CN105844162A - 一种虚拟化平台下windows虚拟机漏洞扫描的方法 - Google Patents
一种虚拟化平台下windows虚拟机漏洞扫描的方法 Download PDFInfo
- Publication number
- CN105844162A CN105844162A CN201610214964.5A CN201610214964A CN105844162A CN 105844162 A CN105844162 A CN 105844162A CN 201610214964 A CN201610214964 A CN 201610214964A CN 105844162 A CN105844162 A CN 105844162A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- file
- disk
- vulnerability scanning
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45541—Bare-metal, i.e. hypervisor runs directly on hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种虚拟化平台下windows虚拟机漏洞扫描的方法,包括以下步骤:(1)在每个物理节点部署一台安全虚拟机;(2)获取虚拟机磁盘文件;(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;(4)安全虚拟机对获取的磁盘实时文件分析;(5)安全虚拟机获取对应于虚拟机操作系统的漏洞信息和漏洞扫描元数据文件;(6)安全虚拟机依据漏洞扫描元数据文件通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况。本发明的有益效果是:扫描过程不占用虚拟机自身资源,可做到用户无感知;无需逐一向虚拟机中部署安全代理;扫描不依赖虚拟机是否运行。
Description
技术领域
本发明涉及一种用于在虚拟机化环境无感知的情况下的对windows虚拟机漏洞扫描方法,具体的涉及一种虚拟化平台下windows虚拟机漏洞扫描的方法,属于计算机应用领域。
背景技术
在企业非虚拟化生产环境中,终端的管控是通过在其操作系统中部署代理,并依靠代理进行漏洞扫描等安全评估工作。这种状况,一直沿袭到了虚拟化生产环境下。然而,在虚拟化平台下,物理宿主机上可以部署运行多个虚拟机,一个资源池往往会有多个物理机,整个生产环境中可能部署着成千上万台虚拟机。为了硬件资源使用最大化,每个虚拟机所分配的资源会十分有限。如何在快速、精准并尽可能做到用户无感知的前提下,获取虚拟机(指windows虚拟机)漏洞修复情况,进而提供有效的漏洞修复方案是安全防护的重要环节。
虚拟化环境下,为了对windows虚拟机的使用提供风险评估和安全保障,需要对虚拟机的漏洞修复情况有清晰的了解。在虚拟化平台下,传统技术所采取的依靠部署在虚拟机中的代理进行漏洞扫描,不仅没有充分利用虚拟化技术的特点与优势,而且严重影响用户虚拟机的使用体验。这主要是因为:
1.代理进行漏洞扫描需要占用虚拟机本身有限的资源,影响用户使用体验;
2.虚拟机必须处于开机态,造成代理扫描工作受外部依赖(虚拟机处于开机态)因素影响。
在虚拟机中部署代理,然而大规模的部署、维护代理需要大量时间、精力,同时代理可能引入新的安全风险。
为此,如何提供一种无需逐一向虚拟机部署安全代理的漏洞扫描方法,是本发明研究的目的。
发明内容
为克服现有技术的不足,本发明提供一种虚拟化平台下windows虚拟机漏洞扫描的方法,是在虚拟化平台下对虚拟机做快照、克隆和磁盘文件分析,获取虚拟机磁盘文件数据,再经过对磁盘文件分析获取虚拟机漏洞情况;无需逐一向虚拟机中部署安全代理,达到了漏洞扫描不占用虚拟机自身资源的技术效果。
为了解决现有技术问题,本发明所采用的技术方案是:
一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于,包括以下步骤:
(1)在每个物理节点部署一台安全虚拟机;
(2)获取虚拟机磁盘文件,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数据文件,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文件;
(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;
(4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信息;
(5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞检测元数据文件;
(6)安全虚拟机依据漏洞检测元数据文件,通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况。
进一步的,在步骤(1)中,所述的安全虚拟机选择linux虚拟机。
进一步的,在步骤(1)中,所述的物理节点为一台物理服务器,为虚拟机的宿主机。
进一步的,在步骤(1)中,所述的虚拟机选择无代理漏洞扫描的虚拟机。
进一步的,在步骤(4)、(6)中,所述的针对虚拟机磁盘文件的分析,主要是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
进一步的,在步骤(5)中,所述的漏洞基础信息文件和漏洞检测元数据文件部署、存放在一个独立的服务器中,或直接存放在安全虚拟机中。
进一步的,在步骤(5)中,所述的漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用。
进一步的,在步骤(5)中,漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
进一步的,在步骤(6)中,所述的漏洞检测过程,其检测逻辑由相应的检测元数据文件指定。
本发明的有益效果是:扫描过程不占用虚拟机自身资源,可做到用户无感知;无需逐一向虚拟机中部署安全代理;扫描不依赖虚拟机是否运行。
附图说明
图1为本发明的开机态虚拟机运行图。
图2为本发明的关机态虚拟机运行图。
具体实施方式
为了使本领域技术人员能更好的理解本发明技术内容,下面结合附图1-2对本发明做进一步分析。
一种虚拟化平台下windows虚拟机漏洞扫描的方法,采用虚拟化平台所固有的技术,如可实时对开机态虚拟机创建快照、克隆链接等,获取虚拟机磁盘文件,或者对于非开机态虚拟机可以直接将其磁盘卸载获取虚拟机磁盘文件,并挂载到安全虚拟机(在每个宿主机上部署的一台用于漏洞扫描的linux虚拟机)上,通过文件分析,对虚拟机进行漏洞扫描工作,从而将资源占用较高的工作统一转移,尽可能的降低对用户虚拟机使用体验的影响,做到用户无感知。安全虚拟机只需在每个节点(指一个宿主机或物理服务器)部署一台,再无需向虚拟机中逐一部署代理进行扫描工作。同时,安全虚拟机的漏洞扫描工作与虚拟机是否处于运行态无关。
本发明所采用的技术方案包括以下步骤:(1)在每个物理节点部署一台安全虚拟机,安全虚拟机是指可对受保护的虚拟机执行无代理漏洞扫描的linux虚拟机;物理节点即一台物理服务器,虚拟机的宿主机。
(2)获取虚拟机磁盘文件,如图1所示,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数据文件;如图2所示,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文件;此外,对于不同的虚拟机化平台,此步骤中获取开机态虚拟机的磁盘文件可能略有差异,如对于Citrix下的XenServer平台,对虚拟机只需做快照,就可通过快照获得其磁盘实时数据文件;而对于Vmware下的Esx平台,在对虚拟机做快照之后,仍需对虚拟机做克隆链接才能获取磁盘实时数据文件。
(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上。
(4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信息,主要是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
(5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞扫描元数据文件;所述的漏洞基础信息文件和漏洞扫描元数据文件可部署、存放在一个独立的服务器中,或直接存放在安全虚拟机中;漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用;漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
(6)安全虚拟机依据漏洞扫描元数据文件,通过磁盘文件(针对磁盘文件中操作系统所在分区下的文件进行分析、检测)分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况,其检测逻辑由相应的检测元数据文件指定。
本发明的安全虚拟机用于对获取的虚拟机实时磁盘文件进行文件分析,漏洞信息数据库存放有不同操作系统对应的漏洞信息,漏洞扫描元数据文件用于辅助安全虚拟机通过磁盘文件分析获取漏洞的修复情况。①安全虚拟机中已存储或者可以获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞扫描元数据文件;②虚拟化平台可以实时获取虚拟机磁盘数据文件并挂载到安全虚拟机上,其中对应于离线态的虚拟机可以无需再进行做快照或者链接克隆直接将其磁盘文件卸载、挂载到安全虚拟机上;③安全虚拟机通过漏洞扫描元数据文件逐一检测获取的对应于虚拟机操作系统的漏洞信息是否已修复;安全虚拟机针对磁盘文件的分析主要是针对磁盘文件中操作系统所在分区下文件的分析。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在虚拟化平台下对虚拟机做快照、克隆和磁盘文件分析,获取虚拟机磁盘文件数据,再经过对磁盘文件分析获取虚拟机漏洞情况;包括以下步骤:
(1)在每个物理节点部署一台安全虚拟机;
(2)获取虚拟机磁盘文件,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数据文件,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文件;
(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;
(4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信息;
(5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞检测元数据文件;
(6)安全虚拟机依据漏洞检测元数据文件,通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况。
2.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(1)中,所述的安全虚拟机选择linux虚拟机。
3.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(1)中,所述的物理节点为一台物理服务器,为虚拟机的宿主机。
4.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(1)中,所述的虚拟机选择无代理漏洞扫描的虚拟机。
5.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(4)、(6)中,所述的针对虚拟机磁盘文件的分析,主要是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
6.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(5)中,所述的漏洞基础信息文件和漏洞扫描元数据文件部署、存放在一个独立的服务器中,或直接存放在安全虚拟机中。
7.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(5)中,所述的漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用。
8.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(5)中,漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
9.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(6)中,所述的漏洞检测过程,其检测逻辑由相应的检测元数据文件指定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610214964.5A CN105844162B (zh) | 2016-04-08 | 2016-04-08 | 一种虚拟化平台下windows虚拟机漏洞扫描的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610214964.5A CN105844162B (zh) | 2016-04-08 | 2016-04-08 | 一种虚拟化平台下windows虚拟机漏洞扫描的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105844162A true CN105844162A (zh) | 2016-08-10 |
| CN105844162B CN105844162B (zh) | 2019-03-29 |
Family
ID=56597031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610214964.5A Active CN105844162B (zh) | 2016-04-08 | 2016-04-08 | 一种虚拟化平台下windows虚拟机漏洞扫描的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105844162B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411900A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 基于虚拟化硬件扫描的方法及装置 |
| CN107463427A (zh) * | 2017-06-29 | 2017-12-12 | 北京北信源软件股份有限公司 | 一种虚拟机操作系统类型与版本的获取方法与装置 |
| CN109714314A (zh) * | 2018-11-21 | 2019-05-03 | 中国电子科技网络信息安全有限公司 | 一种重现漏洞全生命周期的全息漏洞库的构建方法 |
| CN114499985A (zh) * | 2021-12-29 | 2022-05-13 | 奇安信科技集团股份有限公司 | 基于内生安全机制的安全检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102099811A (zh) * | 2008-07-21 | 2011-06-15 | 国际商业机器公司 | 用于离线虚拟环境中的或与之相关的改进的方法和系统 |
| CN102419803A (zh) * | 2011-11-01 | 2012-04-18 | 成都市华为赛门铁克科技有限公司 | 计算机病毒查杀方法、系统及装置 |
| CN102542207A (zh) * | 2010-12-07 | 2012-07-04 | 微软公司 | 虚拟机的反恶意软件保护 |
| CN105468433A (zh) * | 2015-11-19 | 2016-04-06 | 北京北信源软件股份有限公司 | 一种虚拟机磁盘数据的获取方法及系统 |
-
2016
- 2016-04-08 CN CN201610214964.5A patent/CN105844162B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102099811A (zh) * | 2008-07-21 | 2011-06-15 | 国际商业机器公司 | 用于离线虚拟环境中的或与之相关的改进的方法和系统 |
| CN102542207A (zh) * | 2010-12-07 | 2012-07-04 | 微软公司 | 虚拟机的反恶意软件保护 |
| CN102419803A (zh) * | 2011-11-01 | 2012-04-18 | 成都市华为赛门铁克科技有限公司 | 计算机病毒查杀方法、系统及装置 |
| CN105468433A (zh) * | 2015-11-19 | 2016-04-06 | 北京北信源软件股份有限公司 | 一种虚拟机磁盘数据的获取方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411900A (zh) * | 2016-09-30 | 2017-02-15 | 北京奇虎科技有限公司 | 基于虚拟化硬件扫描的方法及装置 |
| CN106411900B (zh) * | 2016-09-30 | 2020-03-03 | 北京奇虎科技有限公司 | 基于虚拟化硬件扫描的方法及装置 |
| CN107463427A (zh) * | 2017-06-29 | 2017-12-12 | 北京北信源软件股份有限公司 | 一种虚拟机操作系统类型与版本的获取方法与装置 |
| CN109714314A (zh) * | 2018-11-21 | 2019-05-03 | 中国电子科技网络信息安全有限公司 | 一种重现漏洞全生命周期的全息漏洞库的构建方法 |
| CN114499985A (zh) * | 2021-12-29 | 2022-05-13 | 奇安信科技集团股份有限公司 | 基于内生安全机制的安全检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105844162B (zh) | 2019-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cotroneo et al. | A survey of software aging and rejuvenation studies | |
| CN105844162A (zh) | 一种虚拟化平台下windows虚拟机漏洞扫描的方法 | |
| CN112181833A (zh) | 一种智能化模糊测试方法、装置及系统 | |
| CN101488173B (zh) | 支持零宕机的可信虚拟域启动文件完整性度量的方法 | |
| Pagani et al. | Introducing the temporal dimension to memory forensics | |
| CN103065084B (zh) | 在虚拟机外部机进行的windows隐藏进程检测方法 | |
| US20230161614A1 (en) | Detecting vulnerabilities in configuration code of a cloud environment utilizing infrastructure as code | |
| CN108255716B (zh) | 一种基于云计算技术的软件测评方法 | |
| US9411711B2 (en) | Adopting an existing automation script to a new framework | |
| CN103530162A (zh) | 一种虚拟机在线自动软件安装的方法及系统 | |
| CN106020932B (zh) | 一种用于kvm虚拟机系统的安全防护方法及系统 | |
| CN105988798B (zh) | 补丁处理方法及装置 | |
| CN102651062A (zh) | 基于虚拟机架构的恶意行为跟踪系统和方法 | |
| CN105022678A (zh) | 虚拟机数据备份的方法和装置 | |
| CN107808096A (zh) | 检测apk运行时被注入恶意代码的方法、终端设备及存储介质 | |
| CN103176875A (zh) | 一种嵌入式系统上电自检方法 | |
| US9075965B2 (en) | Execution-based license discovery and optimization | |
| CN105357067A (zh) | 一种云平台的测试方法及系统 | |
| CN104077220A (zh) | Mips架构操作系统内核的调试方法和装置 | |
| CN109684829B (zh) | 一种虚拟化环境中服务调用监控方法和系统 | |
| US20170075712A1 (en) | Dynamic templates for virtualized systems | |
| CN106909835A (zh) | 一种基于cpu时空隔离机制实现内核完整性度量的方法 | |
| CN103336740B (zh) | 电力二次系统的操作系统综合测试方法及装置 | |
| CN104298918A (zh) | 一种在虚拟机中基于数据块的病毒扫描方法和系统 | |
| CN104462955A (zh) | 一种基于虚拟化的主机行为主动检测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |