CN105844162B - 一种虚拟化平台下windows虚拟机漏洞扫描的方法 - Google Patents

一种虚拟化平台下windows虚拟机漏洞扫描的方法 Download PDF

Info

Publication number
CN105844162B
CN105844162B CN201610214964.5A CN201610214964A CN105844162B CN 105844162 B CN105844162 B CN 105844162B CN 201610214964 A CN201610214964 A CN 201610214964A CN 105844162 B CN105844162 B CN 105844162B
Authority
CN
China
Prior art keywords
virtual machine
file
disk
vulnerability scanning
loophole
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610214964.5A
Other languages
English (en)
Other versions
CN105844162A (zh
Inventor
党艳平
赵亮
阳晓宇
张通
胡永伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing VRV Software Corp Ltd
Original Assignee
Beijing VRV Software Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing VRV Software Corp Ltd filed Critical Beijing VRV Software Corp Ltd
Priority to CN201610214964.5A priority Critical patent/CN105844162B/zh
Publication of CN105844162A publication Critical patent/CN105844162A/zh
Application granted granted Critical
Publication of CN105844162B publication Critical patent/CN105844162B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45541Bare-metal, i.e. hypervisor runs directly on hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种虚拟化平台下windows虚拟机漏洞扫描的方法,包括以下步骤:(1)在每个物理节点部署一台安全虚拟机;(2)获取虚拟机磁盘文件;(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;(4)安全虚拟机对获取的磁盘实时文件分析;(5)安全虚拟机获取对应于虚拟机操作系统的漏洞信息和漏洞扫描元数据文件;(6)安全虚拟机依据漏洞扫描元数据文件通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况。本发明的有益效果是:扫描过程不占用虚拟机自身资源,可做到用户无感知;无需逐一向虚拟机中部署安全代理;扫描不依赖虚拟机是否运行。

Description

一种虚拟化平台下windows虚拟机漏洞扫描的方法
技术领域
本发明涉及一种用于在虚拟机化环境无感知的情况下的对windows虚拟机漏洞扫描方法,具体的涉及一种虚拟化平台下windows虚拟机漏洞扫描的方法,属于计算机应用领域。
背景技术
在企业非虚拟化生产环境中,终端的管控是通过在其操作系统中部署代理,并依靠代理进行漏洞扫描等安全评估工作。这种状况,一直沿袭到了虚拟化生产环境下。然而,在虚拟化平台下,物理宿主机上可以部署运行多个虚拟机,一个资源池往往会有多个物理机,整个生产环境中可能部署着成千上万台虚拟机。为了硬件资源使用最大化,每个虚拟机所分配的资源会十分有限。如何在快速、精准并尽可能做到用户无感知的前提下,获取虚拟机(指windows虚拟机)漏洞修复情况,进而提供有效的漏洞修复方案是安全防护的重要环节。
虚拟化环境下,为了对windows虚拟机的使用提供风险评估和安全保障,需要对虚拟机的漏洞修复情况有清晰的了解。在虚拟化平台下,传统技术所采取的依靠部署在虚拟机中的代理进行漏洞扫描,不仅没有充分利用虚拟化技术的特点与优势,而且严重影响用户虚拟机的使用体验。这主要是因为:
1.代理进行漏洞扫描需要占用虚拟机本身有限的资源,影响用户使用体验;
2.虚拟机必须处于开机态,造成代理扫描工作受外部依赖(虚拟机处于开机态)因素影响。
在虚拟机中部署代理,然而大规模的部署、维护代理需要大量时间、精力,同时代理可能引入新的安全风险。
为此,如何提供一种无需逐一向虚拟机部署安全代理的漏洞扫描方法,是本发明研究的目的。
发明内容
为克服现有技术的不足,本发明提供一种虚拟化平台下windows虚拟机漏洞扫描的方法,是在虚拟化平台下对虚拟机做快照、克隆和磁盘文件分析,获取虚拟机磁盘文件数据,再经过对磁盘文件分析获取虚拟机漏洞情况;无需逐一向虚拟机中部署安全代理,达到了漏洞扫描不占用虚拟机自身资源的技术效果。
为了解决现有技术问题,本发明所采用的技术方案是:
一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于,包括以下步骤:
(1)在每个物理节点部署一台安全虚拟机;
(2)获取虚拟机磁盘文件,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数据文件,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文件;
(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;
(4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信息;
(5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞检测元数据文件;
(6)安全虚拟机依据漏洞检测元数据文件,通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况。
进一步的,在步骤(1)中,所述的安全虚拟机选择linux虚拟机。
进一步的,在步骤(1)中,所述的物理节点为一台物理服务器,为虚拟机的宿主机。
进一步的,在步骤(1)中,所述的虚拟机选择无代理漏洞扫描的虚拟机。
进一步的,在步骤(4)、(6)中,所述的针对虚拟机磁盘文件的分析,主要是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
进一步的,在步骤(5)中,所述的漏洞基础信息文件和漏洞检测元数据文件部署、存放在一个独立的服务器中,或直接存放在安全虚拟机中。
进一步的,在步骤(5)中,所述的漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用。
进一步的,在步骤(5)中,漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
进一步的,在步骤(6)中,所述的漏洞检测过程,其检测逻辑由相应的检测元数据文件指定。
本发明的有益效果是:扫描过程不占用虚拟机自身资源,可做到用户无感知;无需逐一向虚拟机中部署安全代理;扫描不依赖虚拟机是否运行。
附图说明
图1为本发明的开机态虚拟机运行图。
图2为本发明的关机态虚拟机运行图。
具体实施方式
为了使本领域技术人员能更好的理解本发明技术内容,下面结合附图1-2对本发明做进一步分析。
一种虚拟化平台下windows虚拟机漏洞扫描的方法,采用虚拟化平台所固有的技术,如可实时对开机态虚拟机创建快照、克隆链接等,获取虚拟机磁盘文件,或者对于非开机态虚拟机可以直接将其磁盘卸载获取虚拟机磁盘文件,并挂载到安全虚拟机(在每个宿主机上部署的一台用于漏洞扫描的linux虚拟机)上,通过文件分析,对虚拟机进行漏洞扫描工作,从而将资源占用较高的工作统一转移,尽可能的降低对用户虚拟机使用体验的影响,做到用户无感知。安全虚拟机只需在每个节点(指一个宿主机或物理服务器)部署一台,再无需向虚拟机中逐一部署代理进行扫描工作。同时,安全虚拟机的漏洞扫描工作与虚拟机是否处于运行态无关。
本发明所采用的技术方案包括以下步骤:(1)在每个物理节点部署一台安全虚拟机,安全虚拟机是指可对受保护的虚拟机执行无代理漏洞扫描的linux虚拟机;物理节点即一台物理服务器,虚拟机的宿主机。
(2)获取虚拟机磁盘文件,如图1所示,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数据文件;如图2所示,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文件;此外,对于不同的虚拟机化平台,此步骤中获取开机态虚拟机的磁盘文件可能略有差异,如对于Citrix下的XenServer平台,对虚拟机只需做快照,就可通过快照获得其磁盘实时数据文件;而对于Vmware下的Esx平台,在对虚拟机做快照之后,仍需对虚拟机做克隆链接才能获取磁盘实时数据文件。
(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上。
(4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信息,主要是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
(5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞扫描元数据文件;所述的漏洞基础信息文件和漏洞扫描元数据文件可部署、存放在一个独立的服务器中,或直接存放在安全虚拟机中;漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用;漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
(6)安全虚拟机依据漏洞扫描元数据文件,通过磁盘文件(针对磁盘文件中操作系统所在分区下的文件进行分析、检测)分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况,其检测逻辑由相应的检测元数据文件指定。
本发明的安全虚拟机用于对获取的虚拟机实时磁盘文件进行文件分析,漏洞信息数据库存放有不同操作系统对应的漏洞信息,漏洞扫描元数据文件用于辅助安全虚拟机通过磁盘文件分析获取漏洞的修复情况。①安全虚拟机中已存储或者可以获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞扫描元数据文件;②虚拟化平台可以实时获取虚拟机磁盘数据文件并挂载到安全虚拟机上,其中对应于离线态的虚拟机可以无需再进行做快照或者链接克隆直接将其磁盘文件卸载、挂载到安全虚拟机上;③安全虚拟机通过漏洞扫描元数据文件逐一检测获取的对应于虚拟机操作系统的漏洞信息是否已修复;安全虚拟机针对磁盘文件的分析主要是针对磁盘文件中操作系统所在分区下文件的分析。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (7)

1.一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在虚拟化平台下对虚拟机做快照、克隆和磁盘文件分析,获取虚拟机磁盘文件数据,再经过对磁盘文件分析获取虚拟机漏洞情况;包括以下步骤:
(1)在每个物理节点部署一台安全虚拟机;
(2)获取虚拟机磁盘文件,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数据文件,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文件;
(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;
(4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信息;
(5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞检测元数据文件,所述的漏洞基础信息文件和漏洞检测元数据文件部署、存放在一个独立的服务器中,或直接存放在安全虚拟机中;
(6)安全虚拟机依据漏洞检测元数据文件,通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况;其中,
在步骤(4)、(6)中,针对虚拟机磁盘文件的分析,是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
2.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(1)中,所述的安全虚拟机选择linux虚拟机。
3.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(1)中,所述的物理节点为一台物理服务器,为虚拟机的宿主机。
4.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(1)中,所述的虚拟机选择无代理漏洞扫描的虚拟机。
5.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(5)中,所述的漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用。
6.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(5)中,漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
7.根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在步骤(6)中,漏洞检测过程的检测逻辑由相应的检测元数据文件指定。
CN201610214964.5A 2016-04-08 2016-04-08 一种虚拟化平台下windows虚拟机漏洞扫描的方法 Active CN105844162B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610214964.5A CN105844162B (zh) 2016-04-08 2016-04-08 一种虚拟化平台下windows虚拟机漏洞扫描的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610214964.5A CN105844162B (zh) 2016-04-08 2016-04-08 一种虚拟化平台下windows虚拟机漏洞扫描的方法

Publications (2)

Publication Number Publication Date
CN105844162A CN105844162A (zh) 2016-08-10
CN105844162B true CN105844162B (zh) 2019-03-29

Family

ID=56597031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610214964.5A Active CN105844162B (zh) 2016-04-08 2016-04-08 一种虚拟化平台下windows虚拟机漏洞扫描的方法

Country Status (1)

Country Link
CN (1) CN105844162B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411900B (zh) * 2016-09-30 2020-03-03 北京奇虎科技有限公司 基于虚拟化硬件扫描的方法及装置
CN107463427A (zh) * 2017-06-29 2017-12-12 北京北信源软件股份有限公司 一种虚拟机操作系统类型与版本的获取方法与装置
CN109714314B (zh) * 2018-11-21 2021-04-27 中国电子科技网络信息安全有限公司 一种重现漏洞全生命周期的全息漏洞库的构建方法
CN114499985A (zh) * 2021-12-29 2022-05-13 奇安信科技集团股份有限公司 基于内生安全机制的安全检测方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102099811A (zh) * 2008-07-21 2011-06-15 国际商业机器公司 用于离线虚拟环境中的或与之相关的改进的方法和系统
CN102419803A (zh) * 2011-11-01 2012-04-18 成都市华为赛门铁克科技有限公司 计算机病毒查杀方法、系统及装置
CN102542207A (zh) * 2010-12-07 2012-07-04 微软公司 虚拟机的反恶意软件保护
CN105468433A (zh) * 2015-11-19 2016-04-06 北京北信源软件股份有限公司 一种虚拟机磁盘数据的获取方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102099811A (zh) * 2008-07-21 2011-06-15 国际商业机器公司 用于离线虚拟环境中的或与之相关的改进的方法和系统
CN102542207A (zh) * 2010-12-07 2012-07-04 微软公司 虚拟机的反恶意软件保护
CN102419803A (zh) * 2011-11-01 2012-04-18 成都市华为赛门铁克科技有限公司 计算机病毒查杀方法、系统及装置
CN105468433A (zh) * 2015-11-19 2016-04-06 北京北信源软件股份有限公司 一种虚拟机磁盘数据的获取方法及系统

Also Published As

Publication number Publication date
CN105844162A (zh) 2016-08-10

Similar Documents

Publication Publication Date Title
CN105844162B (zh) 一种虚拟化平台下windows虚拟机漏洞扫描的方法
US8667489B2 (en) Systems and methods for sharing the results of analyses among virtual machines
US8572607B2 (en) System and method for performing designated service image processing functions in a service image warehouse
CN102651062B (zh) 基于虚拟机架构的恶意行为跟踪系统和方法
CN101488173B (zh) 支持零宕机的可信虚拟域启动文件完整性度量的方法
US10042744B2 (en) Adopting an existing automation script to a new framework
US20230164164A1 (en) Detecting vulnerabilities in configuration code of a cloud environment utilizing infrastructure as code
US10089097B2 (en) Dynamic templates for virtualized systems
CN112181833A (zh) 一种智能化模糊测试方法、装置及系统
US9075965B2 (en) Execution-based license discovery and optimization
CN105205397A (zh) 恶意程序样本分类方法及装置
CN105022678A (zh) 虚拟机数据备份的方法和装置
CN107808096A (zh) 检测apk运行时被注入恶意代码的方法、终端设备及存储介质
CN107368313A (zh) 代码检测方法、装置及电子设备
CN104360892A (zh) 创建虚拟机的系统及方法
US11762669B2 (en) Post hoc image and volume review of short-lived linux containers
US9237071B2 (en) Computer-readable recording medium, verification method, and verification device
CN105488414A (zh) 一种防止恶意代码探测虚拟环境的方法及系统
CN105718793A (zh) 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统
CN108228319B (zh) 一种基于多桥的语义重构方法
US20230161871A1 (en) System and method for detecting excessive permissions in identity and access management
US9088604B1 (en) Systems and methods for treating locally created files as trustworthy
CN103106366B (zh) 一种基于云的样本数据库动态维护方法
Hagen et al. Towards solid it change management: Automated detection of conflicting it change plans
US20230164174A1 (en) Techniques for lateral movement detecton in a cloud computing environment

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant