CN109218286A - 虚拟化环境下实现无代理edr的方法及装置 - Google Patents

Abstract

本发明提供了一种虚拟化环境下实现无代理EDR的方法及装置，涉及信息安全技术领域，用于解决虚拟化环境下EDR运行占用大量物理设备资源导致物理设备性能降低的问题。该方法的虚拟化环境包括安装有服务器VM及至少一个终端VM的物理服务器，该物理服务器的物理硬件与终端VM的操作系统以及服务器VM之间设有中间软件层，该方法包括：服务器VM从中间软件层获取包括终端VM系统事件及终端VM网络数据的终端VM事件并对终端VM事件进行威胁检测，根据威胁检测结果生成事件处理命令，最后将事件处理命令发送给中间软件层，中间软件层及终端VM根据从中间软件层中获取的对应的事件处理命令对终端VM事件进行处理。本发明用于降低EDR运行所占用的物理设备资源。

Description

虚拟化环境下实现无代理EDR的方法及装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种虚拟化环境下实现无代理EDR的方法及装置。

背景技术

目前，随着黑客技术的不断发展，很多黑客能够利用定制的恶意程序绕过传统的防病毒软件或者防火墙入侵企业内部系统。因此为了应对黑客不断升级的恶意攻击，很对企业都选择兼备实时监控、检测、威胁分析以及响应等多种功能的EDR(EndpointDetection and Response，终端检测与响应)产品。

现有技术中的EDR产品通常都是首先在终端的内核态监测终端的终端系统行为以及网络数据包等监测信息，然后在终端的用户态通过EDR Agent即EDR代理来收集上述监测信息并将其发送至服务器，以供服务器对监测信息进行威胁检测及响应。但是，实际情况中，由于很多大型企业都是在虚拟化环境中开展业务，终端是大量的虚拟机，如果在每个虚拟机上安装EDR产品，那么通过EDR Agent收集的监测信息将会占用大量物理资源，例如EDRAgent一直处于运行状态会持续占用CPU(Central Processing Unit，中央处理器)资源，EDR Agent需要占用大量的物理内存以缓存收集的终端系统行为以及网络数据包等监测信息，EDR Agent需要占据大量的网络带宽以将监测信息发送给服务器等等，上述情况严重影响物理设备性能，致使物理设备性能大大明显下降，甚至影响用户业务的正常运转，给用户业务使用造成诸多不便。

发明内容

本发明的实施例提供一种虚拟化环境下实现无代理EDR的方法及装置，用于解决现有技术中虚拟化环境下EDR运行占用大量物理设备资源导致物理设备性能降低的技术问题。

为了达到上述目的，本发明采用如下技术方案：

第一方面，本发明提供一种虚拟化环境下实现无代理EDR的方法，虚拟化环境包括：安装有服务器VM以及至少一个终端VM的物理服务器，物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；该方法包括：

服务器VM从中间软件层获取终端VM事件，其中终端VM事件至少包括：终端VM系统事件以及终端VM网络数据；服务器VM对终端VM事件进行威胁检测，根据威胁检测结果生成事件处理命令；服务器VM将将事件处理命令发送给中间软件层，以便中间软件层以及终端VM根据从中间软件层中获取的对应的事件处理命令对终端VM事件进行处理。

本发明能够在物理服务器上安装服务器虚拟机即服务器VM，通过服务器VM对终端VM事件进行威胁检测，并根据威胁检测结果生成事件处理命令，本发明能够利用设置在物理服务器物理硬件与终端VM的操作系统以及服务器VM之间的中间软件层来收集并传输终端VM事件，以使终端VM以及中间软件层能够根据从中间软件层中获取对应的事件处理命令对终端VM事件进行处理，以实现在无需设置EDR Agent的情况下完成对终端VM事件的威胁检测与响应的目的。在此过程中，由于服务器VM设置在物理服务器本地，因此与终端VM事件相关的数据以及命令的传输也在本地进行，大大减少了传输和缓存终端VM系统事件及事件处理命令时占用的内存以及CPU资源，并且无需消耗网络带宽资源，有效提升了部署有EDR的虚拟化环境下的用户设备的性能。另外，本发明无需设置EDR Agent，因此也能够有效降低虚拟化环境的管理复杂度和维护成本；同时，本发明中终端VM事件的收集和传输过程不再在终端VM的用户态进行，因此还能够有效降低因运行在用户态的程序被攻击导致EDRAgent被攻击的可能性，使虚拟化环境下的EDR产品更安全。

可选地，物理服务器连接集中管理服务器；虚拟化环境下实现无代理EDR的方法还包括：服务器VM将终端VM系统事件的统计信息发送至集中管理服务器，以便于集中管理服务器向用户设备发送用户设备查询的事件信息；服务器VM接收集中管理服务器发送的事件命令，并执行与事件命令对应的事件处理操作；其中事件命令由用户设备生成。

可选地，服务器VM从中间软件层获取终端VM事件具体为：服务器VM从中间软件层的共享内存中获取终端VM系统事件，以及服务器VM从中间软件层的网络数据包重定向驱动中获取终端VM网络数据；其中终端VM系统事件以及终端VM网络数据由终端VM以及网络数据包重定向驱动预先存入中间软件层的共享内存；服务器VM将事件处理命令发送给中间软件层具体为：服务器VM将事件处理命令存入中间软件层的共享内存，以便于终端VM以及中间软件层的网络数据包重定向驱动从中间软件层的共享内存获取事件处理命令；其中，共享内存至少包括：用于获取终端VM网络数据的网络数据包重定向驱动，用于存储和传输终端VM系统事件的数据通道，以及用于存储和传输事件处理命令的命令通道。

可选地，服务器VM对终端VM系统事件进行威胁检测，根据威胁检测结果生成事件处理命令具体为：服务器VM获取终端VM网络数据的对应的终端VM网络事件；服务器VM判断终端VM系统事件以及终端VM网络事件中是否存在与服务器VM中的威胁情报数据匹配的入侵威胁数据；若判断结果为是，则生成与入侵威胁数据对应的事件处理命令。

可选地，统计信息至少包括：终端VM的终端VM系统事件的数量、终端VM的终端VM系统事件对应的运行状态以及实时告警信息；虚拟化环境下实现无代理EDR的方法还包括：服务器VM生成事件处理命令时，记录实时告警信息。

可选地，事件命令至少包括：监控启动命令、监控关闭命令、检索命令、以及威胁情报更新命令；则方法还包括：服务器VM将终端VM系统事件存储至本地数据库；服务器VM接收集中管理服务器发送的事件命令，执行与事件命令对应的事件处理操作具体为：服务器VM接收集中管理服务器发送的检索命令，服务器VM根据检索命令中包含的检索条件对本地数据库进行检索，并向集中管理服务器返回对应的检索结果；服务器VM接收集中管理服务器发送的监控启动命令以及监控关闭命令，服务器VM根据监控启动命令控制终端启动终端VM系统事件监控，以及服务器VM根据监控关闭命令控制终端VM停止终端VM系统事件监控；服务器VM接收集中管理服务器发送的威胁情报更新命令，根据威胁情报更新命令同步更新服务器VM中的威胁情报数据。

第二方面，本发明提供一种虚拟化环境下实现无代理EDR的装置，该虚拟化环境包括：安装有服务器VM以及至少一个终端VM的物理服务器，物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；无代理EDR的装置应用于服务器VM，虚拟化环境下实现无代理EDR的装置包括：获取模块，用于从中间软件层获取终端VM事件，其中终端VM事件至少包括：终端VM系统事件以及终端VM网络数据；威胁检测处理模块，用于对从获取模块中获取的终端VM系统事件进行威胁检测，根据威胁检测结果生成事件处理命令；第一命令处理模块，用于将威胁检测处理模块生成的事件处理命令发送给中间软件层，以便中间软件层以及终端VM根据从中间软件层中获取的对应的事件处理命令对终端VM事件进行处理。

可选地，无代理EDR的装置连接集中管理服务器，无代理EDR的装置还包括：统计信息处理模块，用于将终端VM系统事件的统计信息发送至集中管理服务器，以便于集中管理服务器向用户设备发送用户设备查询的事件信息；第二命令处理模块，用于接收集中管理服务器发送的事件命令，并执行与事件命令对应的事件处理操作；其中事件命令由用户设备生成。

可选地，获取模块具体用于：从中间软件层的共享内存中获取终端VM系统事件，以及从中间软件层的网络数据包重定向驱动中获取终端VM网络数据；其中终端VM系统事件以及终端VM网络数据由终端VM以及网络数据包重定向驱动预先存入中间软件层的共享内存；第一命令处理模块具体用于：将事件处理命令存入中间软件层的共享内存，以便于终端VM以及中间软件层的网络数据包重定向驱动从中间软件层的共享内存获取事件处理命令；其中，共享内存至少包括：用于获取终端VM网络数据的网络数据包重定向驱动，用于存储和传输终端VM事件的数据通道，以及用于存储和传输事件处理命令的命令通道。

可选地，威胁检测处理模块具体用于：

获取终端VM网络数据的对应的终端VM网络事件；判断终端VM系统事件以及终端VM网络事件中是否存在与服务器VM中的威胁情报数据匹配的入侵威胁数据；若判断结果为是，则生成与入侵威胁数据对应的事件处理命令。

可选地，统计信息至少包括：终端VM的终端VM系统事件的数量、终端VM的终端VM系统事件对应的运行状态以及实时告警信息；则装置还包括：记录模块，用于生成事件处理命令时，记录实时告警信息。

可选地，事件命令至少包括：监控启动命令、监控关闭命令、检索命令、以及威胁情报更新命令；则装置还包括：事件存储模块，用于将终端VM系统事件存储至本地数据库；第二命令处理模块具体用于：接收集中管理服务器发送的检索命令，服务器VM根据检索命令中包含的检索条件对本地数据库进行检索，并向集中管理服务器返回对应的检索结果；接收集中管理服务器发送的监控启动命令以及监控关闭命令，根据监控启动命令控制终端启动终端VM系统事件监控，以及根据监控关闭命令控制终端VM停止终端VM系统事件监控；接收集中管理服务器发送的威胁情报更新命令，根据威胁情报更新命令同步更新服务器VM中的威胁情报数据。

第三方面，本发明提供一种物理服务器，该物理服务器安装有服务器VM以及至少一个终端VM，该物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；物理服务器还包括上述第二方面的虚拟化环境下实现无代理EDR的装置，该无代理EDR的装置应用于服务器VM。

第四方面，本发明提供一种虚拟化环境下实现无代理EDR的系统，该系统包括至少一个用户设备、至少一个物理服务器、以及集中管理服务器；其中集中管理服务器连接至少一个物理服务器以及至少一个用户设备，物理服务器安装有服务器VM以及至少一个终端VM，物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；物理服务器包括上述任一虚拟化环境下实现无代理EDR的装置，EDR装置应用于服务器VM；用户设备用于生成事件命令并通过集中管理服务器将事件命名发送给服务器VM，以及用于接收服务器VM通过集中管理服务器发送的用户设备查询的事件信息。

可以理解地，上述提供的任一种虚拟化环境下实现无代理EDR的装置、物理服务器以及虚拟化环境下实现无代理EDR的系统均用于执行上文所提供的第一方面对应的方法，因此，其所能达到的有益效果可参考上文第一方面的方法以及下文具体实施方式中对应的方案的有益效果，此处不再赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。

图1为本发明一实施例提供的一种EDR产品结构示意图；

图2为本发明一实施例提供的一种中间软件层的部署结构示意图；

图3a为本发明一实施例提供的一种虚拟化环境下实现无代理EDR的架构图；

图3b为本发明一实施例提供的一种虚拟化环境下实现无代理EDR的架构图；

图4为本发明一实施例提供的另一种虚拟化环境下实现无代理EDR的方法的流程图；

图5为本发明一实施例提供的一种无代理EDR的信息交互示意图；

图6为本发明一实施例提供的一种虚拟化环境下实现无代理EDR的装置的功能结构框图；

图7为本发明一实施例提供的另一种虚拟化环境下实现无代理EDR的装置的功能结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。术语“第一”和“第二”等的使用不表示任何顺序，可将上述术语解释为所描述对象的名称。在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外，在本申请实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。

EDR(Endpoint Detection and Response，终端检测与响应)是指通过监控终端的行为来检测到针对终端的恶意入侵并及时做出响应。目前常见的EDR产品如图1所示，在终端的内核态通过行为监控驱动监控终端的终端系统事件、以及通过网络过滤驱动监控网络数据并其发送给网络包分析引擎进行分析以获取对应的终端网络事件；代理(即：代理Agent)收集来自行为监控驱动以及网络包分析引擎发送的终端系统事件以及终端网络事件，并将上述事件通过网络发送至服务器。服务器接收上述事件，并根据威胁情报库对接收的上述事件进行威胁检测，然后根据威胁检测结果产生响应策略并将上述响应策略反馈给代理，以供代理根据响应策略对威胁检测结果进行响应处理；同时，服务器还可以将收的上述事件进行存储，以供用户对事件进行检索，对入侵威胁做溯源分析和取证。

但是，上述EDR产品在部署到虚拟化环境中时，会出现大量占用物理设备的CPU、内存以及网络带宽等物理设备资源的情况，导致物理设备性能明显下降，甚至影响物理设备中原有业务的正常运转，给用户业务使用造成诸多不便。经分析产生上述问题的原因如下：虚拟化环境中，EDR产品需要在每个终端VM(Virtual Machine，虚拟机)部署代理Agent，每个终端VM上部署的代理Agent一直处于运行状态，因此持续消耗和占用物理设备的CPU资源；代理Agent需要缓存收集的网络数据以及终端行为事件(即后续介绍中的终端VM网络数据以及终端VM系统事件)等信息，因此会大量占用物理设备的内存；同时代理Agent需要不断向服务器上传收集到的事件以及网络数据，因此会大量占用物理设备的网络带宽等。由此可见，EDR产品中所部署的代理Agent是导致EDR产品部署到虚拟化环境中时出现大量占用物理设备资源情况的根本原因。

本发明针对上述问题，提出了一种虚拟化环境下实现无代理EDR的方法，该方法在虚拟化环境下的终端VM的内核态中设置一个行为监控驱动，并将上述代理Agent集成在虚拟机工具中进行部署，具体为利用运行在物理服务器和操作系统之间的中间软件层Hypervisor来实现无代理EDR。图2示出了在虚拟化环境下虚拟机管理软件中的中间软件层Hypervisor的部署示意图。如图2所示，终端VM1-终端VMn上运行有与该终端VM对应的应用程序及客户端的操作系统(例如终端VM1上运行有与其对应的应用程序1及客户端的操作系统1，终端VMn上运行有与其对应的应用程序n及客户端的操作系统n)，中间软件层安装和运行在客户端的操作系统以及物理硬件之间。中间软件层允许多个终端VM的客户端的操作系统和应用程序共享一套物理硬件，并且可以协调上述多个操作系统访问服务器上的用户设备(例如手机等移动终端、个人计算机PC机等)。具体实施中，基于Hypervisor的常见虚拟机管理软件有VMware ESX和ESXi，微软的Hyper-V，Citrix的XENServer，Linux的KVM等等。

本发明利用中间软件层Hypervisor建立一种虚拟化环境下实现无代理EDR架构，如图3a和图3b所示。在图3a中，虚拟化环境包括物理服务器300、服务器VM31、至少一个终端VM32、中间软件层33以及物理硬件34。其中，服务器VM31以及至少一个终端VM32安装在物理服务器300上，物理服务器300的物理硬件34与至少一个终端VM32的操作系统以及服务器VM31之间设置有用于提供虚拟化的中间软件层33。其中，中间软件层33还可以进一步包括共享内存以及网络数据包重定向驱动332。

基于图3a提供的虚拟化环境下无代理EDR的架构，本发明提供的一种虚拟化环境下实现无代理EDR的方法，参照图4，该方法包括如下步骤：

步骤S410：服务器VM从中间软件层获取终端VM事件；其中终端VM事件至少包括：终端VM系统事件以及终端VM网络数据。

在执行本步骤之前，服务器VM31可以对终端VM32进行注册。具体地，服务器VM31启动后首先通过中间软件层33提供的API接口创建并初始化中间软件层的共享内存，其中上述共享内存包括数据通道3311以及命令通道3312；终端VM32启动后通过行为监控驱动向共享内存的命令通道3312发送注册请求，服务器VM31监听共享内存的命令通道3312，在监听到注册请求时，服务器VM31为该终端VM32分配唯一的标识ID并生成对应的注册信息，并向终端VM32返回响应确认消息，此时终端VM32注册成功。注册成功后的服务器VM31默认通过命令通道3312向终端VM32发送对应的事件处理命令(对应步骤S430中的事件处理命令)，以及通过监听数据通道3311以获取存入数据通道3311的终端VM事件；注册成功后的服务器VM31向网络数据包重定向驱动332发送启动网络数据监控的通知消息以使网络数据包重定向驱动332开始监控进出终端VM32的网络数据包。

具体实施中，终端VM事件至少包括终端VM系统事件以及终端VM网络数据。其中每个终端VM32上设置行为监控驱动，行为监控驱动在终端VM32启动后监控该终端VM32上发生的终端VM系统事件并将其预先存入共享内存的数据通道3311。网络数据包重定向驱动332在接收到启动网络数据监控的通知消息后监控进出终端VM32的网络数据包并将其预先存入共享内存的数据通道3311。

其中，行为监控驱动可以根据终端VM32上的操作系统的不同对应设置。例如，在windows OS中，行为监控驱动可以基于文件微过滤驱动实现，具体可以为针对全部终端VM系统事件添加Post回调函数，以通过上述回调函数监控终端VM32上发生的终端VM系统事件。在Linux OS(Operating System)和Mac OS上，行为监控驱动可以通过替换内核态中的系统调用表中的相关函数实现，例如可以采用预设的自定义函数替换系统调用表中的相关函数，使终端VM32上的操作系统通过系统调用表调用上述自定义函数以监控对终端VM32上发生的终端VM系统事件。上述自定义函数可以由本领域技术人员根据实际情况进行设置，本发明对此不作限定。上述终端VM系统事件具体可以包括文件操作、进程操作、注册表操作等与终端VM32系统相关的操作。具体实施中，文件操作可以包括如文件创建、文件打开、文件关闭、文件写入、以及文件修改等与文件相关的操作；进程操作可以包括如进程启动、进程停止以及进程加载等与进程相关的操作；注册表操作可以包括如注册表创建、注册表打开、注册表读取、注册表关闭、注册表修改、注册表值修改、注册表值删除、注册表重命名等与注册表相关的操作。可以理解的是，上述所列举的各类操作仅仅是示例性的，本发明中终端VM系统事件包括但不限于上述所列举的各类操作。

另外，当终端VM32卸载行为监控驱动时，终端VM32可以向服务器VM31发送退出请求，服务器VM31根据上述退出请求删除服务器VM31中该终端VM32的标识ID，以完成对终端VM32的注销。

步骤S420：服务器VM31对终端VM事件进行威胁检测，根据威胁检测结果生成事件处理命令。

其中，服务器VM31首先对获取的终端VM网络数据进行分析以产生与终端VM网络数据对应的终端VM网络事件。具体如图3a所示，服务器VM31中可以设置网络数据包分析引擎，网络数据包分析引擎通过中间软件层33提供的API(Application ProgrammingInterface，应用程序编程接口)接口获取网络数据包重定向驱动存入数据通道3311中的网络数据包，并通过对网络数据包进行重组以及协议分析等处理生成对应的终端VM网络事件，然后对上述终端VM网络事件以及从数据通道3311中获取的终端VM系统事件进行处理(对应图3a中的事件处理)。服务器VM31中存储有威胁情报数据，服务器VM31根据上述威胁情报数据对终端VM系统事件以及终端VM网络事件进行威胁检测。具体实施中，服务器VM31可以根据威胁情报数据判断终端VM系统事件以及终端VM网络事件中是否存在与服务器VM31中威胁情报数据匹配的入侵威胁数据，若判断结果为是，则生成与上述入侵威胁数据对应的事件处理命令(对应图3a中的命令处理)。

其中，可选地，服务器VM还可以将步骤S410中获取的终端VM事件存储至本地数据库(对应图3a中事件存储)，以供与服务器VM连接外部设备对服务器VM收集到的终端VM事件等信息进行检索(对应图3a中事件检索)。

步骤S430：服务器VM31将事件处理命令发送给中间软件层，以便中间软件层以及终端VM32根据从中间软件层中获取的对应的事件处理命令对终端VM事件进行处理。

服务器VM将事件处理命令存入共享内存的命令通道3312，以便于终端VM32以及中间软件层的网络数据包重定向驱动332从命令通道3312中获取上述事件处理命令。

其中，终端VM中的行为监控驱动监听共享内存的命令通道3312中的事件处理命令，并根据事件处理命令执行相应的威胁响应动作，例如终止进程等，以实现终端VM的主动防御；网络数据包重定向驱动监听共享内存的命令通道3312中的事件处理命令，以实现对恶意网络数据包进行拦截等防御操作。

本发明能够在物理服务器上安装服务器虚拟机即服务器VM，通过服务器VM对终端VM事件进行威胁检测，并根据威胁检测结果生成事件处理命令，本发明能够利用设置在物理服务器物理硬件与终端VM的操作系统以及服务器VM之间的中间软件层来收集并传输终端VM事件，以使终端VM以及中间软件层能够根据从中间软件层中获取对应的事件处理命令对终端VM事件进行处理，以实现在无需设置EDR Agent的情况下完成对终端VM事件的威胁检测与响应的目的。在此过程中，由于服务器VM设置在物理服务器本地，因此与终端VM事件相关的数据以及命令的传输也在本地进行，大大减少了传输和缓存终端VM系统事件及事件处理命令时占用的内存以及CPU资源，并且无需消耗网络带宽资源，有效提升部署有EDR的虚拟化环境下的用户设备的性能。另外，本发明无需设置EDR Agent，因此也能够有效降低虚拟化环境的管理复杂度和维护成本；同时，本发明中终端VM事件的收集和传输过程不再在终端VM的用户态进行，因此还能够有效降低因运行在用户态的程序被攻击导致EDRAgent被攻击的可能性，使虚拟化环境下的EDR产品更安全。

另外，在基于图3a提供的虚拟化环境下无代理EDR的架构基础上，本发明还提供了一种如图3b所示的优选方案，该优选方案在图3a提供的虚拟化环境下无代理EDR的架构基础上还进一步包括集中管理服务器35，其中集中管理服务器35连接一个或多个物理服务器300。下面对图3b所示优选方案进行介绍。

图3b提供的虚拟化环境下无代理EDR的架构中服务器VM对终端VM进行注册的过程如图5所示，服务器VM启动后首先通过中间软件层提供的API接口创建并初始化中间软件层的共享内存，其中上述共享内存包括命令通道以及数据通道，并监听上述命令通道以及数据通道；同时服务器VM向集中管理服务器35发送威胁情报更新命令S1，以从集中管理服务器35中获取最新威胁情报数据。终端VM启动后通过行为监控驱动向共享内存的命令通道发送注册请求S2，服务器VM监听共享内存的命令通道，在监听到注册请求S2时，服务器VM为该终端VM分配唯一的标识ID并生成对应的注册信息，同时服务器VM向集中管理服务器35发送终端VM的注册通知S4并接收集中管理服务器35返回的响应确认消息S5，并向终端VM返回响应确认消息S6，此时终端VM注册成功。注册成功后服务器VM默认通过命令通道通知终端VM启动监控，通知数据包重定向驱动开始监控进出该终端VM的网络数据包，并通过命令通道通知集中管理服务器更新该终端VM的状态为在线监控状态。

其中，服务器VM还可以通过预设机制(例如心跳机制)定期监测终端VM的工作状态，并定期向集中管理服务器更新终端VM的状态，其中上述工作状态包括在线状态、离线状态以及监控状态。例如，若终端VM关机，该终端VM在集中管理服务上对应更新为离线状态；若用户通过集中管理服务器下发了暂停监控命令，则更新终端VM的状态为暂停监控状态。如图5所示，服务器VM监测终端VM状态，当终端VM状态更新时，服务器VM向集中管理服务器35发送终端VM状态更新信息S9，集中管理服务35对应更新其上的终端VM状态，并返回响应确认消息S10。

另外，终端VM卸载行为监控驱动时，如图5所示，终端VM向服务器VM发送退出请求S11，服务器VM根据上述退出请求向集中管理服务器发送终端VM退出通知S12，并向服务器VM返回响应确认消息S13。服务器VM删除服务器VM中该终端VM的标识ID，并向终端VM返回响应确认消息S14，完成终端VM的注销过程。

在图3b提供的虚拟化环境下无代理EDR的架构中，在执行完步骤S430之后，本发明提供的虚拟化环境下无代理EDR的方法还可以包括：

服务器VM接收集中管理服务器发送的事件命令，并执行与事件命令对应的事件处理操作；其中事件命令由用户设备生成。

其中，事件命令至少包括：监控启动命令、监控关闭命令、检索命令、以及威胁情报更新命令。服务器VM将步骤S410中获取的终端VM事件存储至本地数据库(对应图3b中事件存储)。具体地，在将终端VM事件存储至本地数据库之前，服务器VM还可以对终端VM事件进行对终端VM事件进行的重复性过滤，压缩以及加密等预处理，以节省存储空间并保证数据存储的安全。

若服务器VM接收收集中管理服务器35发送的检索命令，则服务器VM根据检索命令中包含的检索条件对本地数据库进行检索，并向集中管理服务器返回对应的检索结果(对应图3b中事件检索)。上述过程用于对入侵威胁进行溯源取证。具体地，用户可以在集中管理服务器上通过Web界面(图3b中Web服务)设置检索条件，集中管理服务器根据用户设定的检索条件匹配相应的一个或多个服务器VM，并向服务器VM发送检索命令。服务器VM根据检索命令中包含的检索条件查询本地数据库，并将查询到的原始事件作为检索结果发送给集中管理服务器35(对应图3b中统计信息收集)。其中，若集中管理服务器同时收到来自多个服务器VM的检索结果，集中管理服务器还可以进一步对上述检索结果进行合并处理。集中管理服务器通过Web界面展示上述检索结果以向用户展示查询到的原始事件；同时集中管理服务器还可以对上述检索结果进行分析以获取溯源分析结果，上述溯源分析结果可以采用图形、图表等方式向用户展示。另外，可以理解的是，如图3b所示，用户还可以通过用户设备向Web服务发送对应的用户命令，以使用户设备与服务器VM中的事件处理以及命令处理产生命令交互以控制服务器VM。

若服务器VM接收到集中管理服务器发送的监控启动命令以及监控关闭命令，服务器VM通过中间软件层33的共享内存的命令通道将上述监控启动命令或者监控关闭命令发送给终端VM，以控制终端VM对应启动或者停止对终端VM上产生的终端VM系统事件的监控。

若服务器VM接收到集中管理服务器35发送的威胁情报更新命令，服务器VM根据威胁情报更新命令从集中管理服务器35的威胁情报中心中获取最新威胁情报数据，并将上述获取的最新威胁情报数据同步更新到服务器VM中的威胁情报数据中。

其中集中管理服务器35可以每隔预设时间间隔向服务器VM发送威胁情报更新命令，以定时更新服务器VM的威胁情报数据。上述预设时间间隔可以由本领域技术人员根据实际情况进行设定，本发明对此不作限定。

服务器VM将终端VM事件的统计信息发送至集中管理服务器，以便于集中管理服务器向用户设备发送用户设备查询的事件信息。

上述统计信息至少可以包括：终端VM事件的数量、终端VM事件对应的运行状态以及实时告警信息。

服务器VM可以通过统计服务器处理的终端VM事件的数量来获取终端VM的终端VM事件的数量；服务器VM通过分析获取的终端VM系统以获取事件终端VM的终端VM事件对应的运行状态；服务器VM可以在服务器VM生成事件处理命令时记录实时告警信息，以供集中管理服务器获取服务器VM发送的实时告警信息比对其进行统计。具体实施中，上述统计信息可用于用户对终端VM事件进行检索，对入侵威胁做溯源分析和取证，以便于集中管理服务器向用户设备发送用户设备查询的与终端VM事件相关的事件信息。

采用本发明提供的虚拟化环境下实现无代理EDR的方法，可以实现如下

有益效果：

假设物理设备上部署了1台服务器VM和100台终端VM，每个终端VM每分钟产生1M大小的事件需要送到服务器，如果按照传统的部署方式，每台终端VM通过网络向服务器发送数据(上述终端VM系统事件、终端VM网络数据以及事件处理命令等通过中间软件层传输的相关数据)，那么在这台物理设备上产生的带宽是100*8/60＝13.33Mbps，这对物理设备的带宽消耗非常可观。如果使用共享内存把数据送到本地服务器VM，假设服务器VM每秒读一次共享内存，那么仅仅需要100/60＝1.67M物理内存就可以了，这样的内存开销对于通常的高性能服务器而言几乎可以忽略不计。大大减少了对物理设备的内存以及CPU资源以及网络带宽的占用，有效提升了部署有EDR的虚拟化环境下的用户设备的性能。同时，本发明实施例还能够对终端VM事件的数量、终端VM事件对应的运行状态以及实时告警信息进行统计，以便于集中管理服务器向用户设备发送用户设备查询的与终端VM事件相关的事件信息。

图6示出了本发明提供的一种虚拟化环境下实现无代理EDR的装置600，其中上述虚拟化环境包括：安装有服务器VM以及至少一个终端VM的物理服务器，物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；无代理EDR的装置应用于服务器VM，包括：

获取模块61，用于从中间软件层获取终端VM事件，其中终端VM事件至少包括：终端VM系统事件以及终端VM网络数据。

其中，共享内存至少包括：用于获取终端VM网络数据的网络数据包重定向驱动，用于存储和传输终端VM事件的数据通道，以及用于存储和传输事件处理命令的命令通道。

获取模块61具体用于：从中间软件层的共享内存中获取终端VM系统事件，以及从中间软件层的网络数据包重定向驱动中获取终端VM网络数据；其中终端VM系统事件以及终端VM网络数据由终端VM以及网络数据包重定向驱动预先存入中间软件层的共享内存；

威胁检测处理模块62，用于对终端VM系统事件进行威胁检测，根据威胁检测结果生成事件处理命令。

威胁检测处理模块62具体用于：

获取终端VM网络数据的对应的终端VM网络事件；

判断终端VM系统事件以及终端VM网络事件中是否存在与服务器VM中的威胁情报数据匹配的入侵威胁数据；

若判断结果为是，则生成与入侵威胁数据对应的事件处理命令。

第一命令处理模块63，用于将事件处理命令发送给中间软件层，以便中间软件层以及终端VM根据从中间软件层中获取的对应的事件处理命令对终端VM事件进行处理。

第一命令处理模块63具体用于：将事件处理命令存入中间软件层的共享内存，以便于终端VM以及中间软件层的网络数据包重定向驱动从中间软件层的共享内存获取事件处理命令；

统计信息处理模块64，用于将终端VM系统事件的统计信息发送至集中管理服务器，以便于集中管理服务器向用户设备发送用户设备查询的事件信息；

统计信息至少包括：终端VM的终端VM系统事件的数量、终端VM的终端VM系统事件对应的运行状态以及实时告警信息；

第二命令处理模块65，用于接收集中管理服务器发送的事件命令，并执行与事件命令对应的事件处理操作；其中事件命令由用户设备生成。

事件命令至少包括：监控启动命令、监控关闭命令、检索命令、以及威胁情报更新命令；则装置还包括：事件存储模块，用于将终端VM系统事件存储至本地数据库；

第二命令处理模块65具体用于：

接收集中管理服务器发送的检索命令，服务器VM根据检索命令中包含的检索条件对本地数据库进行检索，并向集中管理服务器返回对应的检索结果；

接收集中管理服务器发送的监控启动命令以及监控关闭命令，根据监控启动命令控制终端启动终端VM系统事件监控，以及根据监控关闭命令控制终端VM停止终端VM系统事件监控；

接收集中管理服务器发送的威胁情报更新命令，根据威胁情报更新命令同步更新服务器VM中的威胁情报数据。

记录模块66，用于生成事件处理命令时，记录实时告警信息。

事件存储模块67，用于将终端VM系统事件存储至本地数据库。

上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，其作用在此不再赘述。

在采用集成的模块的情况下，虚拟化环境下实现无代理EDR的装置包括：存储单元、处理单元以及接口单元。处理单元用于对虚拟化环境下实现无代理EDR的装置的动作进行控制管理，例如，处理单元用于支持虚拟化环境下实现无代理EDR的装置执行图4中的各步骤。接口单元用于支持虚拟化环境下实现无代理EDR的装置与其他装置的交互；存储单元，用于存储虚拟化环境下实现无代理EDR的装置程序代码和数据。

其中，以处理单元为处理器，存储单元为存储器，接口单元为通信接口为例。其中，虚拟化环境下实现无代理EDR的装置参照图7中所示，包括通信接口701、处理器702、存储器703和总线704，通信接口701、处理器702通过总线704与存储器703相连。

处理器702可以是一个通用中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

存储器703可以是只读存储器(Read-Only Memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random AccessMemory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-onlyMemory，EEPROM)、只读光盘(Compact Disc Read-OnlyMemory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器703用于存储执行本申请方案的应用程序代码，并由处理器702来控制执行。通讯接口701用于支持虚拟化环境下实现无代理EDR的装置与其他装置的交互。处理器702用于执行存储器703中存储的应用程序代码，从而实现本申请实施例中的虚拟化环境下实现无代理EDR的方法。

本发明还提供了一种物理服务器，该物理服务器安装有服务器VM以及至少一个终端VM，物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；物理服务器还包括上述虚拟化环境下实现无代理EDR的装置，无代理EDR的装置应用于服务器VM。

本发明还提供了一种虚拟化环境下实现无代理EDR的系统，该系统包括至少一个用户设备、至少一个物理服务器、以及集中管理服务器；其中集中管理服务器连接至少一个物理服务器以及至少一个用户设备，物理服务器安装有服务器VM以及至少一个终端VM，物理服务器的物理硬件与至少一个终端VM的操作系统以及服务器VM之间设置有用于提供虚拟化的中间软件层；物理服务器还包括上述虚拟化环境下实现无代理EDR的装置，EDR装置应用于服务器VM；

用户设备用于生成事件命令并通过集中管理服务器将事件命名发送给服务器VM，以及用于接收服务器VM通过集中管理服务器发送的用户设备查询的事件信息。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如REOM/REAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims (14)

1.一种虚拟化环境下实现无代理EDR的方法，其特征在于，所述虚拟化环境包括：安装有服务器VM以及至少一个终端VM的物理服务器，所述物理服务器的物理硬件与所述至少一个终端VM的操作系统以及所述服务器VM之间设置有用于提供虚拟化的中间软件层；

所述方法包括：

所述服务器VM从所述中间软件层获取终端VM事件，其中所述终端VM事件至少包括：终端VM系统事件以及终端VM网络数据；

所述服务器VM对所述终端VM事件进行威胁检测，根据威胁检测结果生成事件处理命令；

所述服务器VM将所述事件处理命令发送给所述中间软件层，以便所述中间软件层以及所述终端VM根据从所述中间软件层中获取的对应的事件处理命令对所述终端VM事件进行处理。

2.根据权利要求1所述的虚拟化环境下实现无代理EDR的方法，所述物理服务器连接集中管理服务器；所述方法还包括：

所述服务器VM将所述终端VM事件的统计信息发送至所述集中管理服务器，以便于所述集中管理服务器向用户设备发送所述用户设备查询的事件信息；

所述服务器VM接收所述集中管理服务器发送的事件命令，并执行与所述事件命令对应的事件处理操作；其中所述事件命令由所述用户设备生成。

3.根据权利要求1所述的虚拟化环境下实现无代理EDR的方法，其特征在于，所述服务器VM从所述中间软件层获取终端VM事件具体为：所述服务器VM从所述中间软件层的共享内存中获取所述终端VM系统事件，以及所述服务器VM从所述中间软件层的网络数据包重定向驱动中获取所述终端VM网络数据；其中所述终端VM系统事件以及所述终端VM网络数据由所述终端VM以及网络数据包重定向驱动预先存入所述中间软件层的共享内存；

所述服务器VM将所述事件处理命令发送给所述中间软件层具体为：所述服务器VM将所述事件处理命令存入所述中间软件层的共享内存，以便于所述终端VM以及所述中间软件层的网络数据包重定向驱动从所述中间软件层的共享内存获取所述事件处理命令；

其中，所述共享内存至少包括：用于获取所述终端VM网络数据的网络数据包重定向驱动，用于存储和传输所述终端VM事件的数据通道，以及用于存储和传输所述事件处理命令的命令通道。

4.根据权利要求1所述的虚拟化环境下实现无代理EDR的方法，其特征在于，所述服务器VM对所述终端VM系统事件进行威胁检测，根据威胁检测结果生成事件处理命令具体为：

所述服务器VM获取所述终端VM网络数据的对应的终端VM网络事件；

所述服务器VM判断所述终端VM系统事件以及所述终端VM网络事件中是否存在与所述服务器VM中的威胁情报数据匹配的入侵威胁数据；

若判断结果为是，则生成与所述入侵威胁数据对应的事件处理命令。

5.根据权利要求2所述的虚拟化环境下实现无代理EDR的方法，其特征在于，所述统计信息至少包括：所述终端VM的终端VM系统事件的数量、所述终端VM的终端VM系统事件对应的运行状态以及实时告警信息；

所述方法还包括：所述服务器VM生成所述事件处理命令时，记录所述实时告警信息。

6.根据权利要求2所述的虚拟化环境下实现无代理EDR的方法，其特征在于，所述事件命令至少包括：监控启动命令、监控关闭命令、检索命令、以及威胁情报更新命令；则所述方法还包括：所述服务器VM将所述终端VM事件存储至本地数据库；

所述服务器VM接收所述集中管理服务器发送的事件命令，执行与所述事件命令对应的事件处理操作具体为：

所述服务器VM接收所述集中管理服务器发送的检索命令，服务器VM根据所述检索命令中包含的检索条件对所述本地数据库进行检索，并向所述集中管理服务器返回对应的检索结果；

所述服务器VM接收所述集中管理服务器发送的监控启动命令以及监控关闭命令，服务器VM根据所述监控启动命令控制所述终端启动终端VM系统事件监控，以及服务器VM根据所述监控关闭命令控制所述终端VM停止终端VM系统事件监控；

所述服务器VM接收所述集中管理服务器发送的威胁情报更新命令，根据所述威胁情报更新命令同步更新所述服务器VM中的威胁情报数据。

7.一种虚拟化环境下实现无代理EDR的装置，其特征在于，所述虚拟化环境包括：安装有服务器VM以及至少一个终端VM的物理服务器，所述物理服务器的物理硬件与所述至少一个终端VM的操作系统以及所述服务器VM之间设置有用于提供虚拟化的中间软件层；所述无代理EDR的装置应用于所述服务器VM，包括：

获取模块，用于从所述中间软件层获取终端VM事件，其中所述终端VM事件至少包括：终端VM系统事件以及终端VM网络数据；

威胁检测处理模块，用于对从所述获取模块获取的所述终端VM系统事件进行威胁检测，根据威胁检测结果生成事件处理命令；

第一命令处理模块，用于将所述威胁检测处理模块生成的所述事件处理命令发送给所述中间软件层，以便所述中间软件层以及所述终端VM根据从所述中间软件层中获取的对应的事件处理命令对所述终端VM事件进行处理。

8.根据权利要求7所述的虚拟化环境下实现无代理EDR的装置，其特征在于，所述无代理EDR的装置连接集中管理服务器，所述无代理EDR的装置还包括：

统计信息处理模块，用于将所述终端VM系统事件的统计信息发送至所述集中管理服务器，以便于所述集中管理服务器向用户设备发送所述用户设备查询的事件信息；

第二命令处理模块，用于接收所述集中管理服务器发送的事件命令，并执行与所述事件命令对应的事件处理操作；其中所述事件命令由所述用户设备生成。

9.根据权利要求7所述的虚拟化环境下实现无代理EDR的装置，其特征在于，所述获取模块具体用于：从所述中间软件层的共享内存中获取所述终端VM系统事件，以及从所述中间软件层的网络数据包重定向驱动中获取所述终端VM网络数据；其中所述终端VM系统事件以及所述终端VM网络数据由所述终端VM以及网络数据包重定向驱动预先存入所述中间软件层的共享内存；

所述第一命令处理模块具体用于：将所述事件处理命令存入所述中间软件层的共享内存，以便于所述终端VM以及所述中间软件层的网络数据包重定向驱动从所述中间软件层的共享内存获取所述事件处理命令；

其中，所述共享内存至少包括：用于获取所述终端VM网络数据的网络数据包重定向驱动，用于存储和传输所述终端VM事件的数据通道，以及用于存储和传输所述事件处理命令的命令通道。

10.根据权利要求7所述的虚拟化环境下实现无代理EDR的装置，其特征在于，所述威胁检测处理模块具体用于：

获取所述终端VM网络数据的对应的终端VM网络事件；

判断所述终端VM系统事件以及所述终端VM网络事件中是否存在与所述服务器VM中的威胁情报数据匹配的入侵威胁数据；

若判断结果为是，则生成与所述入侵威胁数据对应的事件处理命令。

11.根据权利要求7所述的虚拟化环境下实现无代理EDR的装置，其特征在于，所述统计信息至少包括：所述终端VM的终端VM系统事件的数量、所述终端VM的终端VM系统事件对应的运行状态以及实时告警信息；

则所述装置还包括：记录模块，用于生成所述事件处理命令时，记录所述实时告警信息。

12.根据权利要求7所述的虚拟化环境下实现无代理EDR的装置，其特征在于，所述事件命令至少包括：监控启动命令、监控关闭命令、检索命令、以及威胁情报更新命令；则所述装置还包括：事件存储模块，用于将所述终端VM系统事件存储至本地数据库；

所述第二命令处理模块具体用于：

接收所述集中管理服务器发送的检索命令，服务器VM根据所述检索命令中包含的检索条件对所述本地数据库进行检索，并向所述集中管理服务器返回对应的检索结果；

接收所述集中管理服务器发送的监控启动命令以及监控关闭命令，根据所述监控启动命令控制所述终端启动终端VM系统事件监控，以及根据所述监控关闭命令控制所述终端VM停止终端VM系统事件监控；

接收所述集中管理服务器发送的威胁情报更新命令，根据所述威胁情报更新命令同步更新所述服务器VM中的威胁情报数据。

13.一种物理服务器，其特征在于，所述物理服务器安装有服务器VM以及至少一个终端VM，所述物理服务器的物理硬件与所述至少一个终端VM的操作系统以及所述服务器VM之间设置有用于提供虚拟化的中间软件层；所述物理服务器还包括权利要求7-12任一项所述的虚拟化环境下实现无代理EDR的装置，所述无代理EDR的装置应用于所述服务器VM。

14.一种虚拟化环境下实现无代理EDR的系统，其特征在于，所述系统包括至少一个用户设备、至少一个物理服务器、以及集中管理服务器；其中所述集中管理服务器连接所述至少一个物理服务器以及所述至少一个用户设备，所述物理服务器安装有服务器VM以及至少一个终端VM，所述物理服务器的物理硬件与所述至少一个终端VM的操作系统以及所述服务器VM之间设置有用于提供虚拟化的中间软件层；所述物理服务器还包括权利要求7-12任一项所述的虚拟化环境下实现无代理EDR的装置，所述EDR装置应用于所述服务器VM；

所述用户设备用于生成事件命令并通过所述集中管理服务器将所述事件命名发送给所述服务器VM，以及用于接收所述服务器VM通过所述集中管理服务器发送的用户设备查询的事件信息。