CN107682333B - 基于云计算环境的虚拟化安全防御系统及方法 - Google Patents
基于云计算环境的虚拟化安全防御系统及方法 Download PDFInfo
- Publication number
- CN107682333B CN107682333B CN201710915705.XA CN201710915705A CN107682333B CN 107682333 B CN107682333 B CN 107682333B CN 201710915705 A CN201710915705 A CN 201710915705A CN 107682333 B CN107682333 B CN 107682333B
- Authority
- CN
- China
- Prior art keywords
- server
- virtual machine
- file
- suspicious
- machine client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于云计算环境的虚拟化安全防御系统及方法。其中,方法包括:至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端;服务端,适于管理虚拟机客户端;虚拟机客户端,适于捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中本地黑白名单是由服务端提供。基于本发明的实施方案,可以防御虚拟机逃逸类攻击,实现了虚拟机加固,保证了整个云虚拟化环境的安全。
Description
技术领域
本发明涉及计算机网络技术领域,具体涉及一种基于云计算环境的虚拟化安全防御系统及方法。
背景技术
随着虚拟化平台软件的发展,虚拟机在企业内部的应用越来越盛行,相对于普通PC,虚拟机的优势显而易见:首先,由虚拟机实时迁移和虚拟机集群中的应用程序高可用性,实现了始终可用的IT系统;其次,虚拟机平台实现高整合率,大大提高硬件利用率;然后,通过虚拟化平台可靠性以及集成的备份、恢复和故障切换功能,确保始终可用的IT运营连续性。以上等等优势,也决定了普通的企业安全软件,并不适合虚拟化平台的安全需求。
普通的企业安全软件,如果使用在虚拟化平台上,会导致种种问题。比如说,每一台虚拟机单独进行文件监控或者病毒扫描,占用的系统资源比较多,如果多台虚拟机同时进行,就会造成防病毒风暴。
虚拟化层的引入也带来了更多的安全隐患。在这种情况,就需要有一种专门针对基于云计算环境的虚拟化安全防御系统及方法。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于云计算环境的虚拟化安全防御系统及方法。
根据本发明的一个方面,提供了一种基于云计算环境的虚拟化安全防御系统,包括:至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端;
服务端,适于管理虚拟机客户端;
虚拟机客户端,适于捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中本地黑白名单是由服务端提供。
根据本发明的另一方面,提供了一种基于云计算环境的虚拟化安全防御方法,方法基于至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端实现;其中,方法包括:
虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中本地黑白名单是由服务端提供。
根据本发明提供的方案,虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,而本地黑白名单是由服务端提供。基于本发明的实施方案,可以防御虚拟机逃逸类攻击,实现了虚拟机加固,保证了整个云虚拟化环境的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的基于云计算环境的虚拟化安全防御系统的结构示意图;
图2示出了根据本发明另一个实施例的基于云计算环境的虚拟化安全防御系统的结构示意图;
图3示出了根据本发明一个实施例的基于云计算环境的虚拟化安全防御方法的流程示意图;
图4示出了根据本发明另一个实施例的基于云计算环境的虚拟化安全防御方法的流程示意图;
图5示出了本发明中虚拟机客户端拦截序列图;
图6示出了本发明中基于沙箱和规则引擎的安全防御的数据通信示意图;
图7示出了本发明中虚拟机客户端主流程启动序列图;
图8示出了本发明中虚拟机客户端主流程退出序列图;
图9示出了本发明中虚拟机客户端管理序列图;
图10示出了本发明中WEB黑白名单管理序列图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的基于云计算环境的虚拟化安全防御系统的结构示意图。如图1所示,该系统100包括:至少一个部署在虚拟机中的虚拟机客户端110以及部署在云计算环境中的服务端120。
服务端120,适于管理虚拟机客户端110。
具体地,服务端120可以对虚拟机客户端110进行管理,例如,部署虚拟机客户端、升级虚拟机客户端和/或卸载虚拟机客户端等。
虚拟机客户端110,适于捕获可疑文件,通过查询本地黑白名单的方式和 /或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。本发明实施例提供的基于云计算环境的虚拟化安全防御系统可以防御以虚拟机逃逸为代表的安全威胁,保护虚拟机的安全,进而对虚拟机宿主操作系统进行保护。
本地黑名单记录了具有攻击行为的攻击文件信息,例如,文件名称、文件大小、添加大小、上传位置等,本地白名单记录了安全文件的文件信息,例如,文件名称、文件大小、添加大小、上传位置等,其中,本地黑白名单是由服务端120提供,例如,服务端将黑白名单发送给虚拟机客户端,由虚拟机客户端保存在本地。
虚拟机客户端110对于访问虚拟机的文件都将进行安全防御,具体地,捕获可疑文件,将该可疑文件分别与黑名单、白名单进行匹配,以确定该可疑文件是否具有攻击行为,若与黑名单匹配,则确定该可疑文件具有攻击行为,则需要对该攻击行为进行阻断;若与白名单匹配,则确定该文件不具有攻击行为,可以继续加载对应的文件,这里的文件可以包括普通意义上的文件和进程等。
此外,还可以采用文件静态分析的方式来确认可疑文件是否具有攻击行为,具体地,通过词法分析、语法分析等技术对文件进行扫描,以确认该可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
在本发明实施例中,确认可疑文件是否具有攻击行为的两种方式可以任选其一,也可以同时采用两种方式,这里不再做具体说明。
根据本发明上述实施例提供的系统,虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,而本地黑白名单是由服务端提供。基于本发明的实施方案,可以实时防御虚拟机逃逸类攻击,实现了虚拟机加固,保证了整个云虚拟化环境的安全,而且对虚拟机系统资源占用率更低。
图2示出了根据本发明另一个实施例的基于云计算环境的虚拟化安全防御系统的结构示意图。如图2所示,该系统200包括:至少一个部署在虚拟机中的虚拟机客户端210、部署在云计算环境中的服务端220。图2中仅示出了一个虚拟机客户端,本实施例对虚拟机客户端的数量不作限制。
虚拟机客户端210,适于捕获可疑文件,通过查询本地黑白名单的方式确认可疑文件是否具有攻击行为,若不能确定可疑文件具有攻击行为,则将可疑文件的文件路径上报至服务端220。
具体地,虚拟机客户端210对于访问虚拟机的文件都将进行安全防御,具体地,捕获可疑文件,将该可疑文件分别与黑名单、白名单进行匹配,以确定该可疑文件是否具有攻击行为,若与黑名单匹配,则确定该可疑文件具有攻击行为,则需要对该攻击行为进行阻断;若与白名单匹配,则确定该文件不具有攻击行为,可以继续加载对应的文件,而对于那些不能确定具有攻击行为的可疑文件,则需要将可疑文件的文件路径上报至服务端,由服务端确认该可疑文件是否具有攻击行为。这里的文件可以包括普通意义上的文件和进程等。
服务端220,适于通过查询云端黑白名单的方式确认文件路径对应的可疑文件是否具有攻击行为,若不能确定可疑文件具有攻击行为,则将相应的查询结果返回给虚拟机客户端210。
虚拟机客户端210本地的黑白名单是由服务端提供的,也就是说,服务端220需要将其云端黑白名单同步给虚拟机客户端210,可能存在服务端220 并未及时将其云端黑白名单同步给虚拟机客户端210的情况,也就是说,服务端220的云端黑白名单较虚拟机客户端210本地的黑白名单所记录的文件信息更为全面,因此,服务端220在接收到虚拟机客户端210上报的文件路径后,通过查询云端黑白名单的方式确认文件路径对应的可疑文件是否具有攻击行为,若确认可疑文件具有攻击行为,则可以向虚拟机客户端210返回该文件具有攻击行为的查询结果,以供虚拟机客户端210根据该查询结果对攻击行为进行阻断,并更新本地缓存;若确认文件不具有攻击行为,则可以向虚拟机客户端210返回文件安全的查询结果,虚拟机客户端210根据该查询结果可以继续加载文件,并更新本地缓存;若不能确定可疑文件具有攻击行为,则向虚拟机客户端210返回无法确定文件是否具有攻击行为的查询结果,虚拟机客户端210根据该查询结果可以对文件做进一步的查杀。
虚拟机客户端210进一步适于:根据服务端220返回的查询结果,通过文件静态分析的方式确认是否可疑文件是否具有攻击行为,根据文件静态分析结果进行阻断。
若虚拟机客户端210收到的查询结果为不能确定可疑文件具有攻击行为,则对文件进行反编译处理,利用词法分析、语法分析、二进制程序分析等技术对反编译处理后的文件进行扫描,以确认该可疑文件是否具有攻击行为,若确认可疑文件具有攻击行为,则对攻击行为进行阻断,并生成告警信息和/ 或日志信息,将告警信息和/或日志信息上传到服务端,具体地,告警信息和/ 或日志信息可以包括:时间信息、虚拟机标识、IP地址以及事件名称;若确认文件不具有攻击行为,则可以继续加载文件;若不能确定可疑文件具有攻击行为,则通过服务端将可疑文件上传至沙箱模块。
此外,该系统还包括:规则引擎模块230;
沙箱模块240,适于对虚拟机客户端210通过服务端220上传的可疑文件进行动态分析,通过规则引擎模块230进行可疑文件的规则匹配,根据规则匹配结果生成动态分析结果,其中动态分析结果表明可疑文件是否具有攻击行为。
其中,虚拟机客户端210只能对未经过特殊处理的文件进行静态分析,对于经过变形、加密、加壳等特殊处理的可疑文件,并不能进行文件静态分析,对于经过变形、加密、加壳等特殊处理的可疑文件也需要通过服务端220 上传至沙箱模块240,以通过沙箱模块240对可疑文件进行动态分析。
因此,虚拟机客户端210通过服务端220上传至沙箱模块240的可疑文件可以是经过文件静态分析仍不能确定是否具有攻击行为的可疑文件,以及经过变形、加密、加壳等特殊处理的可疑文件,规则引擎模块230中存储了一系列预设规则,例如,该预设规则可以以正则表达式形式表示,沙箱模块 240通过运行可疑文件来对可疑文件进行动态分析,调用规则引擎模块230 进行可疑文件的规则匹配,确定可疑文件是否具有攻击行为,并生成相应的动态分析结果。
服务端还包括:接口模块221,适于提供各类业务接口,例如,虚拟机客户端注册接口、虚拟机客户端信息更新接口、任务接口、配置接口、传输接口;以及数据库222。
沙箱模块240进一步适于:通过调用接口模块221对应的业务接口将动态分析结果传输至数据库222,并将动态分析结果反馈给虚拟机客户端210,以供虚拟机客户端210根据动态分析结果进行阻断。
具体地,沙箱模块240通过调用分析接口将动态分析结果传输至服务端的数据库进行存储,以方便后续用户通过触发WEB管理模块查看虚拟机客户端的安全状况信息。沙箱模块240还可以通过服务端的接口模块将动态分析结果反馈给虚拟机客户端210,若沙箱模块240查杀后确定可疑文件具有攻击行为,则虚拟机客户端210可以根据该结果对攻击行为进行阻断。
沙箱模块240还进一步根据动态分析结果生成分析报告,通过传输接口将分析报告传输至数据库,以方便后续用户通过触发WEB管理模块查看查杀情况。
本发明通过为安全防御系统增加沙箱功能和规则引擎,来完善整个引擎检测体系,从而能够对文件进行全面分析,提升了检测能力,能够准确地识别出攻击行为,进一步提升了攻击行为的识别率。
在本发明实施例中,服务端220包括:虚拟机客户端管理模块223,适于管理虚拟机客户端防护的开启与关闭,以及管理虚拟机客户端的部署、升级和/或卸载。
具体地,虚拟机客户端管理模块223负责管理虚拟机客户端210,本发明实施例中,虚拟机客户端210具有防护功能,可以通过设置相应的触发按钮来实现,如此,虚拟机客户端管理模块223通过向虚拟机客户端210发送开启或关闭指令来控制虚拟机客户端210防护的开启与关闭。此外,虚拟机客户端管理模块223还可以管理虚拟机客户端的部署、升级和/或卸载,例如可以选择逐个卸载虚拟机客户端,也可以批量卸载虚拟机客户端。
在本发明实施例中,服务端220还包括:黑白名单维护模块224,适于维护和更新云端黑白名单。
黑白名单维护模块224对云端黑白名单进行维护和更新,可以根据沙箱模块返回的动态分析结果对云端黑白名单进行更新,以及根据虚拟机客户端上报的告警信息和/或日志信息对云端黑白名单进行更新。
WEB管理模块225,适于管理供用户访问的WEB页面,向WEB页面提供可展示的安全事件、统计分析数据和/或服务端资源状态以及处理用户通过 WEB页面提交的控制指令。
服务端采用B/S架构,通过WEB页面向用户展示虚拟机客户端的安全状况信息,例如,安全事件发生次数、已拦截攻击数量、安全运行天数、最近安全事件的详细信息、CVE拦截统计、在线云主机的数量,此外,WEB管理模块225还可以处理用户通过WEB页面提交的控制指令,例如,用户通过 WEB页面提交的获取任务列表、历史报告和/或分析报告的控制指令或用户通过WEB页面提交的任务状态查询指令。
具体地,WEB管理模块225进一步适于:根据用户通过WEB页面提交的获取任务列表、历史报告和/或分析报告的控制指令,从数据库读取相应的任务列表、历史报告和/或分析报告,并展示在WEB页面中;以及,根据用户通过WEB页面提交的任务状态查询指令,调用沙箱模块提供的任务状态查询接口查询相应的任务状态,其中,任务状态包括正在检测、等待检测、已检测完成。
此外,用户还可以通过WEB页面提交任务控制指令,来对沙箱模块中的任务进行控制,例如调整任务处理的优先级、取消任务或删除任务。
下面将结合具体的功能对虚拟机客户端进行介绍:
具体地,虚拟机客户端210包括:通信模块211,负责与服务端220保持通信,适于处理服务端220下发的配置和任务;以及将告警信息和/或日志信息上传到服务端220。
通信模块211与服务端建立通信,服务端可以通过通信模块将配置和任务下发给虚拟机客户端,例如,黑白名单同步任务、虚拟机客户端升级任务等,以及文件传输大小限制配置(例如,默认为10M)、定时触发虚拟机客户端更新缓存时间配置(默认10分钟),此外,虚拟机客户端对具有攻击行为的可疑文件进行阻断,并生成相应的告警信息或日志信息,将告警信息和/ 或日志信息上传到服务端220。
引擎模块212,适于捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
引擎模块212对于访问虚拟机的文件都将进行安全防御,具体地,捕获可疑文件,将该可疑文件分别与黑名单、白名单进行匹配,以确定该可疑文件是否具有攻击行为,若与黑名单匹配,则确定该可疑文件具有攻击行为,则需要对该攻击行为进行阻断;若与白名单匹配,则确定该文件不具有攻击行为,可以继续加载对应的文件,这里的文件可以包括普通意义上的文件和进程等。此外,还可以采用文件静态分析的方式来确认可疑文件是否具有攻击行为,具体地,通过词法分析、语法分析等技术对文件进行扫描,以确认该可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
自保模块213,适于对虚拟机客户端内部的文件、模块和/或进程进行自我保护。
该系统还包括:部署在宿主机中的宿主机客户端250,适于根据服务端 220发出的漏洞扫描请求,对宿主机进行漏洞扫描,并将漏洞扫描结果反馈给服务端。
其中,宿主机客户端部署在宿主机的HyperVisor层,负责执行服务端下发的扫描任务,对HyperVisor层进行漏洞扫描,并将漏洞扫描结果反馈给服务端,具体地,服务端可以以报表形式通过WEB页面向用户展示宿主机的 HyperVisor层存在的漏洞即产生的风险。
服务端还包括:宿主机客户端管理模块226,适于根据用户提交的控制指令,向宿主机客户端发出漏洞扫描请求,以及对漏洞扫描结果进行验证。
根据本发明上述实施例提供的系统,通过虚拟机客户端对虚拟机进行防护,而不必对虚拟化产品升级即可实时、有效地防御虚拟化漏洞攻击,而且能够精准查杀,有效过滤威胁,另外,通过添加沙箱和规则引擎,能够进一步提升分析检测能力,实现了全面分析,进一步提升了安全性,通过WEB页面向用户展示安全事件、统计分析数据和/或服务端资源状态,方便用户及时了解虚拟机状态信息。
图3示出了根据本发明一个实施例的基于云计算环境的虚拟化安全防御方法的流程示意图。如图3所示,该方法包括以下步骤:
步骤S300,虚拟机客户端捕获可疑文件。
步骤S301,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若可疑文件具有攻击行为或不确定可疑文件是否具有攻击行为,则执行步骤S302;若可疑文件不具有攻击行为,则执行步骤S303。
虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。本发明实施例提供的基于云计算环境的虚拟化安全防御方法可以防御以虚拟机逃逸为代表的安全威胁,保护虚拟机的安全,进而对虚拟机宿主操作系统进行保护。
本地黑名单记录了具有攻击行为的攻击文件信息,例如,文件名称、文件大小、添加大小、上传位置等,本地白名单记录了安全文件的文件信息,例如,文件名称、文件大小、添加大小、上传位置等,其中,本地黑白名单是由服务端提供,例如,服务端将黑白名单发送给虚拟机客户端,由虚拟机客户端保存在本地。
虚拟机客户端对于访问虚拟机的文件都将进行安全防御,具体地,捕获可疑文件,将该可疑文件分别与黑名单、白名单进行匹配,以确定该可疑文件是否具有攻击行为,若与黑名单匹配,则确定该可疑文件具有攻击行为,则需要对该攻击行为进行阻断;若与白名单匹配,则确定该文件不具有攻击行为,可以继续加载对应的文件,这里的文件可以包括普通意义上的文件和进程等。
此外,还可以采用文件静态分析的方式来确认可疑文件是否具有攻击行为,具体地,通过词法分析、语法分析等技术对文件进行扫描,以确认该可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
步骤S302,对攻击行为进行阻断。
步骤S303,继续加载文件。
根据本发明上述实施例提供的方法,虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,而本地黑白名单是由服务端提供。基于本发明的实施方案,可以防御虚拟机逃逸类攻击,实现了虚拟机加固,保证了整个云虚拟化环境的安全。
图4示出了根据本发明另一个实施例的基于云计算环境的虚拟化安全防御方法的流程示意图。如图4所示,该方法包括以下步骤:
步骤S400,虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式确认可疑文件是否具有攻击行为,若不能确定可疑文件具有攻击行为,则将可疑文件的文件路径上报至服务端。
步骤S401,服务端通过查询云端黑白名单的方式确认文件路径对应的可疑文件是否具有攻击行为,若不能确定可疑文件具有攻击行为,则将相应的查询结果返回给虚拟机客户端。
步骤S402,虚拟机客户端根据服务端返回的查询结果,通过文件静态分析的方式确认是否可疑文件是否具有攻击行为,若不能确定可疑文件具有攻击行为,则通过服务端将可疑文件添加至沙箱。
图5示出了虚拟机客户端拦截序列图,结合图5,详细介绍虚拟机客户端拦截流程:
内核态引擎拦截到进程或驱动后,将进程或驱动对应的文件路径上报给用户态引擎,用户态引擎首先查询本地缓存,判断是否具有攻击行为,若不确定是否具有攻击行为,则进一步查询本地黑白名单,以确认是否具有攻击行为,若通过查询本地黑白名单还无法确认是否具有攻击行为,则将进程或驱动对应的文件路径上报给服务端,服务端通过查询云端黑白名单方式确认进程或驱动是否具有攻击行为,并向用户态引擎返回查询结果,若查询结果为进程或驱动具有攻击行为,则对攻击行为进行阻断,并更新本地缓存;若查询结果为进程或驱动不具有攻击行为,则继续加载进程或驱动,并更新本地缓存;若查询结果为不确定是否具有攻击行为,则调用查杀引擎进行查杀,并根据查杀结果进行阻断或放行,然后更新云端黑白名单,并向服务端上报告警信息和/或日志信息。
步骤S403,沙箱对虚拟机客户端通过服务端上传的可疑文件进行动态分析,通过规则引擎进行可疑文件的规则匹配,根据规则匹配结果生成动态分析结果,其中动态分析结果表明可疑文件是否具有攻击行为。
步骤S404,沙箱通过调用服务端提供的业务接口将动态分析结果传输至服务端的数据库,并将动态分析结果反馈给虚拟机客户端,以供虚拟机客户端根据动态分析结果进行阻断。
步骤S405,服务端根据用户提交的控制指令,向宿主机客户端发出漏洞扫描请求。
步骤S406,部署在宿主机中的宿主机客户端根据服务端发出的漏洞扫描请求,对宿主机进行漏洞扫描,并将漏洞扫描结果反馈给服务端。
步骤S407,服务端对漏洞扫描结果进行验证。
在本发明一种可选实施方式中,方法还包括:服务端管理虚拟机客户端防护的开启与关闭,管理虚拟机客户端的部署、升级和/或卸载;以及维护和更新云端黑白名单。
在本发明一种可选实施方式中,方法还包括:服务端管理供用户访问的 WEB页面,向WEB页面提供可展示的安全事件、统计分析数据和/或服务端资源状态以及处理用户通过WEB页面提交的控制指令。
在本发明一种可选实施方式中,方法还包括:虚拟机客户端与服务端保持通信,处理服务端下发的配置和任务;以及将告警信息和/或日志信息上传到服务端;以及
虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
虚拟机客户端对内部的文件、模块和/或进程进行自我保护。
在本发明一种可选实施方式中,方法还包括:服务端根据用户通过WEB 页面提交的获取任务列表、历史报告和/或分析报告的控制指令,从数据库读取相应的任务列表、历史报告和/或分析报告,并展示在WEB页面中。
在本发明一种可选实施方式中,方法还包括:服务端根据用户通过WEB 页面提交的任务状态查询指令,调用沙箱提供的任务状态查询接口查询相应的任务状态。
在本发明实施例中,服务端按照语言架构可以分为由WEB语言、PHP 语言、和LUA语言实现相应的功能,图6示出了基于沙箱和规则引擎的安全防御的数据通信示意图,结合图6,详细介绍利用沙箱和规则引擎进行防护的流程:
虚拟机客户端可以调用服务端中通过LUA脚本实现的接口将可疑文件添加至沙箱,用户也可以通过WEB页面上传文件,通过PHP脚本、LUA脚本对应的处理,添加至沙箱,由沙箱对文件进行动态分析,沙箱调用规则引擎进行规则匹配,并调用通过LUA脚本实现的接口将结果和报告传输至服务端的数据库,该数据库维护文件队列,存储分析报告和历史任务,用户通过WEB 页面提交获取任务列表、历史任务、分析报告的指令,PHP根据该指令从数据库服务任务列表、历史任务、分析报告,并将任务列表、历史任务、分析报告返回给WEB,展示在WEB页面。
图7示出了虚拟机客户端主流程启动序列图,如图7所示,守护进程 (daemon)生成代理(agent),代理执行生成引擎(engine)步骤,代理从云计算平台获取虚拟机的通用唯一识别码,并调用通过LUA脚本实现的虚拟机客户端注册接口向服务端注册虚拟机客户端信息,之后,代理调用通过LUA 脚本实现的心跳包接口向服务端开始发送心跳包,服务端接收到心跳包之后,调用通过LUA脚本实现的配置接口向代理下发配置,以及调用通过LUA脚本实现的任务接口向代理下发任务,代理根据服务端下发的配置和任务激活引擎,引擎开启自保防护功能对虚拟机客户端内部的文件、模块和/或进程进行自我保护,此外,引擎若无法确定可以文件是否具有攻击行为,还可以请求服务端进行云端黑白名单查询,以及根据查杀结果对云端黑白名单进行更新,并将拦截日志上报给服务端。
图8示出了虚拟机客户端主流程退出序列图,如图8所示,当虚拟机客户端需要进行升级或卸载时,服务端通知虚拟机客户端的代理,代理触发程序结束机制,并通知引擎先行退出,用户态引擎询问内核态引擎能否退出,内核态引擎在接收到询问后,关闭自保防护和拦截防护,然后判断进程等待队列是否为空,若否,则等待进程队列清空,在进程队列清空后,向用户态引擎返回退出结果,用户态引擎将退出结果返回给代理,代理杀掉守护进程及用户态引擎,完成退出。
图9示出了虚拟机客户端管理序列图,如图9所示,用户通过WEB页面选中要升级的虚拟机客户端,通过WEB页面提交升级指令,PHP调用任务生成接口生成相应的任务,LUA通知指定虚拟机客户端有任务要下发,以使虚拟机客户端到服务端获取任务具体数据信息,例如从服务端下载升级包,虚拟机客户端在下载升级包后,执行升级任务,并将任务结果返回给服务端。
图10示出了WEB黑白名单管理序列图,如图10所示,通过WEB向 PHP发送添加或删除黑白名单指令,PHP将修改写入数据库,并调用任务生成接口生成相应的任务,LUA通知指定虚拟机客户端有任务要下发,以使虚拟机客户端到服务端获取任务具体数据信息,例如要添加的黑名单信息或者要删除的黑名单信息,虚拟机客户端在获取到任务的具体数据信息后,对本地黑白名单进行更新,并将任务结果返回给服务端。
根据本发明上述实施例提供的方法,通过虚拟机客户端对虚拟机进行防护,而不必对虚拟化产品升级即可实时、有效地防御虚拟化漏洞攻击,而且能够精准查杀,有效过滤威胁,另外,通过添加沙箱和规则引擎,能够进一步提升分析检测能力,实现了全面分析,进一步提升了安全性,通过WEB 页面向用户展示安全事件、统计分析数据和/或服务端资源状态,方便用户及时了解虚拟机状态信息。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于云计算环境的虚拟化安全防御设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了:
A1.一种基于云计算环境的虚拟化安全防御系统,包括:至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端;
服务端,适于管理所述虚拟机客户端;
虚拟机客户端,适于捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中所述本地黑白名单是由所述服务端提供。
A2.根据A1所述的系统,所述虚拟机客户端进一步适于:捕获可疑文件,通过查询所述本地黑白名单的方式确认所述可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将可疑文件的文件路径上报至服务端;
所述服务端进一步适于:通过查询云端黑白名单的方式确认所述文件路径对应的可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将相应的查询结果返回给虚拟机客户端;
所述虚拟机客户端进一步适于:根据服务端返回的查询结果,通过文件静态分析的方式确认是否所述可疑文件是否具有攻击行为,根据文件静态分析结果进行阻断。
A3.根据A1或A2所述的系统,所述服务端包括:
虚拟机客户端管理模块,适于管理虚拟机客户端防护的开启与关闭,以及管理虚拟机客户端的部署、升级和/或卸载;
黑白名单维护模块,适于维护和更新所述云端黑白名单。
A4.根据A3所述的系统,所述服务端还包括:
WEB管理模块,适于管理供用户访问的WEB页面,向WEB页面提供可展示的安全事件、统计分析数据和/或服务端资源状态以及处理用户通过 WEB页面提交的控制指令。
A5.根据A1-A4中任一项所述的系统,所述虚拟机客户端包括:
通信模块,负责与服务端保持通信,适于处理所述服务端下发的配置和任务;以及将告警信息和/或日志信息上传到所述服务端;
引擎模块,适于捕获可疑文件,通过查询所述本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
A6.根据A5所述的系统,所述虚拟机客户端还包括:
自保模块,适于对所述虚拟机客户端内部的文件、模块和/或进程进行自我保护。
A7.根据A1-A6中任一项所述的系统,所述系统还包括:
规则引擎模块;
沙箱模块,适于对所述虚拟机客户端通过服务端上传的可疑文件进行动态分析,通过所述规则引擎模块进行可疑文件的规则匹配,根据规则匹配结果生成针对所述可疑文件是否具有攻击行为的动态分析结果。
A8.根据A7所述的系统,所述服务端还包括:接口模块,适于提供各类业务接口;以及数据库;
所述沙箱模块进一步适于:通过调用接口模块对应的业务接口将动态分析结果传输至数据库,并将动态分析结果反馈给虚拟机客户端,以供所述虚拟机客户端根据动态分析结果进行阻断。
A9.根据A4所述的系统,所述WEB管理模块进一步适于:根据用户通过WEB页面提交的获取任务列表、历史报告和/或分析报告的控制指令,从数据库读取相应的任务列表、历史报告和/或分析报告,并展示在所述WEB 页面中。
A10.根据A4或A9所述的系统,所述WEB管理模块进一步适于:根据用户通过WEB页面提交的任务状态查询指令,调用沙箱模块提供的任务状态查询接口查询相应的任务状态。
A11.根据A1-A10中任一项所述的系统,所述系统还包括:部署在宿主机中的宿主机客户端,适于根据服务端发出的漏洞扫描请求,对所述宿主机进行漏洞扫描,并将漏洞扫描结果反馈给所述服务端。
A12.根据A11所述的系统,所述服务端还包括:宿主机客户端管理模块,适于根据用户提交的控制指令,向所述宿主机客户端发出漏洞扫描请求,以及对漏洞扫描结果进行验证。
B13.一种基于云计算环境的虚拟化安全防御方法,所述方法基于至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端实现;其中,所述方法包括:
虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中所述本地黑白名单是由所述服务端提供。
B14.根据B13所述的方法,所述虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为进一步包括:
所述虚拟机客户端捕获可疑文件,通过查询所述本地黑白名单的方式确认所述可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将可疑文件的文件路径上报至服务端;
所述服务端通过查询云端黑白名单的方式确认所述文件路径对应的可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将相应的查询结果返回给虚拟机客户端;
所述虚拟机客户端根据服务端返回的查询结果,通过文件静态分析的方式确认是否所述可疑文件是否具有攻击行为,根据文件静态分析结果进行阻断。
B15.根据B13或B14所述的方法,所述方法还包括:所述服务端管理虚拟机客户端防护的开启与关闭,管理虚拟机客户端的部署、升级和/或卸载;以及维护和更新所述云端黑白名单。
B16.根据B15所述的方法,所述方法还包括:所述服务端管理供用户访问的WEB页面,向WEB页面提供可展示的安全事件、统计分析数据和/或服务端资源状态以及处理用户通过WEB页面提交的控制指令。
B17.根据B13-B16中任一项所述的方法,所述方法还包括:所述虚拟机客户端与服务端保持通信,处理所述服务端下发的配置和任务;以及将告警信息和/或日志信息上传到所述服务端;以及
所述虚拟机客户端捕获可疑文件,通过查询所述本地黑白名单的方式和/ 或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
B18.根据B17所述的方法,所述方法还包括:所述虚拟机客户端对内部的文件、模块和/或进程进行自我保护。
B19.根据B13-B18中任一项所述的方法,所述方法还包括:
沙箱对所述虚拟机客户端通过服务端上传的可疑文件进行动态分析,通过所述规则引擎进行可疑文件的规则匹配,根据规则匹配结果生成针对所述可疑文件是否具有攻击行为的动态分析结果。
B20.根据B19所述的方法,所述方法还包括:所述沙箱通过调用服务端提供的业务接口将动态分析结果传输至服务端的数据库,并将动态分析结果反馈给虚拟机客户端,以供所述虚拟机客户端根据动态分析结果进行阻断。
B21.根据B13-B20中任一项所述的方法,所述方法还包括:所述服务端根据用户通过WEB页面提交的获取任务列表、历史报告和/或分析报告的控制指令,从数据库读取相应的任务列表、历史报告和/或分析报告,并展示在所述WEB页面中。
B22.根据B13-B21中任一项所述的方法,所述方法还包括:所述服务端根据用户通过WEB页面提交的任务状态查询指令,调用沙箱提供的任务状态查询接口查询相应的任务状态。
B23.根据B13-B22中任一项所述的方法,所述方法还包括:部署在宿主机中的宿主机客户端根据服务端发出的漏洞扫描请求,对所述宿主机进行漏洞扫描,并将漏洞扫描结果反馈给所述服务端。
B24.根据B23所述的方法,所述方法还包括:所述服务端根据用户提交的控制指令,向所述宿主机客户端发出漏洞扫描请求,以及对漏洞扫描结果进行验证。
Claims (20)
1.一种基于云计算环境的虚拟化安全防御系统,包括:至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端;
服务端,适于管理所述虚拟机客户端;
虚拟机客户端,适于捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中所述本地黑白名单是由所述服务端提供;
所述系统还包括:规则引擎模块;
沙箱模块,适于对所述虚拟机客户端通过服务端上传的可疑文件进行动态分析,通过所述规则引擎模块进行可疑文件的规则匹配,根据规则匹配结果生成针对所述可疑文件是否具有攻击行为的动态分析结果;
所述沙箱模块,还适于根据所述动态分析结果生成分析报告,通过传输接口将所述分析报告传输至数据库,以使用户通过触发WEB管理模块查看查杀情况;
所述虚拟机客户端进一步适于:捕获可疑文件,通过查询所述本地黑白名单的方式确认所述可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将可疑文件的文件路径上报至服务端;
所述服务端进一步适于:通过查询云端黑白名单的方式确认所述文件路径对应的可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将相应的查询结果返回给虚拟机客户端;
所述虚拟机客户端进一步适于:根据服务端返回的查询结果,通过文件静态分析的方式确认是否所述可疑文件是否具有攻击行为,根据文件静态分析结果进行阻断。
2.根据权利要求1所述的系统,所述服务端包括:
虚拟机客户端管理模块,适于管理虚拟机客户端防护的开启与关闭,以及管理虚拟机客户端的部署、升级和/或卸载;
黑白名单维护模块,适于维护和更新所述云端黑白名单。
3.根据权利要求2所述的系统,所述服务端还包括:
WEB管理模块,适于管理供用户访问的WEB页面,向WEB页面提供可展示的安全事件、统计分析数据和/或服务端资源状态以及处理用户通过WEB页面提交的控制指令。
4.根据权利要求1所述的系统,所述虚拟机客户端包括:
通信模块,负责与服务端保持通信,适于处理所述服务端下发的配置和任务;以及将告警信息和/或日志信息上传到所述服务端;
引擎模块,适于捕获可疑文件,通过查询所述本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
5.根据权利要求4所述的系统,所述虚拟机客户端还包括:
自保模块,适于对所述虚拟机客户端内部的文件、模块和/或进程进行自我保护。
6.根据权利要求1所述的系统,所述服务端还包括:接口模块,适于提供各类业务接口;以及数据库;
所述沙箱模块进一步适于:通过调用接口模块对应的业务接口将动态分析结果传输至数据库,并将动态分析结果反馈给虚拟机客户端,以供所述虚拟机客户端根据动态分析结果进行阻断。
7.根据权利要求3所述的系统,所述WEB管理模块进一步适于:根据用户通过WEB页面提交的获取任务列表、历史报告和/或分析报告的控制指令,从数据库读取相应的任务列表、历史报告和/或分析报告,并展示在所述WEB页面中。
8.根据权利要求3或7所述的系统,所述WEB管理模块进一步适于:根据用户通过WEB页面提交的任务状态查询指令,调用沙箱模块提供的任务状态查询接口查询相应的任务状态。
9.根据权利要求1所述的系统,所述系统还包括:部署在宿主机中的宿主机客户端,适于根据服务端发出的漏洞扫描请求,对所述宿主机进行漏洞扫描,并将漏洞扫描结果反馈给所述服务端。
10.根据权利要求9所述的系统,所述服务端还包括:宿主机客户端管理模块,适于根据用户提交的控制指令,向所述宿主机客户端发出漏洞扫描请求,以及对漏洞扫描结果进行验证。
11.一种基于云计算环境的虚拟化安全防御方法,所述方法基于至少一个部署在虚拟机中的虚拟机客户端以及部署在云计算环境中的服务端实现;其中,所述方法包括:
虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断,其中所述本地黑白名单是由所述服务端提供;
所述方法还包括:沙箱对所述虚拟机客户端通过服务端上传的可疑文件进行动态分析,通过规则引擎进行可疑文件的规则匹配,根据规则匹配结果生成针对所述可疑文件是否具有攻击行为的动态分析结果;
所述方法还包括:沙箱根据所述动态分析结果生成分析报告,通过传输接口将所述分析报告传输至数据库,以使用户通过触发WEB管理模块查看查杀情况;
其中,所述虚拟机客户端捕获可疑文件,通过查询本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为进一步包括:
所述虚拟机客户端捕获可疑文件,通过查询所述本地黑白名单的方式确认所述可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将可疑文件的文件路径上报至服务端;
所述服务端通过查询云端黑白名单的方式确认所述文件路径对应的可疑文件是否具有攻击行为,若不能确定所述可疑文件具有攻击行为,则将相应的查询结果返回给虚拟机客户端;
所述虚拟机客户端根据服务端返回的查询结果,通过文件静态分析的方式确认是否所述可疑文件是否具有攻击行为,根据文件静态分析结果进行阻断。
12.根据权利要求11所述的方法,所述方法还包括:所述服务端管理虚拟机客户端防护的开启与关闭,管理虚拟机客户端的部署、升级和/或卸载;以及维护和更新所述云端黑白名单。
13.根据权利要求12所述的方法,所述方法还包括:所述服务端管理供用户访问的WEB页面,向WEB页面提供可展示的安全事件、统计分析数据和/或服务端资源状态以及处理用户通过WEB页面提交的控制指令。
14.根据权利要求11所述的方法,所述方法还包括:所述虚拟机客户端与服务端保持通信,处理所述服务端下发的配置和任务;以及将告警信息和/或日志信息上传到所述服务端;以及
所述虚拟机客户端捕获可疑文件,通过查询所述本地黑白名单的方式和/或文件静态分析的方式确认所述可疑文件是否具有攻击行为,若是,则对攻击行为进行阻断。
15.根据权利要求14所述的方法,所述方法还包括:所述虚拟机客户端对内部的文件、模块和/或进程进行自我保护。
16.根据权利要求11所述的方法,所述方法还包括:所述沙箱通过调用服务端提供的业务接口将动态分析结果传输至服务端的数据库,并将动态分析结果反馈给虚拟机客户端,以供所述虚拟机客户端根据动态分析结果进行阻断。
17.根据权利要求11所述的方法,所述方法还包括:所述服务端根据用户通过WEB页面提交的获取任务列表、历史报告和/或分析报告的控制指令,从数据库读取相应的任务列表、历史报告和/或分析报告,并展示在所述WEB页面中。
18.根据权利要求11所述的方法,所述方法还包括:所述服务端根据用户通过WEB页面提交的任务状态查询指令,调用沙箱提供的任务状态查询接口查询相应的任务状态。
19.根据权利要求11所述的方法,所述方法还包括:部署在宿主机中的宿主机客户端根据服务端发出的漏洞扫描请求,对所述宿主机进行漏洞扫描,并将漏洞扫描结果反馈给所述服务端。
20.根据权利要求19所述的方法,所述方法还包括:所述服务端根据用户提交的控制指令,向所述宿主机客户端发出漏洞扫描请求,以及对漏洞扫描结果进行验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710915705.XA CN107682333B (zh) | 2017-09-30 | 2017-09-30 | 基于云计算环境的虚拟化安全防御系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710915705.XA CN107682333B (zh) | 2017-09-30 | 2017-09-30 | 基于云计算环境的虚拟化安全防御系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107682333A CN107682333A (zh) | 2018-02-09 |
CN107682333B true CN107682333B (zh) | 2022-02-25 |
Family
ID=61139544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710915705.XA Active CN107682333B (zh) | 2017-09-30 | 2017-09-30 | 基于云计算环境的虚拟化安全防御系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107682333B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108418831A (zh) * | 2018-03-26 | 2018-08-17 | 河南大学 | 一种面向云计算的网络安全预警方法 |
CN109324873A (zh) * | 2018-09-21 | 2019-02-12 | 郑州云海信息技术有限公司 | 虚拟化安全管理方法、运行内核驱动的设备及存储介质 |
CN109379347B (zh) * | 2018-09-29 | 2021-03-23 | 成都亚信网络安全产业技术研究院有限公司 | 一种安全防护方法及设备 |
CN109472147A (zh) * | 2018-10-22 | 2019-03-15 | 郑州云海信息技术有限公司 | 一种虚拟化平台的安全检测方法及装置 |
CN110474931A (zh) * | 2019-09-29 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 一种攻击源的联网告警方法和系统 |
CN110784473A (zh) * | 2019-10-31 | 2020-02-11 | 江苏安防科技有限公司 | 一种智慧管廊行业云安全防御系统 |
CN111337784B (zh) * | 2020-04-07 | 2023-01-20 | 中车株洲电力机车有限公司 | 一种电力机车辅机测试的控制方法及系统 |
CN111800401B (zh) * | 2020-06-28 | 2023-05-23 | 腾讯科技(深圳)有限公司 | 业务报文的防护方法、装置、系统和计算机设备 |
CN111786830B (zh) * | 2020-07-01 | 2023-06-13 | 浪潮云信息技术股份公司 | 一种云计算环境下的网络质量仿真方法 |
CN114285588A (zh) * | 2020-09-21 | 2022-04-05 | 奇安信科技集团股份有限公司 | 获取攻击对象信息的方法、装置、设备及存储介质 |
CN112329008B (zh) * | 2020-11-27 | 2022-11-01 | 南京邮电大学 | 一种基于内核调试器的虚拟化逃逸防御方法 |
CN112507381B (zh) * | 2020-12-21 | 2023-03-14 | 中电福富信息科技有限公司 | 支持多种操作系统的资产信息和安全管理装置 |
CN113742735A (zh) * | 2021-09-18 | 2021-12-03 | 合肥力拓云计算科技有限公司 | 一种基于大数据的能源平衡分析平台安全系统及其使用方法 |
CN114124558B (zh) * | 2021-11-30 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 操作响应方法、装置、电子设备及计算机可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8621553B2 (en) * | 2009-03-31 | 2013-12-31 | Microsoft Corporation | Model based security for cloud services |
CN102291390B (zh) * | 2011-07-14 | 2014-06-04 | 南京邮电大学 | 一种基于云计算平台的防御拒绝服务攻击的方法 |
CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
CN102708325A (zh) * | 2012-05-17 | 2012-10-03 | 中国科学院计算技术研究所 | 虚拟桌面环境文件杀毒的方法和系统 |
CN103281301B (zh) * | 2013-04-28 | 2017-02-08 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
CN104504330B (zh) * | 2014-12-12 | 2017-12-08 | 北京奇安信科技有限公司 | 虚拟化安全检测方法与系统 |
CN105262753A (zh) * | 2015-10-28 | 2016-01-20 | 广州西麦科技股份有限公司 | 一种基于sdn虚拟交换机的安全策略的系统及方法 |
CN105590058B (zh) * | 2015-12-18 | 2019-04-26 | 北京奇虎科技有限公司 | 虚拟机逃逸的检测方法及装置 |
CN106850562A (zh) * | 2016-12-28 | 2017-06-13 | 北京安天网络安全技术有限公司 | 一种恶意外设检测系统及方法 |
-
2017
- 2017-09-30 CN CN201710915705.XA patent/CN107682333B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102254120A (zh) * | 2011-08-09 | 2011-11-23 | 成都市华为赛门铁克科技有限公司 | 恶意代码的检测方法、系统及相关装置 |
CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107682333A (zh) | 2018-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107682333B (zh) | 基于云计算环境的虚拟化安全防御系统及方法 | |
US10552610B1 (en) | Adaptive virtual machine snapshot update framework for malware behavioral analysis | |
US11157300B2 (en) | Managing virtual machine security resources | |
US20200177552A1 (en) | Methods and apparatus for malware threat research | |
US9973531B1 (en) | Shellcode detection | |
US10454953B1 (en) | System and method for separated packet processing and static analysis | |
KR102301721B1 (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
US10198574B1 (en) | System and method for analysis of a memory dump associated with a potentially malicious content suspect | |
US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
US9594912B1 (en) | Return-oriented programming detection | |
AU2017285429B2 (en) | Systems and methods for remediating memory corruption in a computer application | |
US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
EP3502944B1 (en) | Detecting script-based malware cross reference to related applications | |
WO2019072008A1 (zh) | 小程序的安全扫描方法、装置以及电子设备 | |
CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
US11636198B1 (en) | System and method for cybersecurity analyzer update and concurrent management system | |
CN113518055A (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
WO2023130063A1 (en) | Zero trust file integrity protection | |
CN116827633A (zh) | 蜜罐部署的方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |