CN107516039B - 虚拟化系统的安全防护方法及装置 - Google Patents
虚拟化系统的安全防护方法及装置 Download PDFInfo
- Publication number
- CN107516039B CN107516039B CN201610438764.8A CN201610438764A CN107516039B CN 107516039 B CN107516039 B CN 107516039B CN 201610438764 A CN201610438764 A CN 201610438764A CN 107516039 B CN107516039 B CN 107516039B
- Authority
- CN
- China
- Prior art keywords
- log
- configuration file
- virtualization system
- file
- hypervisor layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种虚拟化系统的安全防护方法,包括:接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;在比较结果不一致时,向所述管理控制台发送告警信息。本发明实施例同时还提供一种虚拟化系统的安全防护装置。
Description
技术领域
本发明涉及云平台虚拟化系统的安全防护技术,尤其涉及一种虚拟化系统的安全防护方法及装置。
背景技术
云平台虚拟化系统中虚拟化资源池的建设,从业务上给企业信息系统建设带来巨大的效益。例如,信息技术(Information Technology,IT)资源高度集约化;存储、计算资源高度整合,形成资源池;业务全部实现并行计算。但是,云平台虚拟化系统中虚拟化资源池的建设也带来了业务的安全问题,例如,云平台中的虚拟终端都通过虚拟主机的虚拟层来和外部进行通信和交互,如果虚拟层存在漏洞或者是被入侵,将造成整个虚拟环境的安全风险,云资源的滥用和盗用,云平台的数据安全,以及共享技术的漏洞对云平台带来的安全风险等问题。
现有技术中,为了解决上述安全问题,通常采用的方法有以下几种:一是基于代理的主机安全防护:通过在云平台虚拟化资源池中的虚拟化服务器中安装代理程序进行病毒防护、主机入侵防护、防火墙、应用程序控制、设备控制等,实现对虚拟化服务器的安全防护;二是基于无代理的主机安全防护:利用虚拟化软件的接口,通过在虚拟化服务器上进行虚拟硬件设备的部署,利用虚拟硬件设备对虚拟化服务器进行无代理病毒扫描和无代理防火墙网络控制;三是在虚拟机中部署安全监控软件监控虚拟机之间的流量:即直接在云服务器端的内部部署虚拟机安全软件,通过对虚拟机开放的应用程序编程接口(ApplicationProgramming Interface,API)的利用,将所有虚拟机之间的流量交换先引入虚拟机安全软件进行检查,再使其进入虚拟机;四是对虚拟机的安全状态进行异常判断;五是在虚拟化资源池的Hypervisor层部署安全防护层,通过安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配,时间虚拟化环境下虚拟机之间的网络访问的控制。
然而,上述基于代理的主机安全防护方法,面临严重的病毒全盘扫描风暴问题,会导致虚拟化资源池的性能和资源可用性的降低;上述基于无代理的主机安全防护方法,缺乏对内存的病毒保护机制;上述通过在虚拟机中部署安全监控软件监控虚拟机之间的流量的方法,仅监控了虚拟机之间的威胁流量,缺乏对于其他途径可能进入虚拟机的威胁文件、攻击、漏洞利用的相应的防护手段;上述对虚拟机安全状态进行异常判断的方法仅对特定的虚拟机防护有很强的防护效果,并不适用于存在大量不同业务的云平台;上述在虚拟化资源池的Hypervisor层部署安全防护层的方法,对于通过应用传输、外接设备进行传输和加密传输等方法进行的威胁不具备监控能力,对于针对性的威胁缺乏主动防护手段,无法实现实时的防护。
发明内容
有鉴于此,本发明实施例期望提供一种虚拟化系统的安全防护方法及装置,以通过对虚拟化系统中的Hypervisor层的完整性监控,实现对虚拟化系统的整体安全防护提供底层安全监控支撑。
本发明实施例的技术方案是这样实现的:
一种虚拟化系统的安全防护方法,所述方法包括:
接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;
在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;
将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;
在比较结果不一致时,向所述管理控制台发送告警信息。
如上所述的方法,其中,所述在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件,包括:
通过调用虚拟化系统的Hypervisor层自身应用程序编程接口API,在所述预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
如上所述的方法,其中,所述配置文件包括:在ESXi主机上注册的虚拟机VMX配置文件;
所述日志文件包括:ESXi主机登录访问活动日志信息和涉及信息安全内容的日志Log文件。
如上所述的方法,其中,所述告警信息包括:Hypervisor层的恶意修改和错误修改,或,Hypervisor层的恶意登录行为,或,恶意的执行命令,或,传输完整性破坏告警。
如上所述的方法,其中,所述方法还包括:
将所述管理服务器的配置文件和活动日志的内容与获取的所述虚拟化系统的Hypervisor层的配置文件和日志文件的内容进行对比,在满足关联策略的对应关系时,确定所述虚拟化系统受到的攻击类型;
将所述虚拟化系统的虚拟机的安全防护系统日志与所述管理服务器上的安全事件进行统一关联分析,确定发生在所述虚拟机上的安全威胁事件的原因。
一种虚拟化系统的安全防护装置,所述装置包括:
接收模块,用于接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;
获取模块,用于在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;
比较模块,用于将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;
发送模块,用于在比较结果不一致时,向所述管理控制台发送告警信息。
如上所述的装置,其中,所述获取模块具体用于:
通过调用虚拟化系统的Hypervisor层自身应用程序编程接口API,在所述预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
如上所述的装置,其中,所述配置文件包括:在ESXi主机上注册的虚拟机VMX配置文件;
所述日志文件包括:ESXi主机登录访问活动日志信息和涉及信息安全内容的日志Log文件。
如上所述的装置,其中,所述告警信息包括:Hypervisor层的恶意修改和错误修改,或,Hypervisor层的恶意登录行为,或,恶意的执行命令,或,传输完整性破坏告警。
如上所述的装置,其中,所述比较模块还用于:
将所述管理服务器的配置文件和活动日志的内容与获取的所述虚拟化系统的Hypervisor层的配置文件和日志文件的内容进行对比,在满足关联策略的对应关系时,确定所述虚拟化系统受到的攻击类型;
将所述虚拟化系统的虚拟机的安全防护系统日志与所述管理服务器上的安全事件进行统一关联分析,确定发生在所述虚拟机上的安全威胁事件的原因。
本发明实施例提供的虚拟化系统的安全防护方法及装置,通过接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;在比较结果不一致时,向所述管理控制台发送告警信息。如此,任何非法的虚拟化系统底层配置修改,利用底层的管理权限针对虚拟机的恶意操作,基于底层的虚拟化系统攻击方法都将被快速检测并报告告警,从而通过对Hypervisor层的完整性监控,实现对虚拟化系统的整体安全防护提供底层安全监控支撑。
附图说明
图1为本发明实施例提供的虚拟化系统的安全防护方法的流程图;
图2为本发明实施例提供的虚拟化系统的安全防护装置的结构示意图。
具体实施方式
在本发明的各实施例中,利用远程文件同步技术通过虚拟化系统的自身API,比如VMware的虚拟命令行界面(virtual Command-Line Interfacev,vCLI)或利用Syslog技术,周期性的获取虚拟化系统的Hypervisor层的配置和日志文件,从而监控其状态及属性,以及配置和日志文件改变的内容,同时利用VMware ESXi的Syslog系统,将Syslog消息转发到外部收集器,而管理控制台将把安全策略下发到外部收集器,外部收集器上的检测引擎通过对比本地文件从而实时监控hypervisor层的关键配置和日志变化,根据安全策略设定,从而判断配置修改和恶意操作事件的发生。
图1为本发明实施例提供的虚拟化系统的安全防护方法的流程图。如图1所示,本实施例提供的方法可以包括:
步骤101、接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件。
步骤102、在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
实际应用中,通过调用虚拟化系统的Hypervisor层自身应用程序编程接口API,在所述预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
其中,所述配置文件包括:在ESXi主机上注册的虚拟机VMX配置文件;所述日志文件包括:ESXi主机登录访问活动日志信息和涉及信息安全内容的日志Log文件。
步骤103、将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较。
步骤104、在比较结果不一致时,向所述管理控制台发送告警信息。
具体的,所述告警信息包括:Hypervisor层的恶意修改和错误修改,或,Hypervisor层的恶意登录行为,或,恶意的执行命令,或,传输完整性破坏告警。
下面结合不同的安全策略对本实施例提供的虚拟化系统的安全防护方法进行具体说明。
针对虚拟化系统hypervisor层的关键配置文件的完整性监控策略:发现并传输Hypervisor主机上改变的配置文件到外部收集器,利用外部收集器实现对这类主机关键配置文件的完整性监测,比如对:Config.xml,ESX.conf,Hosts,License Files,Openwsman.conf,Poxy.XML,SSH Keys,SSL Key and Cert Files等配置文件利用同步方式进行监控,一旦这类配置文件的的内容与安全策略设定的正确配置文件内容上不一致,即可实时性的发现Hypervisor层的恶意修改和可能导致安全事件的错误修改。
比如,当有内外部恶意攻击者修改安全外壳协议(Secure Shell,SSH)登录为允许,这将造成SSH漏洞的利用,从而控制整个虚拟化系统;一旦SSH登录许可在配置文件中被修改为允许,该监控系统将实时的通过对之前设定的安全策略中的ESX.conf的正确的基本配置内容进行对比,从而发现该SSH登录许可已经被修改,并实时通过外部收集器将该威胁事件上传到集中管理控制台告警。
针对虚拟化系统Hypervisor层的访问监控策略:通过同步工具实时传输ESXi主机登录访问活动日志信息到外部收集器,该登录日志信息包括了对USER,ROOT等账号的登录信息记录,包括对通过Console,SSH等登录方式的登录信息记录;通过对这些登录日志信息内容的获取,从而提取相关内外部人员对Hypervisor层的登录访问结果信息,比如登录失败,登录成功,登出信息等;而在管理控制台上也设定了Hypervisor层的正确登录访问的安全策略要求,比如允许的登录方式,允许登录时间,允许登录的外部地址,允许尝试的登录次数等;通过两者的内容比对,可以实时发现违反安全登录访问要求的恶意登录行为。
比如,安全策略定义了错误的登录输入信息超过5次将被确认为账号攻击,当实时获取到的Hypervisor层上的登录日志信息里面包括了5次以上的错误登录内容字段,并通过外部收集器进行内容提取后,和正确的安全策略设定的内容进行比对即可实时发现可能的账号攻击安全事件。
针对虚拟化系统Hypervisor层上运行的命令和行为的安全策略:实施传输ESXi主机上,涉及信息安全相关内容的日志Log文件到外部收集器,通过对日志文件内容的提取,与安全策略设定的不允许的行为进行对比,从而发现危险的,恶意的执行命令及行为;并通过外部收集器传输到主控制台上进行集中展现相关安全威胁信息,包括:ESXi Shell LogMonitoring,ESXi SysLog Monitoring,ESXi Kernel Warning Log Morning等日志信息的收集,分析和展现。
比如:当在虚拟化系统的Hypervisor层上进行虚拟机的删除,迁移,shell启动,文件删除及增加等命令后都将在活动日志文件中记录下来,这类日志文件将传输到外部收集器,外部收集器上对这类活动日志文件内容进行提取,与安全策略进行对比,当在这类活动日志中发现这类高危命令被执行的字段内容后,将直接发送告警信息到管理控制台进行告警和威胁展现。
针对虚拟化系统Hypervisor层上的VM高危行为的安全策略:发现并检测注册在该ESXi主机上的Virtual Machine,并发现和传输这些Virtual Machine的VMX配置文件到外部收集器,VMX配置文件包括:VM Disk Shrinking Enabled,VM limit ConsoleConnection,VM Unrestricted Communications Enabled,VM Logging Control,VMSetinfo Memory Size Change等;安全策略主要监测在Hypervisor层上允许对这些虚拟机进行的高危操作,当Hypervisor层上的虚拟机的VMX配置文件变化时,将实时和安全策略进行内容比对,一旦发现VMX配置文件内容允许执行一些高危操作字段内容,则将传输完整性破坏告警信息到管理控制台并展现。
比如:当允许对虚拟机VM进行磁盘shrinking操作,或取消对VM连接session的控制,都将可能造成对VM的直接安全威胁,当这类设置被恶意修改或错误修改后,其内容将和安全策略的内容不一致,从而可以实时发现这类错误或攻击,并直接发送威胁事件到控制台告警。
本实施例中,通过对以上的虚拟化Hypervisor层的配置文件,日志文件的收集,内容提取及对比,不仅仅可以发现直接针对hypervisor层的攻击,同时可以与虚拟化系统上的其他组件上的威胁事件进行关联分析,从而提供更精准的威胁事件分析和监测。
进一步地,本实施例提供的方法还包括:与虚拟化系统的管理服务器威胁事件进行关联分析和与虚拟化系统的虚拟化机安全及其他安全防护系统进行联动关联分析。
其中,与虚拟化系统的管理服务器威胁事件进行关联分析为:将所述管理服务器的配置文件和活动日志的内容与获取的所述虚拟化系统的Hypervisor层的配置文件和日志文件的内容进行对比,在满足关联策略的对应关系时,确定所述虚拟化系统受到的攻击类型。
虚拟化系统的管理服务器,比如VMWare的vCenter服务器同样是攻击的主要目标,当vCenter上的关键配置文件,活动日志,执行程序被变化,则意味着攻击的可能性;利用外部收集器收集Hypervisor层上的配置文件和日志文件并提取关键配置及活动内容,当发现变化后可以与收集的vCenter上的变化内容进行对比,如果满足关联策略的对应关系,则可以更精准的确定虚拟化系统正在受到的那一种类型的攻击。
比如,当Hypervisor层上的登录尝试超过5次,同时vCenter上的登录尝试也超过5次,则可以关联起来,更精准的确定VMWare虚拟化系统正在受到全方位的登录尝试攻击。
其中,与虚拟化系统的虚拟化机安全及其他安全防护系统进行联动关联分析为:将所述虚拟化系统的虚拟机的安全防护系统日志与所述管理服务器上的安全事件进行统一关联分析,确定发生在所述虚拟机上的安全威胁事件的原因。
虚拟化系统的虚拟机VM的系统安全日志,安全防护系统日志可以和Hypervisor层的安全威胁事件,虚拟化系统的管理服务器上的安全事件进行统一关联分析,从而精准的发现发生在VM上的安全威胁事件的原因并对安全威胁事件追溯。
比如,当虚拟化系统的VM被迁移,关机,删除,这类高危操作行为的发生将产生相应的VM活动日志,这类日志可以与外部收集器收集的Hypervisor层上的配置文件,日志活动文件内容进行关联,当Hypervisor层上的日志文件内容记录到相应的执行功能被允许的内容,则可以帮助确定为什么针对VM的高危操作可以被执行,执行的用户,执行时间,执行对象等都可以通过关联分析得到具体的审计结果。
本实施例提供的虚拟化系统的安全防护方法,可以实现对关键的虚拟化文件访问、虚拟化系统Hypervisor层关键命令和工具执行、虚拟化系统Hypervisor层的关键配置变化、虚拟机标准网络接口或者其他关键应用的监控,以及提供一种简单的机制对VMware重要动作日志、虚拟化系统Hypervisor层上访问成功,失败,以及执行命令、虚拟化系统Hypervisor服务器上的关键事件和通用的审计、虚拟化系统Hypervisor服务器上主机完整性、虚拟化系统Hypervisor层上虚拟化主机的配置变化的监控。从而实现对虚拟化系统底层Hypervisor层的安全监控和安全防护。
图2为本发明实施例提供的虚拟化系统的安全防护装置的结构示意图。如图2所示,本实施例提供的装置可以包括:接收模块21、获取模块22、比较模块23和发送模块24。
接收模块21,用于接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;
获取模块22,用于在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;
比较模块23,用于将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;
发送模块24,用于在比较结果不一致时,向所述管理控制台发送告警信息。
其中,所述获取模块22具体用于:通过调用虚拟化系统的Hypervisor层自身应用程序编程接口API,在所述预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
所述配置文件包括:在ESXi主机上注册的虚拟机VMX配置文件;所述日志文件包括:ESXi主机登录访问活动日志信息和涉及信息安全内容的日志Log文件。
所述告警信息包括:Hypervisor层的恶意修改和错误修改,或,Hypervisor层的恶意登录行为,或,恶意的执行命令,或,传输完整性破坏告警。
进一步地,所述比较模块23还用于:将所述管理服务器的配置文件和活动日志的内容与获取的所述虚拟化系统的Hypervisor层的配置文件和日志文件的内容进行对比,在满足关联策略的对应关系时,确定所述虚拟化系统受到的攻击类型;将所述虚拟化系统的虚拟机的安全防护系统日志与所述管理服务器上的安全事件进行统一关联分析,确定发生在所述虚拟机上的安全威胁事件的原因。
本实施例提供的虚拟化系统的安全防护装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
在实际应用中,该接收模块21、获取模块22、比较模块23和发送模块24可由位于虚拟化系统的安全防护装置上的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等器件实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (6)
1.一种虚拟化系统的安全防护方法,其特征在于,所述方法包括:
接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;
在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;其中,所述配置文件包括:在ESXi主机上注册的虚拟机VMX配置文件;所述日志文件包括:ESXi主机登录访问活动日志信息和涉及信息安全内容的日志Log文件;
将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;
在比较结果不一致时,向所述管理控制台发送告警信息;
将管理服务器的配置文件和活动日志的内容与获取的所述虚拟化系统的Hypervisor层的配置文件和日志文件的内容进行对比,在满足关联策略的对应关系时,确定所述虚拟化系统受到的攻击类型;
将所述虚拟化系统的虚拟机的安全防护系统日志与所述管理服务器上的安全事件进行统一关联分析,确定发生在所述虚拟机上的安全威胁事件的原因。
2.根据权利要求1所述的方法,其特征在于,所述在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件,包括:
通过调用虚拟化系统的Hypervisor层自身应用程序编程接口API,在所述预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
3.根据权利要求1所述的方法,其特征在于,所述告警信息包括:Hypervisor层的恶意修改和错误修改,或,Hypervisor层的恶意登录行为,或,恶意的执行命令,或,传输完整性破坏告警。
4.一种虚拟化系统的安全防护装置,其特征在于,所述装置包括:
接收模块,用于接收管理控制台发送的安全策略;所述安全策略包括正确配置文件和正确日志文件;
获取模块,用于在预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件;其中,所述配置文件包括:在ESXi主机上注册的虚拟机VMX配置文件;所述日志文件包括:ESXi主机登录访问活动日志信息和涉及信息安全内容的日志Log文件;
比较模块,用于将所述配置文件和日志文件,分别与所述正确配置文件和正确日志文件进行比较;
所述比较模块还用于:将管理服务器的配置文件和活动日志的内容与获取的所述虚拟化系统的Hypervisor层的配置文件和日志文件的内容进行对比,在满足关联策略的对应关系时,确定所述虚拟化系统受到的攻击类型;
将所述虚拟化系统的虚拟机的安全防护系统日志与所述管理服务器上的安全事件进行统一关联分析,确定发生在所述虚拟机上的安全威胁事件的原因;
发送模块,用于在比较结果不一致时,向所述管理控制台发送告警信息。
5.根据权利要求4所述的装置,其特征在于,所述获取模块具体用于:
通过调用虚拟化系统的Hypervisor层自身应用程序编程接口API,在所述预设时间间隔获取所述虚拟化系统的Hypervisor层的配置文件和日志文件。
6.根据权利要求4所述的装置,其特征在于,所述告警信息包括:Hypervisor层的恶意修改和错误修改,或,Hypervisor层的恶意登录行为,或,恶意的执行命令,或,传输完整性破坏告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610438764.8A CN107516039B (zh) | 2016-06-17 | 2016-06-17 | 虚拟化系统的安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610438764.8A CN107516039B (zh) | 2016-06-17 | 2016-06-17 | 虚拟化系统的安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107516039A CN107516039A (zh) | 2017-12-26 |
| CN107516039B true CN107516039B (zh) | 2020-12-22 |
Family
ID=60721432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610438764.8A Active CN107516039B (zh) | 2016-06-17 | 2016-06-17 | 虚拟化系统的安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107516039B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572364A (zh) * | 2019-08-06 | 2019-12-13 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中威胁告警的实现方法 |
| CN113761520B (zh) * | 2020-06-01 | 2024-04-12 | 中移(苏州)软件技术有限公司 | 一种检测防御方法、服务器和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105354493B (zh) * | 2015-10-22 | 2018-11-23 | 中国人民解放军装备学院 | 基于虚拟化技术的终端可信增强方法及系统 |
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
-
2016
- 2016-06-17 CN CN201610438764.8A patent/CN107516039B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| HyperVerify: A VM-assisted Architecture for Monitoring Hypervisor Non-control Data;Baozeng Ding et al.;《Proceedings of the IEEE 7th International Conference on Software Security and Reliability-Companion》;20131231;第26页右栏-29页左栏,31页左栏 * |
| 基于访问控制的Hypervisor 非控制数据完整性保护;陈志锋 等;《电子与信息学报》;20151031;第37卷(第10期);2508-2516 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107516039A (zh) | 2017-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375101B2 (en) | Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure | |
| US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
| US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| RU2714607C2 (ru) | Двукратная самодиагностика памяти для защиты множества сетевых конечных точек | |
| US10412109B2 (en) | Method for detecting vulnerabilities in a virtual production server of a virtual or cloud computer system | |
| US20170230336A1 (en) | Automated honeypot provisioning system | |
| CN110233817B (zh) | 一种基于云计算的容器安全系统 | |
| US10503914B2 (en) | Techniques for security auditing of cloud resources | |
| US20200202008A1 (en) | Collection of plc indicators of compromise and forensic data | |
| CN103049702A (zh) | 一种基于服务器层的安全加固策略 | |
| CN112926048B (zh) | 一种异常信息检测方法和装置 | |
| CN104866407A (zh) | 一种虚拟机环境下的监控系统及监控方法 | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| Thongthua et al. | Assessment of hypervisor vulnerabilities | |
| CN113407949A (zh) | 一种信息安全监控系统、方法、设备及存储介质 | |
| US20210243206A1 (en) | Detection of security intrusion in a computing system | |
| CN107516039B (zh) | 虚拟化系统的安全防护方法及装置 | |
| Çalışkan et al. | Benefits of the virtualization technologies with intrusion detection and prevention systems | |
| Sun et al. | Cloud armor: Protecting cloud commands from compromised cloud services | |
| Jackson et al. | Scenario-based design for a cloud forensics portal | |
| CN115694928A (zh) | 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法 | |
| Ghaleb et al. | A framework architecture for agentless cloud endpoint security monitoring | |
| Cabaj et al. | Developing malware evaluation infrastructure | |
| US11763004B1 (en) | System and method for bootkit detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |