CN105224867A - 一种基于虚拟化环境下的主机安全加固方法 - Google Patents
一种基于虚拟化环境下的主机安全加固方法 Download PDFInfo
- Publication number
- CN105224867A CN105224867A CN201510705050.4A CN201510705050A CN105224867A CN 105224867 A CN105224867 A CN 105224867A CN 201510705050 A CN201510705050 A CN 201510705050A CN 105224867 A CN105224867 A CN 105224867A
- Authority
- CN
- China
- Prior art keywords
- virtual
- virtualized environment
- monitoring
- concrete grammar
- reinforcement means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于虚拟化环境下的主机安全加固方法,对主机进行完整性监控和日志审计,针对系统支持依据基线的关键文件(包括文件、目录和注册表)进行监控和审计,当这些关键位置为恶意篡改或感染病毒时,为管理员提供告警和记录。基于虚拟化环境下的主机安全,加强了虚拟主机的防护功能,提高了虚拟主机的机密性和完整性,防止用户非法接入网络,旁听窃取、破环网络上传递的数据。
Description
技术领域
本发明涉及一种基于虚拟化环境下的主机安全加固方法,特别是涉及一种适用于云计算安全领域的基于虚拟化环境下的主机安全加固方法。
背景技术
虚拟化技术解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。而服务器虚拟化使企业信息化能够获得在效率和成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量特殊挑战,最终将抵消虚拟化的优势。尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下,用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。
为应对虚拟化环境下的主机安全挑战。目前我们亟需一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。
发明内容
本发明要解决的技术问题是提供一种提高虚拟化环境中关键任务应用的安全性的主机安全加固方法。
本发明采用的技术方案如下:一种基于虚拟化环境下的主机安全加固方法,其特征在于:对主机进行完整性监控和日志审计,针对系统支持依据基线的关键文件进行监控和审计,当这些关键位置为恶意篡改或感染病毒时,为管理员提供告警和记录;
所述监控的具体方法为:通过虚拟机中的守护进程对虚拟主机的关键文件监控;
所述审计的具体方法为:通过监控收集到的日志进行快速日志查询分析出安全问题,保证系统可靠安全;
所述关键文件包括文件、目录和注册表。
当这些关键位置为恶意篡改或感染病毒时,为管理员提供告警和记录,从而提供系统的安全性。
所述方法还包括病毒防护;所述病毒防护的具体方法为:安装Agent代理程序到虚拟主机的操作系统中,解决防病毒程序带来的资源消耗问题,通过使用虚拟化层相关的API接口实现全面的病毒防护。
针对KVM虚拟系统中通过libvirt接口实现针对虚拟系统和虚拟主机之间的全面防护,无需在虚拟主机的操作系统中安装Agent程序,即虚拟主机系统以代理方式实现实时的病毒防护,这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,最大化利用计算资源的同时提供全面病毒的实时防护。
所述方法还包括访问控制防护;所述访问控制的具体方法为:采用全面基于状态检测细粒度的访问控制功能,实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。
传统技术的防火墙技术常常以硬件形式存在,用于通过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。
本方法提供全面基于状态检测的访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。防火墙同时支持各种泛洪攻击的识别和拦截。
所述方法还包括入侵检测/入侵防护;所述入侵检测/入侵防护的具体方法为:通过libvirt接口对虚拟交换机允许交换机或端口组运行在混杂模式,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。
同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。然而,随着虚拟化技术的出现,许多安全专家意识到,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。
例如,由于虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源,使得安装安全代理软件变得不那么理想。
除了提供传统IDS/IPS系统功能外,入侵检测/入侵防护的具体方法还包括:提供虚拟环境中基于策略的(policy-based)监控和分析工具,使其更精确的流量监控、分析和访问控制,分析网络行为,为虚拟网络提供更高的安全性。
所述方法还包括虚拟补丁防护;所述虚拟补丁防护的具体方法为:通过在虚拟系统的接口对虚拟主机系统进行评估,对每个虚拟主机提供全面的漏洞修补,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。
通过虚拟补丁技术完全可以解决由于补丁导致的问题,通过在虚拟系统的接口对虚拟主机系统进行评估,并可以自动对每个虚拟主机提供全面的漏洞修补功能,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。主机监控的虚拟补丁功能既不需要停机安装,也不需要进行广泛的应用程序测试。此集成包可以为IT人员节省大量时间。
与现有技术相比,本发明的有益效果是:基于虚拟化环境下的主机安全,加强了虚拟主机的防护功能,提高了虚拟主机的机密性和完整性,防止用户非法接入网络,旁听窃取、破环网络上传递的数据。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括摘要)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
具体实施例一
一种基于虚拟化环境下的主机安全加固方法,对主机进行完整性监控和日志审计,针对系统支持依据基线的关键文件进行监控和审计,当这些关键位置为恶意篡改或感染病毒时,为管理员提供告警和记录;
所述监控的具体方法为:通过虚拟机中的守护进程对虚拟主机的关键文件监控;
所述审计的具体方法为:通过监控收集到的日志进行快速日志查询分析出安全问题,保证系统可靠安全;
所述关键文件包括文件、目录和注册表。
具体实施例二
在具体实施例一的基础上,所述方法还包括病毒防护;所述病毒防护的具体方法为:安装Agent代理程序到虚拟主机的操作系统中,解决防病毒程序带来的资源消耗问题,通过使用虚拟化层相关的API接口实现全面的病毒防护。
具体实施例三
在具体实施例一或二的基础上,所述方法还包括访问控制防护;所述访问控制的具体方法为:采用全面基于状态检测细粒度的访问控制功能,实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。
具体实施例四
在具体实施例一、二或三的基础上,所述方法还包括入侵检测/入侵防护;所述入侵检测/入侵防护的具体方法为:通过libvirt接口对虚拟交换机允许交换机或端口组运行在混杂模式。
具体实施例五
在具体实施例一、二、三或四的基础上,入侵检测/入侵防护的具体方法还包括:提供虚拟环境中基于策略的监控和分析工具,使其更精确的流量监控、分析和访问控制,分析网络行为,为虚拟网络提供更高的安全性。
具体实施例六
在具体实施例一、二、三、四或五的基础上,所述方法还包括虚拟补丁防护;所述虚拟补丁防护的具体方法为:通过在虚拟系统的接口对虚拟主机系统进行评估,对每个虚拟主机提供全面的漏洞修补,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。
Claims (6)
1.一种基于虚拟化环境下的主机安全加固方法,其特征在于:对主机进行完整性监控和日志审计,针对系统支持依据基线的关键文件进行监控和审计,当这些关键位置为恶意篡改或感染病毒时,为管理员提供告警和记录;
所述监控的具体方法为:通过虚拟机中的守护进程对虚拟主机的关键文件监控;
所述审计的具体方法为:通过监控收集到的日志进行快速日志查询分析出安全问题,保证系统可靠安全;
所述关键文件包括文件、目录和注册表。
2.根据权利要求1所述的基于虚拟化环境下的主机安全加固方法,其特征在于:所述方法还包括病毒防护;所述病毒防护的具体方法为:安装Agent代理程序到虚拟主机的操作系统中,解决防病毒程序带来的资源消耗问题,通过使用虚拟化层相关的API接口实现全面的病毒防护。
3.根据权利要求1或2所述的基于虚拟化环境下的主机安全加固方法,其特征在于:所述方法还包括访问控制防护;所述访问控制的具体方法为:采用全面基于状态检测细粒度的访问控制功能,实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。
4.根据权利要求1或2所述的基于虚拟化环境下的主机安全加固方法,其特征在于:所述方法还包括入侵检测/入侵防护;所述入侵检测/入侵防护的具体方法为:通过libvirt接口对虚拟交换机允许交换机或端口组运行在混杂模式。
5.根据权利要求1或2所述的基于虚拟化环境下的主机安全加固方法,其特征在于:入侵检测/入侵防护的具体方法还包括:提供虚拟环境中基于策略的监控和分析工具,使其更精确的流量监控、分析和访问控制,分析网络行为,为虚拟网络提供更高的安全性。
6.根据权利要求5所述的基于虚拟化环境下的主机安全加固方法,其特征在于:所述方法还包括虚拟补丁防护;所述虚拟补丁防护的具体方法为:通过在虚拟系统的接口对虚拟主机系统进行评估,对每个虚拟主机提供全面的漏洞修补,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510705050.4A CN105224867A (zh) | 2015-10-27 | 2015-10-27 | 一种基于虚拟化环境下的主机安全加固方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510705050.4A CN105224867A (zh) | 2015-10-27 | 2015-10-27 | 一种基于虚拟化环境下的主机安全加固方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105224867A true CN105224867A (zh) | 2016-01-06 |
Family
ID=54993829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510705050.4A Pending CN105224867A (zh) | 2015-10-27 | 2015-10-27 | 一种基于虚拟化环境下的主机安全加固方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105224867A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105912945A (zh) * | 2016-04-05 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种操作系统安全加固装置及运行方法 |
| CN105975328A (zh) * | 2016-04-29 | 2016-09-28 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
| CN106411900A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 基于虚拟化硬件扫描的方法及装置 |
| CN106685953A (zh) * | 2016-12-27 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于安全基线样本机的未知文件检测系统及方法 |
| CN107516039A (zh) * | 2016-06-17 | 2017-12-26 | 咪咕音乐有限公司 | 虚拟化系统的安全防护方法及装置 |
| CN107566493A (zh) * | 2017-09-06 | 2018-01-09 | 中国科学院信息工程研究所 | 一种面向复杂用户需求的代理节点创建方法、代理服务方法和系统 |
| CN110263004A (zh) * | 2019-05-08 | 2019-09-20 | 北京字节跳动网络技术有限公司 | 日志记录方法、装置、电子设备和存储介质 |
| CN110505246A (zh) * | 2019-09-25 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 客户端网络通讯检测方法、装置及存储介质 |
| CN111966458A (zh) * | 2020-08-10 | 2020-11-20 | 国网四川省电力公司信息通信公司 | 一种虚拟云桌面的安全管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| US20140223556A1 (en) * | 2011-06-24 | 2014-08-07 | Orange | Method for Detecting Attacks and for Protection |
| CN104104561A (zh) * | 2014-08-11 | 2014-10-15 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN104866407A (zh) * | 2015-06-23 | 2015-08-26 | 山东中孚信息产业股份有限公司 | 一种虚拟机环境下的监控系统及监控方法 |
-
2015
- 2015-10-27 CN CN201510705050.4A patent/CN105224867A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140223556A1 (en) * | 2011-06-24 | 2014-08-07 | Orange | Method for Detecting Attacks and for Protection |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN104104561A (zh) * | 2014-08-11 | 2014-10-15 | 武汉大学 | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 |
| CN104866407A (zh) * | 2015-06-23 | 2015-08-26 | 山东中孚信息产业股份有限公司 | 一种虚拟机环境下的监控系统及监控方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李晨光等: "《UNIX/Linux网络日志分析与流量监控》", 31 January 2015, 机械工业出版社 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105912945A (zh) * | 2016-04-05 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种操作系统安全加固装置及运行方法 |
| CN105975328A (zh) * | 2016-04-29 | 2016-09-28 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
| CN105975328B (zh) * | 2016-04-29 | 2019-10-08 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
| CN107516039A (zh) * | 2016-06-17 | 2017-12-26 | 咪咕音乐有限公司 | 虚拟化系统的安全防护方法及装置 |
| CN106411900A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 基于虚拟化硬件扫描的方法及装置 |
| CN106411900B (zh) * | 2016-09-30 | 2020-03-03 | 北京奇虎科技有限公司 | 基于虚拟化硬件扫描的方法及装置 |
| CN106685953A (zh) * | 2016-12-27 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于安全基线样本机的未知文件检测系统及方法 |
| CN107566493A (zh) * | 2017-09-06 | 2018-01-09 | 中国科学院信息工程研究所 | 一种面向复杂用户需求的代理节点创建方法、代理服务方法和系统 |
| CN110263004A (zh) * | 2019-05-08 | 2019-09-20 | 北京字节跳动网络技术有限公司 | 日志记录方法、装置、电子设备和存储介质 |
| CN110505246A (zh) * | 2019-09-25 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 客户端网络通讯检测方法、装置及存储介质 |
| CN110505246B (zh) * | 2019-09-25 | 2021-10-08 | 腾讯科技(深圳)有限公司 | 客户端网络通讯检测方法、装置及存储介质 |
| CN111966458A (zh) * | 2020-08-10 | 2020-11-20 | 国网四川省电力公司信息通信公司 | 一种虚拟云桌面的安全管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105224867A (zh) | 一种基于虚拟化环境下的主机安全加固方法 | |
| CN110233817B (zh) | 一种基于云计算的容器安全系统 | |
| Srivastava et al. | Automatic discovery of parasitic malware | |
| Almutairy et al. | A taxonomy of virtualization security issues in cloud computing environments | |
| CN104660610A (zh) | 一种基于云计算环境下的智能安全防护系统及其防护方法 | |
| Brooks et al. | Security vulnerability analysis in virtualized computing environments | |
| Denz et al. | A survey on securing the virtual cloud | |
| Kumara et al. | Hypervisor and virtual machine dependent Intrusion Detection and Prevention System for virtualized cloud environment | |
| Huber et al. | The lazarus effect: Healing compromised devices in the internet of small things | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| Jithin et al. | Virtual machine isolation: A survey on the security of virtual machines | |
| CN103645949A (zh) | 一种虚拟机动态迁移安全框架 | |
| Toumi et al. | Cooperative trust framework for cloud computing based on mobile agents | |
| Laniepce et al. | Engineering intrusion prevention services for iaas clouds: The way of the hypervisor | |
| Çalışkan et al. | Benefits of the virtualization technologies with intrusion detection and prevention systems | |
| Yin et al. | Research of security as a service for VMs in IaaS platform | |
| Chouhan et al. | Network based malware detection within virtualised environments | |
| Mahfouz et al. | Secure live virtual machine migration through runtime monitors | |
| CN107516039B (zh) | 虚拟化系统的安全防护方法及装置 | |
| Jin et al. | Trusted attestation architecture on an infrastructure-as-a-service | |
| CN106598713A (zh) | 虚拟机安全动态迁移的方法及系统 | |
| Bushouse et al. | Arav: monitoring a cloud's virtual routers | |
| Toumi et al. | Toward a trusted framework for cloud computing | |
| Agosta et al. | Towards Autonomic Enterprise Security: Self-Defending Platforms, Distributed Detection, and Adaptive Feedback. | |
| Hao et al. | Research on virtualization security technology in cloud computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160106 |