (2010-12-31) * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103942120A (zh) * | 2014-04-02 | 2014-07-23 | 南京鼎岩信息科技有限公司 | 一种基于虚拟化技术的读写方法及系统 |
| CN103942120B (zh) * | 2014-04-02 | 2017-06-16 | 南京鼎岩信息科技有限公司 | 一种基于虚拟化技术的读写方法及系统 |
| CN104360959A (zh) * | 2014-10-28 | 2015-02-18 | 华为技术有限公司 | 数据存储的方法及控制器 |
| CN104360959B (zh) * | 2014-10-28 | 2018-02-09 | 华为技术有限公司 | 数据存储的方法及控制器 |
| CN107357908A (zh) * | 2017-07-17 | 2017-11-17 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟机系统文件的检测方法与装置 |
| CN107357908B (zh) * | 2017-07-17 | 2020-07-03 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟机系统文件的检测方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102760212B (zh) | 2015-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8738883B2 (en) | Snapshot creation from block lists | |
| US20150213100A1 (en) | Data synchronization method and system | |
| CN112099800B (zh) | 代码数据的处理方法、装置和服务器 | |
| US10860447B2 (en) | Database cluster architecture based on dual port solid state disk | |
| CN106484719B (zh) | 一种扩展手机存储的方法及终端 | |
| CN103617260A (zh) | 重复数据删除的索引生成方法及装置 | |
| CN103198122A (zh) | 重启内存数据库的方法和装置 | |
| US20190163606A1 (en) | Checking system, checking method and compiling method of system start-up file | |
| CN103389905A (zh) | 插件加载方法及系统 | |
| CN102760212B (zh) | 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法 | |
| CN114942863A (zh) | 一种级联快照处理方法、装置、设备及存储介质 | |
| CN105574026A (zh) | 非关系型数据库支持事务的方法及装置 | |
| CN103164492A (zh) | 一种电子设备间文件拷贝方法及电子设备 | |
| CN102937923B (zh) | 一种自动保存用户界面状态的方法 | |
| KR20150072963A (ko) | 다중시스템 및 이의 부팅 방법 | |
| CN103019847A (zh) | 对虚拟机数据进行迁移的方法及系统 | |
| CN105183673A (zh) | 在恢复模式下支持外置存储设备热插拔的方法及装置 | |
| CN103049403A (zh) | 嵌入式终端设备与手机进行通讯的方法 | |
| CN104484211A (zh) | 共享镜像文件的方法及装置 | |
| CN112202855A (zh) | 裸金属服务器与弹性块存储的通信装置、智能网卡和系统 | |
| CN111475334A (zh) | TiDB数据库的维护方法、装置、计算机设备及存储介质 | |
| CN104268231B (zh) | 一种文件访问方法、装置及智能文件系统 | |
| CN103793667A (zh) | 服务器关机方法 | |
| CN107888430B (zh) | 虚拟机管理操作同步方法及装置 | |
| US9258258B2 (en) | Implementing injection of formal numerical message identifiers in cloud stacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |