CN106778275A - 基于虚拟化环境下的安全防护方法及系统和物理主机 - Google Patents
基于虚拟化环境下的安全防护方法及系统和物理主机 Download PDFInfo
- Publication number
- CN106778275A CN106778275A CN201611242693.0A CN201611242693A CN106778275A CN 106778275 A CN106778275 A CN 106778275A CN 201611242693 A CN201611242693 A CN 201611242693A CN 106778275 A CN106778275 A CN 106778275A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- security protection
- data
- tested
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/10—Address translation
- G06F12/109—Address translation for multiple virtual address spaces, e.g. segmentation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0662—Virtualisation aspects
- G06F3/0665—Virtualisation aspects at area level, e.g. provisioning of virtual or logical volumes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于虚拟化环境下的安全防护方法及系统和物理主机。其中方法包括:从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;为物理主机中的每个虚拟机创建虚拟内存,各个虚拟机的虚拟内存对应同一物理内存空间;当检测有安全防护事件发生时,获取安全防护事件对应的待检测数据,并将待检测数据通过发生安全防护事件的虚拟机的虚拟内存写入物理内存空间;利用安全虚拟机对物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,将检测结果反馈给发生安全防护事件的虚拟机。其不仅减轻了对计算资源或存储资源的占用,而且还对网络环境无要求。
Description
技术领域
本发明涉及虚拟化技术领域,特别是涉及基于虚拟化环境下的安全防护方法及系统和物理主机。
背景技术
随着硬件虚拟化技术的广泛应用,在一台物理主机上可以同时运行多个操作系统,操作系统之间相互隔离,使得对硬件设施的管理更加有效、灵活和节约。例如:可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上,从而达到资源的合理分配;又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上,并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题,在虚拟化的部署过程中也会面临。
为了解决虚拟化环境下虚拟机安全的问题,传统的解决办法如图1所示,需要在每台物理主机上的各个虚拟机中部署一套安全防护软件,从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品,会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用,可采用一种轻代理的方式,轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理,虚拟机中只保留最低限度的安全引擎服务数据。但将安全防护软件中的数据移到云端服务器,虚拟机在进行安全引擎时,需要占用一定的网络带宽并对网络环境的响应速度有一定的要求,这样如果无网络或网络环境比较差时,安全防护软件将不能很好地对虚拟机起到防护作用。
发明内容
基于此,有必要针对传统在同一物理主机的多个虚拟机中重复部署安全防护软件造成的资源占用及为了减轻对资源的占用将安全防护软件的数据移到云端服务器对网络环境要求较高的问题,提供一种基于虚拟化环境下的安全防护方法及系统和物理主机,不仅能减轻对计算资源或存储资源的占用,还对网络环境无要求。
为达到发明目的,提供一种基于虚拟化环境下的安全防护方法,所述方法包括:
从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;
为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;
当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;
利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果;
将所述检测结果反馈给将要发生安全防护事件的虚拟机。
在其中一个实施例中,所述从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机的步骤之后,还包括:
获取所述安全虚拟机的安全标记信息,并将所述安全标记信息分发给各个所述虚拟机;
当检测到所述虚拟机有安全防护事件发生时,根据所述安全标记信息将发生所述安全防护事件的虚拟机的标记信息发送给所述安全虚拟机,以通知所述安全虚拟机对所述安全防护事件对应的待检测数据进行安全检测。
在其中一个实施例中,所述为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间步骤包括:
在所述物理主机的物理内存中划分出预设内存作为所述共享内存空间;
建立各个所述虚拟机的虚拟内存与所述共享内存空间的映射关系;
利用所述映射关系将所述待检测数据写入或读出所述共享内存空间;
其中,所述共享内存空间为各个所述虚拟机的虚拟内存对应的同一物理内存空间。
在其中一个实施例中,所述共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。
在其中一个实施例中,所述当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间的步骤包括:
当检测到安全防护事件时,由所述安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由所述安全防护事件中提取所述待检测数据;
将所述第一标记信息发送给所述安全虚拟机,将所述待检测数据缓存到所述将要发生安全防护事件的虚拟机的第一虚拟内存中;
当接收到所述安全虚拟机反馈的安全检测信号时,根据所述映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述共享内存空间中。
在其中一个实施例中,所述利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,以及将所述检测结果反馈给发生安全防护事件的虚拟机的步骤包括:
获取所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的检测结果;
由所述检测结果中提取与所述待检测数据对应的虚拟机的第一标记信息和所述待检测数据的安全信息;
根据所述第一标记信息将所述待检测数据的安全信息反馈给与所述第一标记信息相对应的虚拟机。
本发明还提供一种基于虚拟机环境下的安全防护系统,所述系统包括:
配置模块,用于从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;
创建模块,用于为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;
写入模块,用于当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;
检测模块,用于利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,并将所述检测结果反馈给将要发生安全防护事件的虚拟机。
在其中一个实施例中,还包括:
获取模块,用于在从物理主机的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机之后,获取所述安全虚拟机的安全标记信息,并将所述安全标记信息分发给各个所述虚拟机;
发送模块,用于当检测到所述虚拟机有安全防护事件发生时,根据所述安全标记信息将发生所述安全防护事件的虚拟机的标记信息发送给所述安全虚拟机,以通知所述安全虚拟机对所述安全防护事件对应的待检测数据进行安全检测。
在其中一个实施例中,所述创建模块包括:
划分单元,用于在所述物理主机的物理内存中划分出预设内存作为所述共享内存空间;
建立单元,用于建立各个所述虚拟机的虚拟内存与所述共享内存空间的映射关系;
写入读出单元,用于利用所述映射关系将所述待检测数据写入或读出所述共享内存空间;
其中,所述共享内存空间为各个所述虚拟机的虚拟内存对应的同一物理内存空间。
在其中一个实施例中,所述共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。
在其中一个实施例中,所述写入模块包括:
第一提取单元,用于当检测到安全防护事件时,由所述安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由所述安全防护事件中提取所述待检测数据;
发送缓存单元,用于将所述第一标记信息发送给所述安全虚拟机,将所述待检测数据缓存到所述将要发生安全防护事件的虚拟机的第一虚拟内存中;
写入单元,用于当接收到所述安全虚拟机反馈的安全检测信号时,根据所述映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述共享内存空间中。
在其中一个实施例中,所述检测模块包括:
获取单元,用于获取所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的检测结果;
第二提取单元,用于由所述检测结果中提取与所述待检测数据对应的虚拟机的第一标记信息和所述待检测数据的安全信息;
反馈单元,用于根据所述第一标记信息将所述待检测数据的安全信息反馈给与所述第一标记信息相对应的虚拟机。
本发明还提供一种物理主机,包括多个虚拟机和物理内存,还包括:
配置模块,用于从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;
创建模块,用于为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;
写入模块,用于当检测到虚拟机有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;
检测模块,用于利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,并将所述检测结果反馈给将要发生安全防护事件的虚拟机。
本发明的有益效果包括:
上述基于虚拟化环境下的安全防护方法及系统和物理主机,不仅减轻了在同一物理主机的多个虚拟机上重复部署安全防护软件对计算资源或存储资源的占用,而且还克服了传统将安全防护软件安装在私有云或公有云中对网络带宽或对网络环境的响应速度有一定要求的限制,其无需进行网络传输,对网络资源和网络环境没有要求,在各个虚拟机之间进行安全检测时,简便高效,保证每个虚拟机的安全,从而提高了物理主机在虚拟化环境下的安全性能。
附图说明
图1为一个实施例中的传统部署多个安全虚拟机的物理主机的结构示意图;
图2为一个实施例中的部署一个安全虚拟机的物理主机的结构示意图;
图3为一个实施例中的基于虚拟化环境下的安全防护方法的流程示意图;
图4为另一个实施例中的基于虚拟化环境下的安全防护方法的流程示意图;
图5为一个实施例中的基于虚拟化环境下的安全防护系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明基于虚拟化环境下的安全防护方法及系统和物理主机进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
在一个实施例中,如图2、3所示,提供了一种基于虚拟化环境下安全防护方法,该方法包括以下步骤:
S100,从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机。
S200,为物理主机中的每个虚拟机创建虚拟内存,各个虚拟机的虚拟内存对应同一物理内存空间。
S300,当检测到有安全防护事件发生时,获取安全防护事件对应的待检测数据,并将待检测数据通过发生安全防护事件的虚拟机的虚拟内存写入物理内存空间。
S400,利用安全虚拟机对物理内存空间中的待检测数据进行安全检测。得到相应的检测结果,将检测结果反馈给将要发生安全防护事件的虚拟机。
本实施例中,虚拟机监管层中的事件管理器为物理主机的每个虚拟机都创建一个虚拟内存,每个虚拟机的虚拟内存对应同一物理内存空间,这样使得多个虚拟机之间可以通过访问该物理内存空间实现相互之间的直接通信,即同一物理主机内的各个虚拟机之间不再是相互隔离的,而是相互之间存在通信功能。同时,从物理主机的多个虚拟机中选择出预设个数的虚拟机作为安全虚拟机,该预设个数可以是一个、两个或多个,具体根据需求而定。例如:从多个虚拟机中选择一个、两个或多个虚拟机作为安全虚拟机,优选地,在物理主机运行的多个虚拟机中选择资源占用率低或物理资源大的一个、两个或多个虚拟机作为安全虚拟机;优选地,从物理主机的多个虚拟机中任意地选出一个作为安全虚拟机。其中,安全虚拟机可以实现对各种安全相关事件的实际处理。具体地,从多个虚拟机中任意选一个为其配置安全防护软件,使其成为安全虚拟机,以对其它虚拟机执行安全检测。由于不必为每个虚拟机都配置一个安全防护软件,因此减轻了虚拟化环境下在物理主机的多个虚拟机中重复配置安全防护软件造成的对计算资源和存储资源的浪费。并且,执行上述步骤的事件管理器相当于各个虚拟机之间的一个通信管道,各个虚拟机之间可通过该通信管道进行直接通信,即各个虚拟机之间的事件信息及数据通过该通信管道进行传输,而物理内存空间只起到一个存储数据的作用。其中,事件管理器为运行在虚拟机监管层中的软件。当检测到有安全防护事件发生时,例如:当不是安全虚拟机的虚拟机发生安全防护事件时,因为其自身没有配置安全防护软件,所以不能直接对其将要发生的安全防护事件对应的待检测数据进行安全检测,此时该虚拟机可以将待检测数据通过其虚拟内存对应的存入上述物理内存空间中,由于安全虚拟机可以对该物理内存空间进行直接访问,因此安全虚拟机能够实现对将要发生安全防护事件的虚拟机的待检测数据进行安全检测,该将要发生安全防护事件的虚拟机便可根据安全虚拟机的对待检测数据进行安全检测的检测结果决定是否执行该安全防护事件;又如:当安全虚拟机发生安全防护事件时,安全虚拟机中的安全防护软件直接对其将要执行的安全防护事件对应的待检测数据进行安全检测,该检测过程与传统的安装有安全防护软件的虚拟机执行安全检测的过程类似,此处不再详述。在上述安全检测过程中,各个虚拟机对待检测数据进行安全检测的过程都是在物理主机内部进行的,安全防护软件的数据没有移到云端服务器,对网络环境和网络响应速度没有要求,因此能够克服传统将安全防护软件安装在私有云或公有云中对网络带宽或对网络环境的响应速度有一定要求的限制。
本实施例中的基于虚拟化环境下的安全防护方法,不仅减轻了在同一物理主机的多个虚拟机上重复部署安全防护软件对计算资源或存储资源的占用,而且还无需进行网络传输,对网络资源和网络环境没有要求,在各个虚拟机之间进行安全检测时,简便高效,保证每个虚拟机的安全,从而提高了物理主机在虚拟化环境下的安全性能。
需要说明的是,本实施例中只有安全虚拟机中配置了对各种安全相关事件处理的数据,而其他的虚拟机中均没有任何与处理各种安全事件相关的数据,因此相比传统的将安全防护软件中的大部分数据移到私有云或公有云,而各个虚拟机只保留最低限度的与处理各种安全事件相关的数据来说,除了安全虚拟机之外,其它虚拟机是没有任何代理的,因此,本实施例中的对待检测数据进行安全检测的方式可以称为“无代理防病毒机制”或“无代理安全防护机制”。其中,待检测数据包括文件数据、网址数据、访问路径数据和注册表读写数据等。
在一个实施例中,参见图4,在步骤S100之后,还包括:
S101,获取安全虚拟机的安全标记信息,并将安全标记信息发给各个虚拟机。
S102,当检测到虚拟机有安全防护事件发生时,根据安全标记信息将发生安全防护事件的虚拟机的标记信息发送给安全虚拟机,以通知安全虚拟机对安全防护事件对应的待检测数据进行安全检测。
在将物理主机中的某些虚拟机配置为安全虚拟机之后,获取该安全虚拟机的标记信息作为安全标记信息分发给该物理主机中的其它虚拟机,以告知其它虚拟机哪个是安全虚拟机,方便其它虚拟机有安全防护事件发生时,通知该安全虚拟机执行相应的安全防护功能。其中,值得说明的是,如果有两个以上的安全虚拟机,则当非安全虚拟机有安全防护事件发生时,可以将该安全防护事件通知给所有的安全虚拟机,以充分保证非安全虚拟机的安全性。优选的,将该安全防护事件通知给其中的一个安全虚拟机,以避免重复的执行安全防护功能,造成资源的占用。更进一步地,还可分别将不同的安全防护事件通知给不同的安全虚拟机,以使不同的安全虚拟机对不同的安全防护事件执行安全防护功能,提高防护效率。例如:安全虚拟机为两个,当第一安全虚拟机执行安全防护功能时,检测到有新的安全防护事件,则将该新的安全防护事件通知给第二安全虚拟机,使第二安全虚拟机对新的安全防护事件执行安全防护功能。
在一个实施例中,步骤S200包括:
S210,在物理主机的物理内存中划分出预设内存作为共享内存空间。
S220,建立各个虚拟机的虚拟内存与共享内存空间的映射关系。
S230,利用映射关系将待检测数据写入或读出共享内存空间。
其中,共享内存空间为各个虚拟机的虚拟内存对应的同一物理内存空间。
上述为同一物理主机中的各个虚拟机共享同一物理内存空间的具体过程,即各个虚拟机之间实现物理内存空间共享是把物理内存映射成虚拟机内的PCI(PeripheralComponent Interconnect,外设部件互连标准)设备来实现的。具体地,在物理内存中划分出一块内存(预设内存)来作为各个虚拟机的共享内存空间,该共享内存空间用于各个虚拟机的待检测数据的存入和读出;使用传统的仿真软件(qemu,一种开源的仿真软件)将VMM(Virtual Machine Monitor,虚拟机监管器)层中的一段存储空间仿真为虚拟机的虚拟内存,虚拟内存用于缓存各个虚拟机的待检测数据,虚拟内存的设置可以减少待检测数据对物理内存的占用,提高物理主机的处理效率;然后通过建立虚拟内存与共享内存空间之间的映射关系来实现各个虚拟机共享同一物理内存空间,即共享内存空间的内存地址与各个虚拟机的虚拟内存地址相对应,这样当某一虚拟机将其待检测数据写入其虚拟内存时,相当于将待检测数据写入了共享内存空间(利用映射关系将待检测数据写入了共享内存空间),其它虚拟机可以根据各自的虚拟内存与共享内存空间的映射关系从共享内存空间中读取待检测数据;在外部看来,某一虚拟机只要将其对应的待检测数据写入其虚拟内存之后,其它的虚拟机便可对该待检测数据进行处理,各个虚拟机的虚拟内存之间是相互透明的。其中,传统的仿真软件可以仿真出各种设备,例如:虚拟网卡、虚拟磁盘、虚拟PCI设备。在一个实施例中,各个虚拟机对共享内存空间进行读写操作时采用串口的通信方式进行读写,简单方便。
其中,VMM负责各个虚拟机的调度,VMM将各个虚拟机作为一个调度单元,按照时间片轮询方式调度。即在同一物理主机上各个虚拟机在宏观上是同时执行的,而实际上每个虚拟机有一定的执行时间,每个虚拟机在指定的执行时间内运行,达到指定的执行时间后,释放占用的资源,以便其它虚拟机使用。
在一个实施例中,共享内存空间根据物理主机中虚拟机的开启数量进行动态分配。
在物理内存中划分各个虚拟机的共享内存空间时,根据物理主机中虚拟机的开启数量进行动态分配,可减少各个虚拟机对物理内存的空间占用,从而提高物理主机的处理效率。
更进一步地,共享内存空间根据虚拟机的开启数量及各个虚拟机的虚拟内存的大小来进行动态分配,可进一步减少各个虚拟机对物理内存的空间占用。
当然,共享内存空间的大小也可根据物理主机中所有虚拟机总共需要的物理内存大小来预留。这种分配方法简单方便,易于实现,但这个预留的物理内存空间将不能用于处理其他数据,将会影响物理主机的处理效率。
进一步地,在为各个虚拟机划分共享内存空间,采用伙伴分配(buddysystem)方法进行划分,伙伴分配是一种经典的内存分配算法。伙伴分配的实质就是一种特殊的“分离适配”,即将内存按2的幂进行划分,相当于分离出若干个块大小一致的空闲链表,搜索该链表并给出同需求最佳匹配的大小。其优点是快速搜索合并(O(logN)时间复杂度)以及低外部碎片(最佳适配best-fit);其缺点是内部碎片,因为按2的幂划分块,如果碰上66单位大小,那么必须划分128单位大小的块。但若需求本身就按2的幂分配,比如可以先分配若干个内存池,在其基础上进一步细分就很有吸引力了。
在一个实施例中,步骤S300包括:
S310,当检测到安全防护事件时,由安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由安全防护事件中提取待检测数据。
S320,将第一标记信息发送给安全虚拟机,将待检测数据缓存到将要发生安全防护事件的虚拟机的第一虚拟内存中。
S330,当接收到安全虚拟机反馈的安全检测信号时,根据映射关系将缓存在第一虚拟内存中的待检测数据写入共享内存空间中。
安全防护事件通常由虚拟机中的驱动单元来捕获,当虚拟机捕获到安全防护事件后,将该安全防护事件发送给事件管理器,事件管理器由该安全防护事件中提取发送安全防护事件的虚拟机的第一标记信息和该安全防护事件对应的待检测数据,将待检测数据缓存在第一虚拟内存中,此处将待检测数据缓存在第一虚拟内存中而不是共享物理内存中可以减少对物理内存的占用,提高物理内存的处理速度,同时将第一标记信息发送给安全虚拟机,告知安全虚拟机发生安全防护事件的是第一虚拟机,当安全虚拟机(物理主机开启时,安全虚拟机不一定也开启)处于开启状态时,向第一虚拟机反馈安全检测信号,当安全虚拟机没有开启时,事件管理器控制安全虚拟机开启,并将第一标记信息发送给安全虚拟机,安全虚拟机接收到第一标记信息后,反馈安全检测信号给第一虚拟机,第一虚拟机接收到安全检测信号后,根据虚拟内存与共享内存空间的映射关系将其虚拟内存中缓存的待检测数据写入共享内存空间中,安全虚拟机便可通过访问共享内存空间对该待检测数据进行安全检测,从而保证该第一虚拟机的安全。
在一个实施例中,步骤S400包括:
S410,获取安全虚拟机对物理内存空间中的待检测数据进行安全检测的检测结果。
S420,由检测结果中提取与待检测数据对应的虚拟机的第一标记信息和待检测数据的安全信息。
S430,根据第一标记信息将待检测数据的安全信息反馈给与第一标记信息相对应的虚拟机。
安全虚拟机对共享内存空间内的待检测数据进行安全检测后,会将安全检测的检测结果发送给事件管理器,事件管理器从该检测结果中提取待检测数据的安全信息和第一标记信息,其中第一标记信息告知事件管理器该检测结果是哪个虚拟机对应的检测结果,从而便于事件管理器将该检测结果反馈给第一虚拟机,避免将检测结果反馈给其它的虚拟机而出现安全检测故障,第一虚拟机接收到安全信息时,根据该安全信息决定是否执行安全防护事件,从而实现同一物理主机中的多个虚拟机通过一个安全虚拟机保证安全性,克服传统将安全防护软件安装在私有云或公有云中对网络带宽或对网络环境的响应速度有一定要求的限制。
其中,需要说明的是,如果安全虚拟机同时接收到多个虚拟机的标记信息,即同时有多个虚拟机需要进行安全检测,则安全虚拟机可以同时对多个安全防护事件进行处理,此时,安全虚拟机反馈的检测结果中一定携带有该检测结果将要反馈给的虚拟机的标记信息,即安全虚拟机在对共享存储空间中的待检测数据进行安全检测时,会预先获知发送该待检测数据的虚拟机的标记信息,并将该标记信息加入到检测结果中,从而有效防止将检测结果反馈给错误的虚拟机的情况发生,进一步保证虚拟机的安全性。当然,安全虚拟机也可按照先来后到的顺序或预设优先级的顺序来对各个虚拟机的待检测数据进行安全检测。
优选地,在一个实施例中,如果多个虚拟机并发安全防护事件时,当并发安全防护事件的数目没有超出预设个数时,安全虚拟机对同时发生安全防护事件的多个虚拟机同时处理,当并发安全防护事件的数目超出预设个数时,按照先来后到或预设优先级的顺序对多个虚拟机进行处理,这样一方面可提高检测效率,另一方面也可避免安全虚拟机同一时间执行过多的安全检测事件时出现的死机现象。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
在一个实施例中,如图5所示,还提供了一种基于虚拟化环境下的安全防护系统,该系统包括:配置模块100,用于从物理主机的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机。创建模块200,用于为物理主机中的每个虚拟机创建虚拟内存,各个虚拟机的虚拟内存对应同一物理内存空间。写入模块300,用于当检测到有安全防护事件发生时,获取安全防护事件对应的待检测数据,并将待检测数据通过发生安全防护事件的虚拟机的虚拟内存写入物理内存空间。检测模块400,用于利用安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,并将检测结果反馈给将要发生安全防护事件的虚拟机。
本实施例中的基于虚拟化环境下的安全防护系统,不仅减轻了在同一物理主机的多个虚拟机上重复部署安全防护软件对计算资源或存储资源的占用,而且还克服了传统将安全防护软件安装在私有云或公有云中对网络带宽或对网络环境的响应速度有一定要求的限制,其无需进行网络传输,对网络资源和网络环境没有要求,在各个虚拟机之间进行安全检测时,简便高效,保证每个虚拟机的安全,从而提高了物理主机在虚拟化环境下的安全性能。
在一个实施例中,还包括:获取模块101,用于在从物理主机的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机之后,获取安全虚拟机的安全标记信息,并将安全标记信息发送给物理主机中各个非安全虚拟机。
发送模块102,用于当检测到非安全虚拟机有安全防护事件发生时,根据安全标记信息将发生安全防护事件的非安全虚拟机的标记信息发送给安全虚拟机,以通知安全虚拟机对安全防护事件对应的待检测数据进行安全检测.
在一个实施例中,创建模块200包括:划分单元210,用于在物理主机的物理内存中划分出预设内存作为共享内存空间。建立单元220,用于建立各个虚拟机的虚拟内存与共享内存空间的映射关系。写入读出单元,用于利用映射关系将待检测数据写入或读出共享内存空间。其中,共享内存空间为各个虚拟机的虚拟内存对应的同一物理内存空间。
在一个实施例中,共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。
在一个实施例中,写入模块300包括:第一提取单元310,用于当检测到安全防护事件时,由安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由安全防护事件中提取所述待检测数据。发送缓存单元320,用于将第一标记信息发送给安全虚拟机,将待检测数据缓存到将要发生安全防护事件的虚拟机的第一虚拟内存中。写入单元330,用于当接收到安全虚拟机反馈的安全检测信号时,根据映射关系将缓存在第一虚拟内存中的待检测数据写入所述共享内存空间中。
在一个实施例中,检测模块400包括:获取单元410,用于获取安全虚拟机对物理内存空间中的待检测数据进行安全检测的检测结果。第二提取单元420,用于由检测结果中提取与待检测数据对应的虚拟机的第一标记信息和待检测数据的安全信息。反馈单元430,用于根据第一标记信息将待检测数据的安全信息反馈给与第一标记信息相对应的虚拟机。
由于此系统解决问题的原理与前述一种基于虚拟化环境下的安全防护方法相似,因此该系统的实施可以参见前述方法的实施,重复之处不再赘述。
在一个实施例中,还提供一种物理主机,包括多个虚拟机和物理内存,还包括:配置模块100,用于从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机。创建模块200,用于为物理主机中的每个虚拟机创建虚拟内存,各个虚拟机的虚拟内存对应同一物理内存空间。写入模块300,用于当检测到虚拟机有安全防护事件发生时,获取安全防护事件对应的待检测数据,并将待检测数据通过发生安全防护事件的虚拟机的虚拟内存写入物理内存空间。获取防护模块400,用于利用安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,并将检测结果反馈给将要发生安全防护事件的虚拟机。
本实施例中的物理主机,不仅减轻了在同一物理主机的多个虚拟机上重复部署安全防护软件对计算资源或存储资源的占用,而且还克服了传统将安全防护软件安装在私有云或公有云中对网络带宽或对网络环境的响应速度有一定要求的限制,其无需进行网络传输,对网络资源和网络环境没有要求,在各个虚拟机之间进行安全检测时,简便高效,保证每个虚拟机的安全,从而提高了物理主机在虚拟化环境下的安全性能。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (13)
1.一种基于虚拟化环境下的安全防护方法,其特征在于,所述方法包括:
从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;
为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;
当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;
利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果;
将所述检测结果反馈给将要发生安全防护事件的虚拟机。
2.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机的步骤之后,还包括:
获取所述安全虚拟机的安全标记信息,并将所述安全标记信息分发给各个所述虚拟机;
当检测到所述虚拟机有安全防护事件发生时,根据所述安全标记信息将发生所述安全防护事件的虚拟机的标记信息发送给所述安全虚拟机,以通知所述安全虚拟机对所述安全防护事件对应的待检测数据进行安全检测。
3.根据权利要求1所述的基于虚拟化环境下的安全防护方法,其特征在于,所述为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间步骤包括:
在所述物理主机的物理内存中划分出预设内存作为所述共享内存空间;
建立各个所述虚拟机的虚拟内存与所述共享内存空间的映射关系;
利用所述映射关系将所述待检测数据写入或读出所述共享内存空间;
其中,所述共享内存空间为各个所述虚拟机的虚拟内存对应的同一物理内存空间。
4.根据权利要求3所述的基于虚拟化环境下的安全防护方法,其特征在于,所述共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。
5.根据权利要求3所述的基于虚拟化环境下的安全防护方法,其特征在于,所述当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间的步骤包括:
当检测到安全防护事件时,由所述安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由所述安全防护事件中提取所述待检测数据;
将所述第一标记信息发送给所述安全虚拟机,将所述待检测数据缓存到所述将要发生安全防护事件的虚拟机的第一虚拟内存中;
当接收到所述安全虚拟机反馈的安全检测信号时,根据所述映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述共享内存空间中。
6.根据权利要求5所述的基于虚拟化环境下的安全防护方法,其特征在于,所述利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,以及将所述检测结果反馈给发生安全防护事件的虚拟机的步骤包括:
获取所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的检测结果;
由所述检测结果中提取与所述待检测数据对应的虚拟机的第一标记信息和所述待检测数据的安全信息;
根据所述第一标记信息将所述待检测数据的安全信息反馈给与所述第一标记信息相对应的虚拟机。
7.一种基于虚拟化环境下的安全防护系统,其特征在于,所述系统包括:
配置模块,用于从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;
创建模块,用于为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;
写入模块,用于当检测到有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;
检测模块,用于利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,并将所述检测结果反馈给将要发生安全防护事件的虚拟机。
8.根据权利要求7所述的基于虚拟化环境下的安全防护系统,其特征在于,还包括:
获取模块,用于在从物理主机的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机之后,获取所述安全虚拟机的安全标记信息,并将所述安全标记信息分发给各个所述虚拟机;
发送模块,用于当检测到所述虚拟机有安全防护事件发生时,根据所述安全标记信息将发生所述安全防护事件的虚拟机的标记信息发送给所述安全虚拟机,以通知所述安全虚拟机对所述安全防护事件对应的待检测数据进行安全检测。
9.根据权利要求7所述的基于虚拟化环境下的安全防护系统,其特征在于,所述创建模块包括:
划分单元,用于在所述物理主机的物理内存中划分出预设内存作为所述共享内存空间;
建立单元,用于建立各个所述虚拟机的虚拟内存与所述共享内存空间的映射关系;
写入读出单元,用于利用所述映射关系将所述待检测数据写入或读出所述共享内存空间;
其中,所述共享内存空间为各个所述虚拟机的虚拟内存对应的同一物理内存空间。
10.根据权利要求9所述的基于虚拟化环境下的安全防护系统,其特征在于,所述共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。
11.根据权利要求9所述的基于虚拟化环境下的安全防护系统,其特征在于,所述写入模块包括:
第一提取单元,用于当检测到安全防护事件时,由所述安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息,并由所述安全防护事件中提取所述待检测数据;
发送缓存单元,用于将所述第一标记信息发送给所述安全虚拟机,将所述待检测数据缓存到所述将要发生安全防护事件的虚拟机的第一虚拟内存中;
写入单元,用于当接收到所述安全虚拟机反馈的安全检测信号时,根据所述映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述共享内存空间中。
12.根据权利要求11所述的基于虚拟化环境下的安全防护系统,其特征在于,所述检测模块包括:
获取单元,用于获取所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测的检测结果;
第二提取单元,用于由所述检测结果中提取与所述待检测数据对应的虚拟机的第一标记信息和所述待检测数据的安全信息;
反馈单元,用于根据所述第一标记信息将所述待检测数据的安全信息反馈给与所述第一标记信息相对应的虚拟机。
13.一种物理主机,其特征在于,包括多个虚拟机和物理内存,还包括:
配置模块,用于从物理主机部署的多个虚拟机中选择出预设个数的虚拟机,并将选择出的虚拟机配置为安全虚拟机;
创建模块,用于为所述物理主机中的每个虚拟机创建虚拟内存,各个所述虚拟机的虚拟内存对应同一物理内存空间;
写入模块,用于当检测到虚拟机有安全防护事件发生时,获取所述安全防护事件对应的待检测数据,并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间;
检测模块,用于利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测,得到相应的检测结果,并将所述检测结果反馈给将要发生安全防护事件的虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611242693.0A CN106778275A (zh) | 2016-12-29 | 2016-12-29 | 基于虚拟化环境下的安全防护方法及系统和物理主机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611242693.0A CN106778275A (zh) | 2016-12-29 | 2016-12-29 | 基于虚拟化环境下的安全防护方法及系统和物理主机 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106778275A true CN106778275A (zh) | 2017-05-31 |
Family
ID=58925578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611242693.0A Pending CN106778275A (zh) | 2016-12-29 | 2016-12-29 | 基于虚拟化环境下的安全防护方法及系统和物理主机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106778275A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108369604A (zh) * | 2017-12-28 | 2018-08-03 | 深圳前海达闼云端智能科技有限公司 | 一种多操作系统共享文件系统的方法、装置和电子设备 |
| CN108595244A (zh) * | 2017-12-05 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 虚拟机内外通信方法、虚拟机、物理主机及虚拟机系统 |
| CN108984270A (zh) * | 2018-07-18 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种虚拟机的内存分配方法和装置 |
| CN109992352A (zh) * | 2017-12-29 | 2019-07-09 | 迈普通信技术股份有限公司 | 数据传输方法、装置、电子设备及可读取存储介质 |
| CN111125710A (zh) * | 2019-11-29 | 2020-05-08 | 联想(北京)有限公司 | 一种信息处理方法、装置、电子设备和存储介质 |
| CN111399988A (zh) * | 2020-04-08 | 2020-07-10 | 公安部第三研究所 | 一种云平台的内存安全检测系统及方法 |
| CN111459609A (zh) * | 2020-03-10 | 2020-07-28 | 奇安信科技集团股份有限公司 | 虚拟机安全防护方法、装置及电子设备 |
| CN111881454A (zh) * | 2020-07-24 | 2020-11-03 | 张建春 | 一种基于可信计算的大数据安全防护系统及方法 |
| CN112464231A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 基于虚拟机的威胁检测方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101819564A (zh) * | 2009-02-26 | 2010-09-01 | 国际商业机器公司 | 协助在虚拟机之间进行通信的方法和装置 |
| CN105320884A (zh) * | 2015-11-02 | 2016-02-10 | 南京安贤信息科技有限公司 | 虚拟机的安全防护方法及系统 |
| CN105975328A (zh) * | 2016-04-29 | 2016-09-28 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
-
2016
- 2016-12-29 CN CN201611242693.0A patent/CN106778275A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101819564A (zh) * | 2009-02-26 | 2010-09-01 | 国际商业机器公司 | 协助在虚拟机之间进行通信的方法和装置 |
| CN105320884A (zh) * | 2015-11-02 | 2016-02-10 | 南京安贤信息科技有限公司 | 虚拟机的安全防护方法及系统 |
| CN105975328A (zh) * | 2016-04-29 | 2016-09-28 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108595244A (zh) * | 2017-12-05 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 虚拟机内外通信方法、虚拟机、物理主机及虚拟机系统 |
| CN108369604A (zh) * | 2017-12-28 | 2018-08-03 | 深圳前海达闼云端智能科技有限公司 | 一种多操作系统共享文件系统的方法、装置和电子设备 |
| CN108369604B (zh) * | 2017-12-28 | 2021-12-03 | 深圳前海达闼云端智能科技有限公司 | 一种多操作系统共享文件系统的方法、装置和电子设备 |
| CN109992352A (zh) * | 2017-12-29 | 2019-07-09 | 迈普通信技术股份有限公司 | 数据传输方法、装置、电子设备及可读取存储介质 |
| CN109992352B (zh) * | 2017-12-29 | 2021-10-08 | 迈普通信技术股份有限公司 | 数据传输方法、装置、电子设备及可读取存储介质 |
| CN108984270B (zh) * | 2018-07-18 | 2020-12-01 | 苏州浪潮智能科技有限公司 | 一种虚拟机的内存分配方法和装置 |
| CN108984270A (zh) * | 2018-07-18 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种虚拟机的内存分配方法和装置 |
| CN112464231A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 基于虚拟机的威胁检测方法及系统 |
| CN111125710A (zh) * | 2019-11-29 | 2020-05-08 | 联想(北京)有限公司 | 一种信息处理方法、装置、电子设备和存储介质 |
| CN111125710B (zh) * | 2019-11-29 | 2022-06-28 | 联想(北京)有限公司 | 一种信息处理方法、装置、电子设备和存储介质 |
| CN111459609A (zh) * | 2020-03-10 | 2020-07-28 | 奇安信科技集团股份有限公司 | 虚拟机安全防护方法、装置及电子设备 |
| CN111459609B (zh) * | 2020-03-10 | 2024-04-19 | 奇安信科技集团股份有限公司 | 虚拟机安全防护方法、装置及电子设备 |
| CN111399988A (zh) * | 2020-04-08 | 2020-07-10 | 公安部第三研究所 | 一种云平台的内存安全检测系统及方法 |
| CN111399988B (zh) * | 2020-04-08 | 2024-02-09 | 公安部第三研究所 | 一种云平台的内存安全检测系统及方法 |
| CN111881454A (zh) * | 2020-07-24 | 2020-11-03 | 张建春 | 一种基于可信计算的大数据安全防护系统及方法 |
| CN111881454B (zh) * | 2020-07-24 | 2021-06-22 | 上海甄汇信息科技有限公司 | 一种基于可信计算的大数据安全防护系统及方法 |
| CN113239355A (zh) * | 2020-07-24 | 2021-08-10 | 张建春 | 一种基于可信计算的大数据安全防护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106778275A (zh) | 基于虚拟化环境下的安全防护方法及系统和物理主机 | |
| US10469512B1 (en) | Optimized resource allocation for virtual machines within a malware content detection system | |
| CN105393255B (zh) | 用于虚拟机中的恶意软件检测的过程评估 | |
| US9166988B1 (en) | System and method for controlling virtual network including security function | |
| US20200401698A1 (en) | Analysis system, analysis method, analysis device, and storage medium | |
| CN107851153A (zh) | 使用异步自测异常的计算机安全系统及方法 | |
| EP3991073B1 (en) | Behavior-based vm resource capture for forensics | |
| CN107818054A (zh) | 分配连续物理内存空间到设备的方法及系统 | |
| US10958687B2 (en) | Generating false data for suspicious users | |
| CN106557355A (zh) | 虚拟机镜像的生成方法及生成装置 | |
| US11734430B2 (en) | Configuration of a memory controller for copy-on-write with a resource controller | |
| EP3611643A1 (en) | Malware detection based on user interactions | |
| US11036645B2 (en) | Secure userspace networking for guests | |
| US20180157605A1 (en) | Configuration of a memory controller for copy-on-write | |
| CN103425563B (zh) | 基于虚拟化技术的在线i/o电子取证系统及其取证方法 | |
| US20130179656A1 (en) | Relocating related resource partitions | |
| US8024797B2 (en) | Method, apparatus and system for performing access control and intrusion detection on encrypted data | |
| CN106845214A (zh) | 基于虚拟化环境下的安全防护方法及系统 | |
| CN107239700A (zh) | 一种基于xen虚拟化平台的安全防护方法 | |
| CN106844004B (zh) | 基于虚拟化环境下的安全防护方法及系统 | |
| Wang et al. | A novel covert channel detection method in cloud based on XSRM and improved event association algorithm | |
| CN112329008A (zh) | 一种基于内核调试器的虚拟化逃逸防御方法 | |
| CN106778274A (zh) | 基于虚拟化环境下的安全防护方法及系统 | |
| Ren et al. | A review of virtual machine attack based on Xen | |
| Cao et al. | Security scanner system of oVirt cloud platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100190 Zhongguancun street, Haidian District, Beijing, No. 22, A1305, 13 Applicant after: Beijing net an Technology Limited by Share Ltd Address before: 100190 Beijing City, Haidian District Zhongguancun street, No. 22, building 1301 Applicant before: Beijing Rising Information Technology Co., Ltd |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |
|
| RJ01 | Rejection of invention patent application after publication |