CN104601568B - 虚拟化安全隔离方法和装置 - Google Patents

虚拟化安全隔离方法和装置 Download PDF

Info

Publication number
CN104601568B
CN104601568B CN201510016593.5A CN201510016593A CN104601568B CN 104601568 B CN104601568 B CN 104601568B CN 201510016593 A CN201510016593 A CN 201510016593A CN 104601568 B CN104601568 B CN 104601568B
Authority
CN
China
Prior art keywords
virtual machine
information
module
control list
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510016593.5A
Other languages
English (en)
Other versions
CN104601568A (zh
Inventor
桑敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201510016593.5A priority Critical patent/CN104601568B/zh
Publication of CN104601568A publication Critical patent/CN104601568A/zh
Priority to US14/993,986 priority patent/US10033745B2/en
Application granted granted Critical
Publication of CN104601568B publication Critical patent/CN104601568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Abstract

本发明提供了一种虚拟化安全隔离方法和装置,其中,所述方法包括:监测虚拟局域网内虚拟机的安全状态信息;判断所述安全状态信息是否存在异常,若是,则生成所述虚拟机对应的安全风险信息;根据预设的安全风险处理方式对所述安全风险信息进行处理,并生成隔离所述虚拟机的访问控制列表配置信息;发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块,所述访问控制列表模块执行所述隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置。上述方法和装置提高了网络安全。

Description

虚拟化安全隔离方法和装置
技术领域
本发明涉及计算机安全技术领域,特别涉及一种虚拟化安全隔离方法和装置。
背景技术
虚拟化作为当今热点技术之一,已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。目前的虚拟化安全隔离技术主要是通过划分不同vSwitch(虚拟交换机)网络和在虚拟化软件厂商提供的网络隔离组件(如VMWARE提供的VShield组件)上配置ACL(访问控制列表)实现。
由于虚拟机的安全等级不同,且不同安全等级的虚拟机之间可以相互访问,因而存在虚拟机之间相互攻击的安全隐患,为了消除这种安全隐患,传统的虚拟化安全隔离技术通常在vSwitch上划分多个VLAN(虚拟局域网),将安全等级相同的虚拟机划分到相同的虚拟局域网内,实现了VLAN之间的安全隔离。
但是VLAN内部的虚拟机之间无法实现安全隔离,当VLAN中的一台虚拟机存在安全风险时,无法阻止安全风险在虚拟局域网内部的扩散。例如,VLAN中包含VM1、VM2和VM3三台虚拟机,若VM1被黑客控制时,黑客会利用VM1扫描VM2和VM3,此时传统的虚拟化安全隔离方法无法阻止VM1的扫描行为。
发明内容
基于此,有必要针对上述技术问题,提供一种实现虚拟局域网内虚拟机之间安全隔离的虚拟化安全隔离方法和装置。
一种虚拟化安全隔离方法,所述方法包括:
监测虚拟局域网内虚拟机的安全状态信息;
判断所述安全状态信息是否存在异常,若是,则生成所述虚拟机对应的安全风险信息;
根据预设的安全风险处理方式对所述安全风险信息进行处理,并生成隔离所述虚拟机的访问控制列表配置信息;
发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块,所述访问控制列表模块执行所述隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置。
在其中一个实施例中,所述判断所述安全状态信息是否存在异常的步骤,包括:
获取所述虚拟机发送或接收到的数据包所对应的数据流量;判断所述数据流是否符合预设的行为特征,如数据流量阀值、心跳行为特征等,若是,则虚拟机的安全状态信息存在异常。
在其中一个实施例中,所述判断所述安全状态信息是否存在异常的步骤,还包括:
检测虚拟机内的文件内容;
提取文件内容中用来确定所述文件内容是否存在异常的特征信息;
通过预置安全风险识别库对所述特征信息进行识别,若识别出存在与所述特征信息相匹配的信息,则虚拟机的安全状态信息存在异常。
在其中一个实施例中,所述判断所述安全状态信息是否存在异常的步骤,还包括:
获取虚拟机对资源的占有率;
判断所述资源占用率是否超过预设阈值,若是,则虚拟机的安全状态信息存在异常;和/或,
获取用户对虚拟机的操作行为信息;
通过预置的安全风险识别库识别所述操作行为信息,若识别出存在与所述操作行为信息相匹配的信息,则虚拟机的安全状态信息存在异常。
在其中一个实施例中,所述生成所述虚拟机对应的安全风险信息的步骤,包括:
获取发起访问所述统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口;
通过所述源IP地址和源端口确定所述存在异常的虚拟机,并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息。
一种虚拟化安全隔离装置,所述装置包括:
安全监测模块,用于监测虚拟局域网内虚拟机的安全状态信息;
安全判断模块,用于判断所述安全状态信息是否存在异常;
风险信息生成模块,用于当所述安全判断模块判断的结果为是时,生成所述虚拟机对应的安全风险信息;
配置信息生成模块,用于根据预设的安全风险处理方式对所述安全风险信息进行处理,并生成隔离所述虚拟机的访问控制列表配置信息;
安全隔离模块,用于发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块,所述访问控制列表模块执行所述隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置。
在其中一个实施例中,所述安全判断模块包括:
数据流量获取模块,用于获取所述虚拟机发送或接收到的数据包所对应的数据流量;
第一安全识别模块,用于判断所述数据流是否符合预设的行为特征,若是,则虚拟机的安全状态信息存在异常。
在其中一个实施例中,所述安全判断模块包括:
内容检测模块,用于检测虚拟机内的文件内容;
特征提取模块,用于提取文件内容中用来确定所述文件内容是否存在异常的特征信息;
第二安全识别模块,用于通过预置安全风险识别库对所述特征信息进行识别,若识别出存在与所述特征信息相匹配的信息,则虚拟机的安全状态信息存在异常。
在其中一个实施例中,所述判安全判断模块包括:
占有率获取模块,用于获取虚拟机对资源的占有率;;
第三安全识别模块,用于判断所述资源占用率是否超过预设阈值,若是,则虚拟机的安全状态信息存在异常;和/或,
行为信息获取模块,用于获取用户对虚拟机的操作行为信息;
第四安全识别模块,用于通过预置的安全风险识别库识别所述操作行为信息,若识别出存在与所述操作行为信息相匹配的信息,则虚拟机的安全状态信息存在异常。
在其中一个实施例中,所述风险信息生成模块包括:
信息获取模块,用于获取发起访问所述统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口;
信息生成模块,用于通过所述源IP地址和源端口确定所述存在异常的虚拟机,并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息。
上述虚拟化安全隔离方法和装置,通过对虚拟局域网对应的访问控制列表的重新配置,可以将虚拟局域网内存在异常的虚拟机进行逻辑隔离,由于隔离后的虚拟机不能跟虚拟局域网内的其它虚拟机进行通信,安全风险被锁定在存在异常的虚拟机内无法向虚拟局域网内扩散,因此实现了对虚拟局网内虚拟机之间的安全隔离,提高了网络安全性。
附图说明
图1为一个实施例中虚拟化安全隔离方法的流程示意图;
图2为一个实施例中虚拟化安全隔离方法的应用场景图;
图3为一个实施例中检测统一资源定位符是否是恶意的界面图;
图4为一个实施例中虚拟化安全隔离装置的结构示意图;
图5为一个实施例中安全判断模块的结构示意图;
图6为另一个实施例中安全判断模块的结构示意图;
图7为又一个实施例中安全判断模块的结构示意图;
图8为再一个实施例中安全判断模块的结构示意图;
图9为一个实施例中风险信息生成模块的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,在一个实施例中,提供了一种虚拟化安全隔离方法,该方法可应用于如图2所示的虚拟化隔离场景中,通过配置虚拟交换机20中的访问控制列表ACL将虚拟机VM1、VM2、VM3、VM4、VM5隔离为虚拟局域网22和虚拟局域网24,实现了虚拟局域网之间的逻辑隔离。由于虚拟局域网22内的VM1、VM2和VM3之间可以通信,当其中一台虚拟机感染了计算机病毒,其它的虚拟机也容易被计算机病毒感染。通过实时监测虚拟局域网内的虚拟机的安全状态信息,若VM1的安全状态信息出现异常,即生成隔离VM1的ACL配置信息,并发送携带有ACL配置信息的隔离命令至虚拟交换机20中的访问控制列表模块,由访问控制列表模块执行隔离命令,实现对VM1的安全隔离。
步骤101,监测虚拟局域网内虚拟机的安全状态信息。
本实施例中,可以通过物理安全设备或安全防护软件对虚拟机的活动信息进行安全监测,监测的安全状态信息包括但不限于数据流量、文件等信息。物理安全设备包括但不限于:防火墙、安全网关等。
步骤102,判断安全状态信息是否存在异常。若是,则进入步骤103,若否,则结束。
在一个实施例中,步骤102,判断安全状态信息是否存在异常包括:获取虚拟机发送或接收到的数据包所对应的数据流量;判断数据流是否符合预设的行为特征,若是,则虚拟机的安全状态信息存在异常。
本实施例中,虚拟机的安全状态信息为虚拟机发送或接收的数据包。监测虚拟局域网内的一台虚拟机与另一台虚拟机进行通信传输的数据包,以及虚拟局域网内的虚拟机与外网通信时传输的数据包。非正常情况下数据包对应的数据流量过大会导致网络阻塞消耗过多的网络资源,若数据包对应的数据流量超过了预设第一阈值,则表示该虚拟机存在安全风险。在一个实施例中,预设的行为特征包括但不限于:数据流量阀值、心跳行为特征等。例如,黑客控制虚拟机向外发动DNS flooding攻击时,可根据正常情况下DNS数据包对应的数据流量设置数据流量阈值,若超过数据流量阈值则表示数据包存在异常。
在一个实施例中,预先将存在安全威胁包括但限于统一资源定位符或敏感信息等添加至安全风险识别库中。
本实施例中,通过病毒木马查杀引擎对数据包中包含的统一资源定位符URL进行检测,若检测出URL存在安全威胁,便将该URL添加到安全风险识别库中。如图3所示,“www.xiaochencc.com/act_002.php”是一个恶意URL,访问该URL则可认为是有安全风险的,将该URL添加至预置的安全风险识别库中。敏感信息是指虚拟机内的机密文件、账号密码等。
在另一个实施例中,步骤102,判断安全状态信息是否存在异常包括:检测虚拟机内的文件内容;提取文件内容中用来确定文件内容是否存在异常的特征信息;通过预置安全风险识别库对特征信息进行识别,若识别出存在与特征信息相匹配的信息,则虚拟机的安全状态信息存在异常。
本实施例中,被病毒感染的文件内容对应的特征信息与正常的特征信息不一致,若提取的特征信息与预置的安全风险识别库存储的特征信息相符,则对应的虚拟机存在安全威胁。
在一个实施例中,步骤102,判断安全状态信息是否存在异常包括:获取虚拟机对资源的占有率;判断资源占用率是否超过预设阈值,若是,则虚拟机的安全状态信息存在异常。
本实施例中,虚拟机对资源的占用行为包括:占用CUP、内存和存储器等物理硬件资源,以及占用网络资源等。若资源占有率超过虚拟机在正常业务下设置的阈值,则表示该占有行为是异常的,对应的虚拟机存在安全威胁。
在另一个实施例中,虚拟机的数据行为包括:用户对虚拟机的操作行为;步骤102,判断安全状态信息是否存在异常包括:获取用户对虚拟机的操作行为信息;通过预置的安全风险识别库识别操作行为信息,若识别出存在与操作行为信息相匹配的信息,则虚拟机的安全状态信息存在异常。
本实施例中,用户对虚拟机的操作行为包括但不限于:用户操作虚拟机发起的攻击行为、非法访问行为以及用户操作虚拟机盗取文件资料、账号密码的行为等。预先提取恶意操作虚拟机行为的特征信息并存储在安全风险识别库中,将安全风险识别库中存储的特征信息与行为特征信息进行匹配,若匹配成功,则表示该用户对虚拟机的操作行为是存在安全威胁的。
在一个实施例中,基于数据行为的安全风险识别包括但不仅限于基于阈值、基于人工智能,如启发式扫描等识别结果。
步骤103,生成虚拟机对应的安全风险信息。
本实施例中,通过对安全状态信息的分析可以确定安全威胁的来源以及安全威胁的目的对象。根据安全威胁的来源可以确定虚拟局域网内存在异常的虚拟机。
在一个实施例中,步骤103,根据安全状态信息确定存在异常的虚拟机,并生成虚拟机对应的安全风险信息包括获取发起访问统一资源定位符请求的源IP地址和源端口以及统一资源定位符中携带的目的IP地址和目的端口;通过源IP地址和源端口确定存在异常的虚拟机,并根据源IP地址、源端口、目的IP地址和目的端口生成虚拟机对应的安全风险信息。
步骤104,根据预设的安全风险处理方式对安全风险信息进行处理,并生成隔离虚拟机的访问控制列表配置信息。
本实施例中,预设的安全风险处理方式与安全风险信息存在对应关系,用户可以根据需求可以对安全风险处理方式进行设置。访问控制列表配置信息包括:IP地址/IP地址范围、源端口和目的端口范围的配置信息。根据访问控制列表ACL配置信息对ACL进行配置可以将虚拟机与虚拟局域网内的其它虚拟机进行隔离,还可以将虚拟机与外网进行隔离。例如,安全风险信息为虚拟机向外访问恶意URL,访问控制列表配置信息为阻止虚拟机与该URL中的目的IP地址之间的通信。
步骤105,发送携带有访问控制列表配置信息的隔离命令至虚拟局域网对应的访问控制列表模块,访问控制列表模块执行隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置。
访问控制列表模块是指安装在虚拟交换机中用来管理访问控制列表的功能模块,访问控制列表模块执行隔离命令后将针对该虚拟机重新配置ACL以实现隔离该虚拟机的目的。隔离包括但不限于:阻断虚拟机发起的所有访问请求以及阻断虚拟机与局域网内其它虚拟机之间的通信。
上述虚拟化安全隔离方法,通过对虚拟局域网对应的访问控制列表的重新配置,可以将虚拟局域网内存在异常的虚拟机进行逻辑隔离,由于隔离后的虚拟机不能跟虚拟局域网内的其它虚拟机进行通信,安全风险被锁定在存在异常的虚拟机内无法向虚拟局域网内扩散,因此实现了对虚拟局网内虚拟机之间的安全隔离,提高了网络安全性。
如图4所示,在一个实施例中,提供了一种虚拟化安全隔离装置,该装置包括:
安全监测模块40,用于监测虚拟局域网内虚拟机的安全状态信息。
安全判断模块41,用于判断安全状态信息是否存在异常。
风险信息生成模块42,用于当安全判断模块判断的结果为是时,生成虚拟机对应的安全风险信息。
配置信息生成模块43,用于根据预设的安全风险处理方式对安全风险信息进行处理,并生成隔离虚拟机的访问控制列表配置信息。
安全隔离模块44,用于发送携带有访问控制列表配置信息的隔离命令至虚拟局域网对应的访问控制列表模块,访问控制列表模块执行隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置。
如图5所示,在一个实施例中,虚拟机的安全状态信息为虚拟机发送或接收的数据包;安全判断模块41包括:
数据流量获取模块410,用于获取虚拟机发送或接收到的数据包所对应的数据流量。
第一安全识别模块411,用于判断数据流是否符合预设的行为特征,若是,则虚拟机的安全状态信息存在异常.
如图6所示,在一个实施例中,安全判断模块41包括:
内容检测模块412,用于检测虚拟机内的文件内容。
特征提取模块413,用于提取文件内容中用来确定文件内容是否存在异常的特征信息。
第二安全识别模块414,用于通过预置安全风险识别库对特征信息进行识别,若识别出存在与特征信息相匹配的信息,则虚拟机的安全状态信息存在异常。
如图7所示,在一个实施例中,虚拟机的安全状态信息为虚拟机的数据行为,虚拟机的数据行为为虚拟机对资源的占用行为;安全判断模块41包括:
占有率获取模块415,用于获取虚拟机对资源的占有率。
第三安全识别模块416,用于判断资源占用率是否超过预设第二阈值,若是,则虚拟机的安全状态信息存在异常。
如图8所示,在一个实施例中,虚拟机的数据行为为用户对虚拟机的操作行为;安全判断模块41包括:
行为信息获取模块417,用于获取用户对虚拟机的操作行为信息。
第四安全识别模块418,用于通过预置的安全风险识别库识别操作行为信息,若识别出存在与操作行为信息相匹配的信息,则虚拟机的安全状态信息存在异常。
如图9所示,在一个实施例中,风险信息生成模块42包括:
信息获取模块420,用于获取发起访问统一资源定位符请求的源IP地址和源端口以及统一资源定位符中携带的目的IP地址和目的端口。
信息生成模块421,用于通过源IP地址和源端口确定存在异常的虚拟机,并根据源IP地址、源端口、目的IP地址和目的端口生成虚拟机对应的安全风险信息。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种虚拟化安全隔离方法,所述方法包括:
监测虚拟局域网内虚拟机的安全状态信息;
判断所述安全状态信息是否存在异常,若是,则生成所述虚拟机对应的安全风险信息,包括:获取发起访问统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口,通过所述源IP地址和源端口确定所述存在异常的虚拟机,并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息;
根据预设的安全风险处理方式对所述安全风险信息进行处理,并生成隔离所述虚拟机的访问控制列表配置信息,所述访问控制列表配置信息包括IP地址、源端口和目的端口,或者包括IP地址范围、源端口和目的端口的配置信息;
发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块,所述访问控制列表模块执行所述隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置。
2.根据权利要求1所述的方法,其特征在于,所述判断所述安全状态信息是否存在异常的步骤,包括:
获取所述虚拟机发送或接收到的数据包所对应的数据流量;
判断所述数据流是否符合预设的行为特征,若是,则虚拟机的安全状态信息存在异常。
3.根据权利要求1所述的方法,其特征在于,所述判断所述安全状态信息是否存在异常的步骤,还包括:
检测虚拟机内的文件内容;
提取文件内容中用来确定所述文件内容是否存在异常的特征信息;
通过预置安全风险识别库对所述特征信息进行识别,若识别出存在与所述特征信息相匹配的信息,则虚拟机的安全状态信息存在异常。
4.根据权利要求1所述的方法,其特征在于,所述判断所述安全状态信息是否存在异常的步骤,还包括:
获取虚拟机对资源的占有率;
判断所述资源占用率是否超过预设阈值,若是,则虚拟机的安全状态信息存在异常;和/或,
获取用户对虚拟机的操作行为信息;
通过预置的安全风险识别库识别所述操作行为信息,若识别出存在与所述操作行为信息相匹配的信息,则虚拟机的安全状态信息存在异常。
5.一种虚拟化安全隔离装置,其特征在于,所述装置包括:
安全监测模块,用于监测虚拟局域网内虚拟机的安全状态信息;
安全判断模块,用于判断所述安全状态信息是否存在异常;
风险信息生成模块,用于当所述安全判断模块判断的结果为是时,生成所述虚拟机对应的安全风险信息;
配置信息生成模块,用于根据预设的安全风险处理方式对所述安全风险信息进行处理,并生成隔离所述虚拟机的访问控制列表配置信息,所述访问控制列表配置信息包括IP地址、源端口和目的端口,或者包括IP地址范围、源端口和目的端口的配置信息;
安全隔离模块,用于发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块,所述访问控制列表模块执行所述隔离命令,并根据访问控制列表配置信息对访问控制列表进行配置;
所述风险信息生成模块包括:
信息获取模块,用于获取发起访问统一资源定位符请求的源IP地址和源端口以及所述统一资源定位符中携带的目的IP地址和目的端口;
信息生成模块,用于通过所述源IP地址和源端口确定所述存在异常的虚拟机,并根据所述源IP地址、源端口、目的IP地址和目的端口生成所述虚拟机对应的安全风险信息。
6.根据权利要求5所述的装置,其特征在于,所述安全判断模块包括:
数据流量获取模块,用于获取所述虚拟机发送或接收到的数据包所对应的数据流量;
第一安全识别模块,用于判断所述数据流是否符合预设的行为特征,若是,则虚拟机的安全状态信息存在异常。
7.根据权利要求5所述的装置,其特征在于,所述安全判断模块包括:
内容检测模块,用于检测虚拟机内的文件内容;
特征提取模块,用于提取文件内容中用来确定所述文件内容是否存在异常的特征信息;
第二安全识别模块,用于通过预置安全风险识别库对所述特征信息进行识别,若识别出存在与所述特征信息相匹配的信息,则虚拟机的安全状态信息存在异常。
8.根据权利要求5所述的装置,其特征在于,所述安全判断模块包括:
占有率获取模块,用于获取虚拟机对资源的占有率;
第三安全识别模块,用于判断所述资源占用率是否超过预设阈值,若是,则虚拟机的安全状态信息存在异常;和/或,
行为信息获取模块,用于获取用户对虚拟机的操作行为信息;
第四安全识别模块,用于通过预置的安全风险识别库识别所述操作行为信息,若识别出存在与所述操作行为信息相匹配的信息,则虚拟机的安全状态信息存在异常。
CN201510016593.5A 2015-01-13 2015-01-13 虚拟化安全隔离方法和装置 Active CN104601568B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201510016593.5A CN104601568B (zh) 2015-01-13 2015-01-13 虚拟化安全隔离方法和装置
US14/993,986 US10033745B2 (en) 2015-01-13 2016-01-12 Method and system for virtual security isolation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510016593.5A CN104601568B (zh) 2015-01-13 2015-01-13 虚拟化安全隔离方法和装置

Publications (2)

Publication Number Publication Date
CN104601568A CN104601568A (zh) 2015-05-06
CN104601568B true CN104601568B (zh) 2019-05-21

Family

ID=53127074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510016593.5A Active CN104601568B (zh) 2015-01-13 2015-01-13 虚拟化安全隔离方法和装置

Country Status (2)

Country Link
US (1) US10033745B2 (zh)
CN (1) CN104601568B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106295381B (zh) * 2015-05-19 2019-05-07 澜起科技股份有限公司 用于监控对内部存储器的数据访问的装置以及内部存储器
CN104869167B (zh) * 2015-05-29 2018-02-23 深圳市云舒网络技术有限公司 一种服务器和桌面虚拟应用的负载平衡系统
CN106302538A (zh) * 2016-10-12 2017-01-04 华东师范大学 一种网络视频监控摄像机节点及服务器间隔离设备
US20180255076A1 (en) * 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
CN107426167B (zh) * 2017-05-19 2019-11-12 上海易杵行智能科技有限公司 一种临时终端安全接入控制方法及系统
CN107911358B (zh) * 2017-11-09 2021-04-27 郑州云海信息技术有限公司 一种保护网络安全的方法及系统
CN108900363B (zh) * 2018-08-15 2021-12-28 广州易行信息技术有限公司 调整局域网工作状态的方法、装置及系统
US10826943B2 (en) 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
CN109800570A (zh) * 2018-12-29 2019-05-24 360企业安全技术(珠海)有限公司 一种虚拟化平台的安全防护方法及装置
CN110162383A (zh) * 2019-05-28 2019-08-23 浪潮商用机器有限公司 一种虚拟机的管理网络隔离方法、系统及相关装置
CN110881034A (zh) * 2019-11-11 2020-03-13 重庆工业职业技术学院 一种基于虚拟化技术的计算机网络安全系统
CN111147345B (zh) * 2019-12-20 2022-01-07 航天信息股份有限公司 云环境网络隔离装置、方法及云系统
CN113132138B (zh) * 2019-12-31 2023-02-28 深圳致星科技有限公司 一种基于虚拟网络的分布式训练网络系统及通信方法
CN113568703B (zh) * 2021-06-16 2024-04-05 江苏言安信息技术有限公司 一种基于虚拟化技术的计算机网络安全系统
CN115001754B (zh) * 2022-05-13 2023-04-07 国科华盾(北京)科技有限公司 一种可对敏感数字信息传输进行实时监控的网络安全系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383835A (zh) * 2008-10-21 2009-03-11 杭州华三通信技术有限公司 一种实现服务器安全隔离的方法及装置
CN101631078A (zh) * 2009-08-24 2010-01-20 杭州华三通信技术有限公司 一种端点准入防御中的报文控制方法及接入设备
CN102053873A (zh) * 2011-01-13 2011-05-11 浙江大学 一种缓存感知的多核处理器虚拟机故障隔离保证方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8938782B2 (en) * 2010-03-15 2015-01-20 Symantec Corporation Systems and methods for providing network access control in virtual environments
US8863283B2 (en) * 2011-03-31 2014-10-14 Mcafee, Inc. System and method for securing access to system calls
US9363207B2 (en) * 2011-06-24 2016-06-07 Cisco Technology, Inc. Private virtual local area network isolation
US8776180B2 (en) * 2012-05-01 2014-07-08 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101383835A (zh) * 2008-10-21 2009-03-11 杭州华三通信技术有限公司 一种实现服务器安全隔离的方法及装置
CN101631078A (zh) * 2009-08-24 2010-01-20 杭州华三通信技术有限公司 一种端点准入防御中的报文控制方法及接入设备
CN102053873A (zh) * 2011-01-13 2011-05-11 浙江大学 一种缓存感知的多核处理器虚拟机故障隔离保证方法

Also Published As

Publication number Publication date
CN104601568A (zh) 2015-05-06
US10033745B2 (en) 2018-07-24
US20160205116A1 (en) 2016-07-14

Similar Documents

Publication Publication Date Title
CN104601568B (zh) 虚拟化安全隔离方法和装置
US9838408B1 (en) System, device and method for detecting a malicious attack based on direct communications between remotely hosted virtual machines and malicious web servers
US10148693B2 (en) Exploit detection system
CN105430011B (zh) 一种检测分布式拒绝服务攻击的方法和装置
Modi et al. A survey of intrusion detection techniques in cloud
US10225280B2 (en) System and method for verifying and detecting malware
US9166988B1 (en) System and method for controlling virtual network including security function
EP3577589A2 (en) Prevention of malicious automation attacks on a web service
US20190297097A1 (en) System and method for detecting lateral movement and data exfiltration
US9548990B2 (en) Detecting a heap spray attack
WO2016160595A1 (en) System and method for threat-driven security policy controls
WO2016160599A1 (en) System and method for threat-driven security policy controls
EP3132349A1 (en) Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US9584550B2 (en) Exploit detection based on heap spray detection
US20220159023A1 (en) System and method for detecting and classifying malware
EP3374871B1 (en) System and method for detecting lateral movement and data exfiltration
WO2018191089A1 (en) System and method for detecting creation of malicious new user accounts by an attacker
US11374946B2 (en) Inline malware detection
Osanaiye et al. TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment
US10645107B2 (en) System and method for detecting and classifying malware
Sun et al. A scalable high fidelity decoy framework against sophisticated cyber attacks
JP2024023875A (ja) インラインマルウェア検出
US10148619B1 (en) Identity-based application-level filtering of network traffic
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong.

Applicant after: SINFOR Polytron Technologies Inc

Address before: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong.

Applicant before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen

GR01 Patent grant
GR01 Patent grant