CN108134792B - 基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法 - Google Patents
基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法 Download PDFInfo
- Publication number
- CN108134792B CN108134792B CN201711416229.3A CN201711416229A CN108134792B CN 108134792 B CN108134792 B CN 108134792B CN 201711416229 A CN201711416229 A CN 201711416229A CN 108134792 B CN108134792 B CN 108134792B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- soft switch
- management software
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本发明公开了一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,包括:S1,在计算机上除安装主控操作系统OS1外,至少还安装有一个虚拟操作系统OS2;S2,通过OS1对各OS2的连网通断状态进行控制;其中,在计算机上能够采用OS1或OS2进行数据处理,但与网络进行数据通信只能采用OS2以实现。本发明提供一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,其通过虚拟化技术中的既有手段实现对计算/控制、输入输出的保护,实现对网络病毒攻击的有效防御,其无需添加额外的硬件,对走线无特殊需求,故其成本可控,且无需等待防毒软件的数据更新,故实效性更好。
Description
技术领域
本发明涉及一种在病毒防御情况下使用的方法。更具体地说,本发明涉及一种用在计算机网络安全防御情况下提高各个主机节点对网络病毒的抵御能力,特别涉及一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,属于信息安全、计算机网络和计算机软件的交叉技术应用领域。
背景技术
网络病毒包括计算机病毒、网络蠕虫、后门木马等。网络病毒的攻击(包括网络病毒的传输、感染和破坏)常常借助于网络的资源共享和通信功能。通过网络特别是互联网及其应用系统传播的网络病毒,其具有波及范围大、覆盖面广特点,短时间内可以造成网络拥塞甚至瘫痪、共享资源丢失、重要文件信息失窃与受损,给普通用户、技术研发人员、企业造成损失。特别是一些需要连续工作的生产企业、一些重要的事业单位,其受到攻击之后的恢复难度大、恢复时间长,恶劣的后果与巨大的损失无法估量。
防御网络病毒攻击的现有方法主要从硬件和软件两个角度来实施。常见网络安全防护主要方法有:软件方面设置防火墙、反病毒杀毒软件等。硬件方面诸如计算机双硬盘、双网卡、双系统模式,内网与外网之间设置硬件防火墙,在遇到网络风险时物理硬件层面断开内网与外网的链接。现有相关专利如下:
专利《一种计算机网络病毒隔离系统》提到一种计算机网络病毒隔离系统,属于硬件方案。该专利采用内、外网网卡设计来连接不同的网络,内(外) 网卡连接内(外)网。方案采用隔离开关实现网络安全隔离条件下的单向数据交换,以保证内网不被外网入侵、内部数据不外泄,同时不被外网上的病毒、木马感染,消除病毒通过外网入侵发生的内部泄漏或损坏的风险。
专利《一种内网外网物理隔离打印系统》研究了一种内外网物理隔离打印系统,属于硬件解决方案。该方案实现了内部网络数据和外部网络之间的隔离,防止出现工作在内网上的计算机因受到外网病毒的袭击而瘫痪。该专利提供一种内网、外网物理隔离打印系统,可以不用插拔打印机的接口,就能够实现内网电脑和外网电脑共用打印装置。该设计避免了将内网、外网同时与这些打印机相连可能出现的数据使用不安全、容易遭受病毒和黑客攻击的风险。
专利《一种基于多反病毒引擎的网络病毒联合防御方法》设计了一种基于多反病毒引擎的网络病毒联合防御方法,属于软件方案。该方案遵循目前防御网络病毒的常规手段,即修补系统漏洞和设置反病毒软件。该方案中的反病毒软件集成了实时监控识别、病毒扫描和清除、自动升级和数据恢复等功能。
以上现有方法存在的不足在于:
1、采用额外添置硬件的方式,会提高计算机单台设备成本。
2、在网络中添置的额外网络硬件设备除了成本提高外,还可能受制于办公室的有限空间、使得走线变得非常复杂,并且不适用于用户计算机移动的场景。因为用户很可能移动到没有添置额外网络硬件设备的新网络中。
3、采用软件方式时,软件数据库的更新情况决定了计算机对网络病毒防御水平,且必须长期连接外网才能实时更新数据库。这会让长期使用内网的计算机无法便捷的更新库,也就无法实时抵御网络病毒攻击。况且,软件漏洞很难完全消除,其长期潜伏性使得系统和服务漏洞永远存在,只要找到新漏洞仍然会发生网络攻击。
针对网络安全现状及以上不足,本专利的目标是从新的视角来处理如何保护计算机,特别是防御计算机的三大任务(计算/控制、存储、输入输出) 免受网络攻击的问题。
随着计算机芯片更新换代加速、计算机整机性能增强、设备价格降低,越来越多计算机设备具有支持虚拟机运行的能力。虚拟机是虚拟化技术的一种重要体现,实现了在一套硬件设备上运行多个操作系统的能力。装配有虚拟机的普通计算机等同于在一台硬件设备上运行多个操作系统,等效于用户在使用多台计算机。该技术不仅提高了硬件设备的使用效率,方便用户对新业务的操作,还能提供更多、更丰富的功能。目前,虚拟机技术大规模用于数据中心,而面向普通用户的应用较少。据了解,目前还没有利用虚拟机技术作为网络病毒攻击的防御方案。
发明内容
本发明的一个目的是解决至少上述问题和/或缺陷,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,其设计属于软件方案,但与现有软件解决方案的技术不同,本方案利用虚拟化技术解决以上不足,特别是防御网络病毒对于攻击计算机的三大任务(计算/控制、存储、输入输出)的攻击,以通过虚拟化技术中的既有手段实现对计算/控制、输入输出的保护,实现对网络病毒攻击的有效防御,其无需添加额外的硬件,对走线无特殊需求,故其成本可控,且无需等待防毒软件的数据更新,故实效性更好。
为了实现根据本发明的这些目的和其它优点,提供了一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,包括:
S1,在计算机上除安装主控操作系统OS1外,至少还安装有一个虚拟操作系统OS2;
S2,通过OS1对各OS2的连网通断状态进行控制;
其中,在计算机上能够采用OS1或OS2进行数据处理,但与网络进行数据通信只能采用OS2以实现。
优选的是,其中,还包括:
S3,OS1与OS2,以及OS2与OS2之间通过非网络接口进行数据通信,实现对任意一个OS2上数据的备份操作。
优选的是,其中,在S2中,OS1对各OS2的连网通断状态进行控制包括:
对OS2与互联网的连通状态控制,以及对OS2与内网的连通状态控制。
优选的是,其中,在S2中,OS1被配置为脱离网络连接。
优选的是,其中,在S2中,在OS1与各OS2上分别通过相应的程序对相关参数进行设置,实现各自与网络之间通断状态的切换,以在其各自与网络连接的通信链路上形成对应的第一软开关;
其中,各OS2在与网络连接的通信链路上还配置有与OS1相配合的第二软开关,以实现OS1对各OS2网络连接状态的总控制。
优选的是,其中,所述第一软开关,第二软开关的通断状态基于用户给出的触发信号以切换,进而对OS1以及各OS2与网络之间形成的通信链路连通状态进行控制。
优选的是,其中,其特征在于,在S3中,OS1与各OS2上分别设置有对应的第一数据管理软件,第二数据管理软件,以基于受OS1与各OS2控制的非网络接口与总线的配合,实现OS1与各OS2之间的数据通信。
优选的是,其中,在S3中,通过对OS1、各OS2上的相关参数进行设置,实现OS1、各OS2与总线之间数据传输通断状态的切换,以在OS1、各 OS2与总线构成的通信链路上形成对应的第三软开关;
其中,各OS2在与总线连接的通信链路上,还配置有与OS1相配合的第四软开关,以实现OS1对各OS2数据传输状态的总控制。
优选的是,其中,在S3中,用户进行数据处理的各种文件数据均被配置为存储于对应的OS2中,以通过对应的第二数据管理软件进行数据管理;
所述第三软开关,第四软开关的通断状态基于用户给出的触发信号以切换,进而对OS1以及各OS2与总线之间形成的数据通信链路连通状态进行控制;
其中,OS1与各OS2,OS2与OS2之间通过第一数据管理软件,第二数据管理软件以及相互配合的第三软开关,第四软开关,实现数据文件在OS1 上或OS2上的文件备份。
优选的是,其中,还包括:
S4,用于备份数据文件的OS2或OS1被配置为不处理任何的备份数据文件,以防止病毒对该备份用OS2或OS1的感染;
S5,在OS2受到网络病毒攻击,文件数据无法恢复时,通过第二数据管理软件、第一数据管理软件的配合,实现OS2与OS1或OS2与OS2之间的数据通信,以获取对应的备份文件数据,实现文件的快速恢复。
本发明至少包括以下有益效果:
其一,本发明通过对操作系统的连网模式的控制,使得所有的连网操作均只能通过虚拟的操作系统OS2来完成,以实现对主控操作系统即OS1的保护,防止网络病毒通过网络对OS1的攻击,确保其安全性和稳定性,其相对于现有技术来说,无需添加额外的硬件,对走线无特殊需求,故其成本可控,且无需等待防毒软件的数据更新,故实效性更好。
其二,本发明通过在操作系统中设置相对应的软开关,实现了对网络连接及数据备份的准入控制,使得其安全系数级别更高。
其三,本发明通过对操作系统的操作内容及操作方式进行限制,以使主控系统及备份系统的安全系统保护更加全面,进而实现了在攻击后能快速恢复存储的目标。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明的一个实施例中基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法的系统架构框图;
图2为本发明的另一个实施例中基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法的网络连接框图;
图3为本发明的另一个实施例中基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法的数据通信连接框图;
图4为本发明的一个OS1和多个OS2的联网开关设计连接框图;
图5为本发明的一个OS1和多个OS2的非网络通信接口开关设计连接框图;
图6为本发明的OS1与OS2进行文件数据处理的流程示意图;
图7为本发明的OS2与OS2进行文件数据处理的流程示意图;
图8为本发明的OS1与多个OS2进行文件数据处理的流程示意图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不配出一个或多个其它元件或其组合的存在或添加。
图1-图 2示出了根据本发明的一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法的实现形式,其中包括:
S1,在计算机上除安装主控操作系统OS1 1即Host OS外,至少还安装有一个虚拟操作系统OS2 2即VM OS;
S2,通过OS1对各OS2的连网通断状态进行控制,即控制OS2总线的连通状态,因总线与网络硬件接口连通,进而实现OS2与网络连通状态控制;
其中,在计算机上能够采用OS1或OS2进行数据处理,但与网络进行数据通信只能采用OS2以实现。采用这种方案的系统构建框图如图1所示,其网络通信的控制模型如图2所示,数据通信的硬件接口HW 3通过总线4与 OS2实现构成通信链路,总线也可以是虚拟的链路或其它实现数据通信的设备,进而通过对操作系统的连网模式的控制,使得所有的连网操作均只能通过虚拟的操作系统OS2来完成,以实现对主控操作系统即OS1的保护,防止网络病毒通过网络对OS1的攻击,确保其安全性和稳定性,图2中的NC 5 则为实现该目的的主控制程序,其相对于现有技术来说,因无需添加额外的硬件,对走线无特殊需求,故其成本可控,同时因为通过虚拟技术在一台计算机上设置多个虚拟操作系统是现有的技术,且通过主控操作系统实现对虚拟系统的应用或命令的响应、切换、数据链路的通断控制,亦属于现有技术,故无需对其进行额外的说明,且无需等待防毒软件的数据更新,故具有实效性更好的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
在另一种实例中,还包括:
S3,OS1与OS2,以及OS2与OS2之间通过非网络接口进行数据通信,实现对任意一个OS2上数据的备份操作。采用这种方案中的非网络接口是指除以太网网络接口以外的任意通信接口,如采用应用层实现OS2与OS2,OS1 与OS2之间的数据通信,以防止从数据通信带来潜在的网络攻击,进而实现系统与系统之间的数据通信,以实现数据备份,以利于在OS2被攻击后,实现对OS2中文件数据的恢复,具有可实施效果好,可操作性强,稳定性好,安全系数高的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
在另一种实例中,在S2中,OS1对各OS2的连网通断状态进行控制包括:
对OS2与互联网的连通状态控制,以及对OS2与内网的连通状态控制。采用这种方案使得OS1处于总控模式,以对各OS2数据传输的连通状态进行总控,以使OS2与外界,或OS2之间的每一个数据通信操作,都能进行把控,具有可实施效果好,可操作性强,稳定性好的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
在另一种实例中,在S2中,OS1被配置为脱离网络连接。采用这种方案使得OS1始终能处于断网状态,防止网络病毒的攻击,以保持其独立性和稳定性,具有可控性好,安全系数高的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
如图4所示,在另一种实例中,在S2中,在OS1与各OS2上分别通过相应的程序对相关参数进行设置,实现各自与网络之间通断状态的切换,在操作系统中通过程序对其某一应用或命令的状态进行控制,使其具有物理意义上的开关类似的功能,例如:Windows操作系统上的本地连接按钮开关,用户可以通过打开或关闭Windows操作系统的本地连接按钮实现操作系统与网络连接的通断状态切换,其属于现有技术,而软件的程序是本领域技术人员可根据现有技术进行适应性移植或适应性小改动的手段,但其应用在操作系统之间,实现防止网络攻击,目前还没有相关技术,以在其各自与网络连接的通信链路上形成对应的第一软开关6;
其中,各OS2在与网络连接的通信链路上,还配置有与OS1相配合的第二软开关7以实现OS1对各OS2网络连接状态的总控制。采用这种方案通过第一软开关可分别实现OS1、各OS2与网络连通状态的控制,同时通过附加在OS2与网络通信链路上的第二软开关,实现OS1对各OS2与网络连通状态的控制,即操作系统对自身是否联网的控制,例如,主控操作系统对其自身联网的控制,虚拟操作系统对其自身联网的控制通过第一软开关以实现,操作系统对其他操作系统,例如,主控操作系统对虚拟操作系统联网的控制通过第二软开关以实现,具体来说,各OS2与网络如需要处于连通状态,则需要其通信链路上的第一软开关,第二软开关同时处于连通状态,以对其安全级别进行加强,具有安全系数更高,可控性更好的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
在另一种实例中,所述第一软开关,第二软开关的通断状态基于用户给出的触发信号以切换,进而对OS1以及各OS2与网络之间形成的通信链路连通状态进行控制。采用这种方案的触发信号可为用户在操作界面上应用程序中的鼠标触发事件,也可以是其它可替换的请求响应事件,具有可控性好,可操作性强,安全性高的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
如图3所示,在另一种实例中,在S3中,OS1与各OS2上分别设置有对应的第一数据管理软件8,第二数据管理软件9,以基于受OS1与各OS2 控制的非网络接口与总线的配合,实现OS1与各OS2数据通信,这些数据管理软件利用受操作系统控制的非网络接口与总线,进行OS1与各OS2之间的数据通信,现有的操作系统中都具有数据管理软件,只是现有的数据管理软件中没有办法实现非网络方式下的系统数据通信,本发明通过在现有的技术中进行添加如补丁之类,或独立开发,以在数据管理软件中开辟非网络接口,实现系统之间的非网络方式数据通信。OS1与OS2进行数据通信通常是采用网络进行,但采用网络通信会使得网络病毒在通信时潜伏在相关文件数据中,故其容易导致网络攻击,而采用非网络接口实现数据通信就可以免除这一危险,这里的非网络接口为除以太网网络接口以外的其它接口,或数据传输方式,如应用层进行数据通信的方式,这种方案具有可实施效果好,可操作性强的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
如图5所示,在另一种实例中,在S3中,通过对OS1、各OS2上的相关参数进行设置,实现OS1、各OS2与总线之间数据传输通断状态的切换,以在OS1、各OS2与总线构成的通信链路上形成对应的第三软开关10,其建立方式如第一软开关、第二软开关所述,故不再此进行另外的叙述,基于建立的第三软开关、第四软开关,通过第一数据管理软件、第二数据管理软件可以实现对OS1、各OS2上的文件传输与备份;
其中,各OS2在与总线连接的通信链路上,还配置有与OS1相配合的第四软开关,以实现OS1对各OS2数据传输状态的总控制,其中第三软开关为操作系统对自身非网络接口的控制,第四软开关为主控系统对虚拟系统非网络接口的控制。采用这种方案通过第三软开关对各操作系统与总线之间通信链路通断进行控制,并通过第四软开关对OS2与总线之间通信链路通断进行控制,以使OS2与OS1、OS2与OS2之间的基于非网络数据通信可控,即 OS2与总线之间通信链路只有在第三软开关与第四软开关同时处于连通状态时,OS2与OS1、OS2与OS2之间的基于非网络数据通信链路才能处于导通状态,其数据通信示意图如6-8所示,以具有更高的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
在另一种实例中,在S3中,用户进行数据处理的各种文件数据均被配置为存储于对应的OS2中,以通过对应的第二数据管理软件进行数据管理;
所述第三软开关,第四软开关的通断状态基于用户给出的触发信号以切换,进而对OS1以及各OS2与总线之间形成的数据通信链路连通状态进行控制,具体来说,通过第三软开关,各个操作系统(包括主控系统和虚拟系统) 可以对自身的数据通信链路连通状态进行控制;通过第四软开关,主控系统可以对虚拟系统的数据通信链路连通状态进行控制;
其中,OS1与各OS2,OS2与OS2之间通过第一数据管理软件,第二数据管理软件以及相互配合的第三软开关,第四软开关,实现数据文件在OS1 上或OS2上的文件备份。采用这种方案使得OS1与各OS2,OS2与OS2实现数据通信,需要借助操作系统上的数据管理软件,且同时还需要满足其通信链路上的第三软开关、第四软开关同时处于连通状态,即对系统中数据通信实现文件数据备份提出更高的要求,具有可实施效果好,可操作性强,安全系数高的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
在另一种实例中,还包括:
S4,用于备份数据文件的OS2或OS1被配置为不处理任何的备份数据文件,以防止病毒对该备份用OS2或OS1的感染,其使备份文件的操作系统处于独立的状态,以防止用户在对其上存储的文件进行点击操作、激活等一系列的响应操作时触发的网络攻击;
S5,在OS2受到网络病毒攻击,文件数据无法恢复时,通过第二数据管理软件、第一数据管理软件的配合,当然其也必然满足第三软开关与第四软开关同时处于连通状态,实现OS2与OS1或OS2与OS2之间的数据通信,以获取对应的备份文件数据,实现文件的快速恢复。采用这种方案通过将备份文件的操作系统不对备份文件做任何的操作,以使备份的操作系统处于超然的独立状态,进而防止备份文件对备份系统造成的网络攻击,对备份系统及备份文件数据的损害,具有可实施效果好,可操作性强稳定性好的有利之处。并且,这种方式只是一种较佳实例的说明,但并不局限于此。在实施本发明时,可以根据使用者需求进行适当的替换和/或修改。
本发明设计一种基于虚拟化技术的计算机系统的防御网络病毒攻击方法,具体描述如下:
S1,用户使用虚拟机系统上网、办公、处理日常文件数据等工作,架构见图1。
S2,用户使用主机系统控制虚拟机系统是否允许联网、控制虚拟机系统是连接内网还是外网,具体来说,用户使用主机系统控制虚拟机系统的联网行为,即控制虚拟机系统是否联网,见图2。此外,用户也可以使用主机系统控制自身(即主机系统)的联网行为,本专利提出将这种控制称为网络控制开关即软开关。
更为具体地描述,S2可包括,:
S21,不论是主机系统还是虚拟机系统,都属于操作系统,都可以控制系统自身是否联网。本专利将操作系统对自身是否联网的控制称为网络控制开关中的小开关即第一软开关。
S22,对于主机系统,它可以对多个虚拟机系统是否联网进行控制。本专利将主机系统对其他系统(不包含主机系统自身)是否联网的控制称为网络控制开关中的大开关即第二软开关。特别的,,小开关和,大开关的区别在于,前者是对自身的控制(即操作系统自己控制自己,包括:主机系统控制自己,虚拟机系统控制自己),后者是对其他系统的控制(即操作系统控制其他操作系统,包括:主机系统控制虚拟机系统)。
S23,对于,提到的小开关、大开关概念。用图4来介绍。具体来说,虚拟机系统需要联网的话应该同时打开大开关和小开关,主机系统需要联网的话仅需打开小开关。
S3,主机系统脱离网络连接。
S4,用户处理的日常文件存储于虚拟机系统上,该文件数据由数据管理软件进行管理,用户处理的日常文件优先存储于虚拟机系统上,这些文件数据由虚拟机系统中安装的数据管理软件进行管理。主机系统中也安装数据管理软件。
S5,虚拟机系统上的数据管理软件与主机系统上的数据管理软件之间通过非网络接口进行通信,实现虚拟机系统上的文件数据在主机系统上备份,见图3,具体来说,虚拟机系统上的数据管理软件与主机系统上的数据管理软件之间通过非网络接口(即非以太网接口,例如:采用应用层进行数据通信,采用该接口的目的是为了避免虚拟机系统和主机系统均开启以太网网络通道后,网络病毒通过网络通道进行攻击的风险)进行通信,实现虚拟机系统上的文件数据在主机系统上的备份,见图3。
S51,S5所述具有非网络通信接口的数据管理软件为本专利的新设计。传统数据管理软件大多通过以太网口进行对外通信,或者根本不具有对外通信的接口。本专利需要实现不同操作系统(例如:主机系统和虚拟机系统之间,多个虚拟机系统之间)上数据管理软件之间的文件数据传输和备份,特设计具有非网络通信接口的数据管理软件。
S52,类似于S2的网络开关设计,本专利设计了对用于文件传输的数据管理软件的非网络通信接口,这里的非网络通信接口被数据管理软件使用,同时也受到操作系统的控制管理。具体来说,用户可以使用主机系统控制虚拟机系统的非网络通信接口行为,包括:是否开启虚拟机系统的非网络通信接口。此外,用户也可以使用主机系统控制自身(即主机系统自己)是否开启非网络通信接口。本专利提出将这种控制称为非网络通信接口控制开关即第三软开关、第四软开关。
S521,不论是主机系统还是虚拟机系统,都属于操作系统,都可以控制自身是否开启非网络通信接口,以便给自身操作系统上的数据管理软件使用。本专利称操作系统对自身是否开启非网络通信接口的控制称为非网络通信接口控制开关中的小开关即第三软开关。
S522,对于主机系统,它可以对多个虚拟机系统的非网络通信接口进行控制。本专利将主机系统对其他系统(不包含主机系统自身)是否开启非网络通信接口的控制称为非网络通信接口控制开关中的大开关即第四软开关。 S521中的小开关和S522中的大开关的区别在于:前者是对自身的控制(即操作系统自己控制自己,包括:主机系统控制自己,虚拟机系统控制自己),后者是对其他操作系统的控制(即操作系统控制其他操作系统,包括:主机系统控制虚拟机系统)。
S523,对于S521、S522提到的小开关、大开关概念。用图5来介绍。具体来说,虚拟机系统需要开启非网络通信接口的话应该同时打开大开关和小开关,主机系统需要开启非网络通信接口的话仅需打开小开关。
S524,从应用的目的/用途角度来说,对于非网络通信接口的控制用途不同于S2中对网络接口控制的用途。S2中提到的网络接口的控制用途是决定操作系统(主机系统或虚拟机系统)是否联网。而对非网络通信接口的控制用途是帮助开启一条(或多条)非网络数据传输通道,实现虚拟机系统的文件数据在数据管理软件的协助下向一个(或多个)操作系统(包括:主机系统、其他虚拟机系统)进行备份。
S53,主机系统和多个虚拟机系统之间的文件数据处理流程介绍如下。
S531,对于一个虚拟机系统要在主机系统上进行备份的情况。首先需要打开的非网络传输通道(如图6虚线框所示),即开启该虚拟机系统的非网络通信接口的大开关和小开关,开启主机的非网络通信接口小开关。然后这两个系统上的数据管理软件之间通过已经打开的非网络传输通道建立连接、展开通信,完成虚拟机系统的文件数据在主机系统上的备份,如图6所示。
S532,对于一个虚拟机系统要在另一台虚拟机系统上进行备份的情况。首先需要打开非网络传输通道(如图7虚线框所示),即开启该虚拟机系统的非网络通信接口的大开关和小开关,开启另一台虚拟机系统的非网络通信接口的大开关和小开关。然后这两个系统上的数据管理软件之间通过已经打开的非网络传输通道建立连接、展开通信,完成虚拟机系统的文件数据在另一台虚拟机系统上的备份,如图7所示。
S533,不同于S531、S532实现的在两个操作系统之间进行的数据备份情况,本专利进一步实现了多个操作系统之间的备份。例如:对于一个虚拟机系统需要在多个其它系统上进行备份的情况。首先需要打开非网络传输通道 (如图8虚线框所示),即开启该虚拟机系统的非网络通信接口的大开关和小开关,开启其他(一台或多台)操作系统的非网络通信接口的开关(如果是主机系统就开启小开关,如果是虚拟机系统就开启大开关和小开关)。然后多个系统上的数据管理软件之间可以通过已经打开的非网络传输通道建立连接、展开通信,完成文件数据的备份,如图8所示。
S6,用于文件备份的操作系统(例如主机系统、虚拟机系统)不处理备份文件(不包含系统上数据管理软件对文件的操作),以防止可能存在的病毒文件对备份文件的操作系统的攻击、感染。
S7,当虚拟机系统受到网络病毒攻击(如文件加锁、篡改以至于用户无法恢复),用户可以在虚拟机系统上通过数据管理软件从先前备份的操作系统上(例如:主机系统、其他虚拟机系统)的数据管理软件那里获得备份文件 (前提是开启相关操作系统在S521、S522中描述的开关),实现文件快速恢复。
这里说明的设备数量和处理规模是用来简化本发明的说明。对本发明的基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法的应用、修改和变化对本领域的技术人员来说是显而易见的。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用。它完全可以被适用于各种适合本发明的领域。对于熟悉本领域的人员而言,可容易地实现另外的修改。因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (4)
1.一种基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,其特征在于,包括:
S1,在计算机上除安装主控操作系统OS1外,至少还安装有一个虚拟操作系统OS2;
S2,通过OS1对各OS2的连网通断状态进行控制;
其中,在计算机上能够采用OS1或OS2进行数据处理,但与网络进行数据通信只能采用OS2以实现;
S3,OS1与OS2,以及OS2与OS2之间通过非网络接口进行数据通信,实现对任意一个OS2上数据的备份操作,在S3中,OS1上设置有第一数据管理软件,各OS2上设置有对应的第二数据管理软件,以基于受OS1与各OS2控制的非网络接口与总线的配合,实现OS1与各OS2之间的数据通信;
在S2中,OS1对各OS2的连网通断状态进行控制包括:
对OS2与互联网的连通状态控制,以及对OS2与内网的连通状态控制;
在S2中,在OS1与各OS2上分别通过相应的程序对相关参数进行设置,实现各自与网络之间通断状态的切换,以在其各自与网络连接的通信链路上形成对应的第一软开关;
其中,各OS2在与网络连接的通信链路上还配置有与OS1相配合的第二软开关,以实现OS1对各OS2网络连接状态的总控制;
在S3中,通过对OS1、各OS2上的相关参数进行设置,实现OS1、各OS2与总线之间数据传输通断状态的切换,以在OS1、各OS2与总线构成的通信链路上形成对应的第三软开关;
各OS2在与总线连接的通信链路上,还配置有与OS1相配合的第四软开关,以实现OS1对各OS2数据传输状态的总控制。
2.如权利要求1所述的基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,其特征在于,所述第一软开关,第二软开关的通断状态基于用户给出的触发信号以切换,进而对OS1以及各OS2与网络之间形成的通信链路连通状态进行控制。
3.如权利要求1所述的基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,其特征在于,在S3中,用户进行数据处理的各种文件数据均被配置为存储于对应的OS2中,以通过对应的第二数据管理软件进行数据管理;
所述第三软开关,第四软开关的通断状态基于用户给出的触发信号以切换,进而对OS1以及各OS2与总线之间形成的数据通信链路连通状态进行控制;
其中,OS1与各OS2通过第一数据管理软件以及第四软开关,实现数据文件在OS2上的文件备份;
OS2与OS2之间通过第二数据管理软件,以及相配合的第三软开关,第四软开关,实现数据文件在OS2在OS2上的文件备份。
4.如权利要求1所述的基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法,其特征在于,还包括:
S4,用于备份数据文件的OS2或OS1被配置为不处理任何的备份数据文件,以防止病毒对该备份OS2或OS1的感染;
S5,在OS2受到网络病毒攻击,文件数据无法恢复时,通过第二数据管理软件、第一数据管理软件的配合,实现OS2与OS1或OS2与OS2之间的数据通信,以获取对应的备份文件数据,实现文件的快速恢复。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711416229.3A CN108134792B (zh) | 2017-12-25 | 2017-12-25 | 基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711416229.3A CN108134792B (zh) | 2017-12-25 | 2017-12-25 | 基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108134792A CN108134792A (zh) | 2018-06-08 |
CN108134792B true CN108134792B (zh) | 2020-12-29 |
Family
ID=62392629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711416229.3A Active CN108134792B (zh) | 2017-12-25 | 2017-12-25 | 基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108134792B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109922054A (zh) * | 2019-02-25 | 2019-06-21 | 贵阳忆联网络有限公司 | 一种网络安全隔离系统及方法 |
CN114374535B (zh) * | 2021-12-09 | 2024-01-23 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101064629A (zh) * | 2006-04-26 | 2007-10-31 | 英业达股份有限公司 | 实现虚拟远程设备的系统及其方法 |
CN102685136A (zh) * | 2012-05-18 | 2012-09-19 | 深信服网络科技(深圳)有限公司 | 一种多网络环境隔离方法及终端 |
CN104461414A (zh) * | 2013-09-16 | 2015-03-25 | 研祥智能科技股份有限公司 | 多屏显示控制终端和方法 |
CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
CN107111512A (zh) * | 2016-12-21 | 2017-08-29 | 深圳前海达闼云端智能科技有限公司 | 实现对另一操作系统操作的方法、装置及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9582665B2 (en) * | 2014-01-21 | 2017-02-28 | Operation and Data integrity Ltd. | Technologies for protecting systems and data to prevent cyber-attacks |
-
2017
- 2017-12-25 CN CN201711416229.3A patent/CN108134792B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101064629A (zh) * | 2006-04-26 | 2007-10-31 | 英业达股份有限公司 | 实现虚拟远程设备的系统及其方法 |
CN102685136A (zh) * | 2012-05-18 | 2012-09-19 | 深信服网络科技(深圳)有限公司 | 一种多网络环境隔离方法及终端 |
CN104461414A (zh) * | 2013-09-16 | 2015-03-25 | 研祥智能科技股份有限公司 | 多屏显示控制终端和方法 |
CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
CN107111512A (zh) * | 2016-12-21 | 2017-08-29 | 深圳前海达闼云端智能科技有限公司 | 实现对另一操作系统操作的方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN108134792A (zh) | 2018-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3391274B1 (en) | Dual memory introspection for securing multiple network endpoints | |
KR101150123B1 (ko) | 네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템 | |
US9467470B2 (en) | System and method for local protection against malicious software | |
EP2774072B1 (en) | System and method for transitioning to a whitelist mode during a malware attack in a network environment | |
EP1677484B1 (en) | Method and system for distributing security policies | |
US8595817B2 (en) | Dynamic authenticated perimeter defense | |
US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
US20120082063A1 (en) | Quarantine device, quarantine method, and computer-readable storage medium | |
Firoozjaei et al. | An evaluation framework for industrial control system cyber incidents | |
CN102208004B (zh) | 一种基于最小化特权原则的软件行为控制方法 | |
US9245147B1 (en) | State machine reference monitor for information system security | |
JP2003256234A (ja) | 抗脆弱性サーバ装置及びソフトウェア | |
CN108134792B (zh) | 基于虚拟化技术在计算机系统中实现防御网络病毒攻击的方法 | |
Huddleston et al. | How vmware exploits contributed to solarwinds supply-chain attack | |
JP5307238B2 (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
US20050076236A1 (en) | Method and system for responding to network intrusions | |
CN115549950A (zh) | 一种基于虚拟化的工业控制设备的安全防护系统 | |
Thang et al. | EVHS-Elastic Virtual Honeypot System for SDNFV-Based Networks | |
KR100707941B1 (ko) | 서비스거부 공격하에서 컴퓨터 클러스터 시스템의 생존성증대 방법 | |
Hirata et al. | INTERCEPT+: SDN support for live migration-based honeypots | |
Yun et al. | Design and Implementation of Power Network Security Protection System Based on Internet of Things | |
Lin et al. | Research on the vulnerability of software defined network | |
CN1561030A (zh) | 一种用于网络安全的物理隔离卡 | |
CN2681467Y (zh) | 一种用于网络安全的物理隔离卡 | |
TOUMI et al. | COOPERATIVE TRUST FRAMEWORK BASED ON HY-IDS, FIREWALLS, AND MOBILE AGENTS TO ENHANCE SECURITY IN A CLOUD ENVIRONMENT |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |