CN109472147A - 一种虚拟化平台的安全检测方法及装置 - Google Patents

一种虚拟化平台的安全检测方法及装置 Download PDF

Info

Publication number
CN109472147A
CN109472147A CN201811229261.5A CN201811229261A CN109472147A CN 109472147 A CN109472147 A CN 109472147A CN 201811229261 A CN201811229261 A CN 201811229261A CN 109472147 A CN109472147 A CN 109472147A
Authority
CN
China
Prior art keywords
target program
virtual machine
inventory
program
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811229261.5A
Other languages
English (en)
Inventor
吕琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201811229261.5A priority Critical patent/CN109472147A/zh
Publication of CN109472147A publication Critical patent/CN109472147A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45575Starting, stopping, suspending or resuming virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种虚拟化平台的安全检测方法,包括:当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并获取目标程序的标识信息;按照标识信息在预设的可信清单和可疑清单中查找目标程序;当标识信息存在于可信清单时,向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当标识信息存在于可疑清单时,向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性。本发明公开的一种虚拟化平台的安全检测装置、设备及可读存储介质,也同样具有上述技术效果。

Description

一种虚拟化平台的安全检测方法及装置
技术领域
本发明涉及软件安全检测技术领域,更具体地说,涉及一种虚拟化平台的安全检测方法、装置、设备及可读存储介质。
背景技术
虚拟化平台中的每个虚拟机以进程的形式运行在宿主机上,为了保障虚拟化平台和宿主机的安全,需要逐一检测每台虚拟机中运行的程序是否安全。
在现有技术中,一般通过安全防护软件来保障虚拟机的安全。可想而知,现有的安全防护方式需要技术人员手动登录虚拟机,为每台虚拟机安装安全防护软件,并进行相应的设置,这样无疑增加了技术人员的工作量,不利于安全检测工作的顺利开展。当虚拟化平台中的虚拟机数量较多时,人工安装设置不免会出现误差,从而降低了虚拟化平台和宿主机的安全性。
因此,如何提高虚拟化平台和宿主机的安全性,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种虚拟化平台的安全检测方法、装置、设备及可读存储介质,以提高虚拟化平台和宿主机的安全性。
为实现上述目的,本发明实施例提供了如下技术方案:
一种虚拟化平台的安全检测方法,包括:
当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
判断所述标识信息存在于预设的可信清单还是可疑清单;
当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
其中,还包括:
若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步骤。
其中,还包括:
当所述查询结果为所述目标程序不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
其中,还包括:
当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
其中,所述将所述目标程序传输至预设的检测虚拟机,包括:
通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。
其中,还包括:
当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
一种虚拟化平台的安全检测装置,包括:
获取模块,用于当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
判断模块,用于判断所述标识信息存在于预设的可信清单还是可疑清单;
运行模块,用于当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
禁止模块,用于当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
其中,还包括:
查询模块,用于若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
第一执行模块,用于当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述禁止模块的步骤。
一种虚拟化平台的安全检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任意一项所述的虚拟化平台的安全检测方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的虚拟化平台的安全检测方法的步骤。
通过以上方案可知,本发明实施例提供的一种虚拟化平台的安全检测方法,包括:当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;判断所述标识信息存在于预设的可信清单还是可疑清单;当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
可见,所述方法预设了可信清单和可疑清单,当目标程序的标识信息存在于可信清单时,表明当前程序为安全程序,可以正常运行,则向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当目标程序的标识信息存在于可疑清单时,表明当前程序为不安全程序,不可以运行,则向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行,从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性;同时,本方案为程序自动执行,无需工作人员为每台虚拟机安装安全防护软件,从而减少了工作人员的工作量,还提高了工作效率。
相应地,本发明实施例提供的一种虚拟化平台的安全检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种虚拟化平台的安全检测方法流程图;
图2为本发明实施例公开的另一种虚拟化平台的安全检测方法流程图;
图3为本发明实施例公开的一种虚拟化平台的安全检测装置示意图;
图4为本发明实施例公开的一种虚拟化平台的安全检测设备示意图;
图5为本发明实施例公开的一种安全检测系统示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种虚拟化平台的安全检测方法、装置、设备及可读存储介质,以提高虚拟化平台和宿主机的安全性。
参见图1,本发明实施例提供的一种虚拟化平台的安全检测方法,包括:
S101、当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并获取目标程序的标识信息;
S102、判断标识信息存在于预设的可信清单还是可疑清单;
S103、当标识信息存在于可信清单时,向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;
S104、当标识信息存在于可疑清单时,向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。
在本实施例中,为了监测每台虚拟机中的程序,可以为每台虚拟机设置监测进程,并通过监测进程监测虚拟机中的程序的运行动态。当监测进程检测到某程序即将开始运行时,即在该程序开始运行之前,阻止该程序的运行,并获取该程序的标识信息。其中,该标识信息可以是程序的HASH值或其他特征值。
需要说明的是,所述被管虚拟机为所述虚拟化平台中的所有虚拟机。
可见,本实施例提供了一种虚拟化平台的安全检测方法,所述方法预设了可信清单和可疑清单,当目标程序的标识信息存在于可信清单时,表明当前程序为安全程序,可以正常运行,则向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当目标程序的标识信息存在于可疑清单时,表明当前程序为不安全程序,不可以运行,则向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行,从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性;同时,本方案为程序自动执行,无需工作人员为每台虚拟机安装安全防护软件,从而减少了工作人员的工作量,还提高了工作效率。
本发明实施例公开了另一种虚拟化平台的安全检测方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。
参见图2,本发明实施例提供的另一种虚拟化平台的安全检测方法,包括:
S201、当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并获取目标程序的标识信息;
S202、判断标识信息存在于预设的可信清单还是可疑清单;
S203、当标识信息存在于可信清单时,向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;
S204、当标识信息存在于可疑清单时,向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。
S205、当目标程序既不存在于可信清单,也不存在于可疑清单时,通过互联网查询目标程序的HASH值并获取查询结果;
S206、当查询结果为目标程序不具有恶意行为时,将标识信息添加至可信清单,并执行S203;
S207、当查询结果为目标程序具有恶意行为时,将标识信息添加至可疑清单,并执行S204。
其中,还包括:当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
其中,所述将所述目标程序传输至预设的检测虚拟机,包括:通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。所述检测虚拟机为所述虚拟化平台中的冗余虚拟机,其专用于检测未知程序,为避免病毒传播,检测虚拟机不接入互联网,并通过预设的安全检测通道传输程序和相应的信息。该安全检测通道的通信速度高于网络传输速度,可提高数据传输效率。当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
可见,本实施例提供了另一种虚拟化平台的安全检测方法,所述方法预设了可信清单和可疑清单,当目标程序的标识信息存在于可信清单时,表明当前程序为安全程序,可以正常运行,则向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当目标程序的标识信息存在于可疑清单时,表明当前程序为不安全程序,不可以运行,则向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行,从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性;
当所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单时,通过互联网查询所述目标程序的HASH值并获取查询结果;当查询结果为目标程序不具有恶意行为时,将标识信息添加至可信清单;当查询结果为目标程序具有恶意行为时,将标识信息添加至可疑清单;添加完成后执行相应的操作。同时,本方案为程序自动执行,无需工作人员为每台虚拟机安装安全防护软件,从而减少了工作人员的工作量,还提高了工作效率。
下面对本发明实施例提供的一种虚拟化平台的安全检测装置进行介绍,下文描述的一种虚拟化平台的安全检测装置与上文描述的一种虚拟化平台的安全检测方法可以相互参照。
参见图3,本发明实施例提供的一种虚拟化平台的安全检测装置,包括:
获取模块301,用于当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
判断模块302,用于判断所述标识信息存在于预设的可信清单还是可疑清单;
运行模块303,用于当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
禁止模块304,用于当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
其中,还包括:
查询模块,用于若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
第一执行模块,用于当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述禁止模块的步骤。
其中,还包括:
第二执行模块,用于当所述查询结果为所述目标程序不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述运行模块的步骤。
其中,还包括:
传输模块,用于当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
检测模块,用于获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
其中,所述传输模块具体用于:
通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。
其中,还包括:
恢复模块,用于当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
可见,本实施例提供了一种虚拟化平台的安全检测装置,包括:获取模块、判断模块,运行模块以及禁止模块。当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并由获取模块获取目标程序的标识信息;然后判断模块判断标识信息存在于预设的可信清单还是可疑清单;当标识信息存在于可信清单时,运行模块向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当标识信息存在于可疑清单时,禁止模块向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。如此各个模块之间分工合作,各司其职,从而提高了虚拟化平台和宿主机的安全性。
下面对本发明实施例提供的一种虚拟化平台的安全检测设备进行介绍,下文描述的一种虚拟化平台的安全检测设备与上文描述的一种虚拟化平台的安全检测方法及装置可以相互参照。
参见图4,本发明实施例提供的一种虚拟化平台的安全检测设备,包括:
存储器401,用于存储计算机程序;
处理器402,用于执行所述计算机程序时实现上述任意实施例所述的虚拟化平台的安全检测方法的步骤。
下面对本发明实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种虚拟化平台的安全检测方法、装置及设备可以相互参照。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意实施例所述的虚拟化平台的安全检测方法的步骤。
基于上述任意实施例,本发明公开的安全检测方法可运行于虚拟化平台中的管理虚拟机,即:在虚拟化平台中预设管理虚拟机和检测虚拟机,管理虚拟机用于执行本发明公开的方法,检测虚拟机用于检测未知程序的安全性,虚拟化平台中的处理业务的虚拟机为被管虚拟机。
具体的,以kvm虚拟化为例。分别在每台虚拟机中安装内核驱动进程,用来获取即将运行程序的标识信息,并对程序运行进行控制。比如程序A运行开始之前,内核驱动进程拦截此运行操作,并采集程序A的标识信息,程序A进行等待状态,当程序A接收到可以运行的指令时,才继续运行;否则,不做运行。程序A是否能运行在管理虚拟机中进行判定。
需要说明的是,检测虚拟机和管理虚拟机也是一个虚拟机,只是这二者虚拟机专用于做安全检测。管理虚拟机对系统api进行劫持,获取所有程序运行的操作内容,例如:打开了哪些文件,删除了哪些文件,创建了开机启动,服务等。检测虚拟机用于运行未知程序,未知程序可以是病毒或具有恶意行为的其他程序;当检测虚拟机中运行的程序对检测虚拟机造成了破坏,可以通过快照对检测虚拟机进行还原。另外,检测虚拟机不与其他的设备通信,也不连接互联网,以防止病毒传播。检测虚拟机与管理虚拟机通过安全通道传输信息。
在管理虚拟机中,预设有可信程序清单、可疑程序清单以及未知程序清单。可信程序清单中的程序可以直接运行,可疑程序清单中的程序不允许运行。未知程序清单为临时性名单,管理虚拟机会通过判定确定未知程序为可疑程序还是可信程序。
对程序的判定包括两种方法:(1)直接到公有开放的网站上获取程序的特征,一般是上传程序的hash值。如果开放的网站上已经有该类程序的判定,比如判定为病毒,则直接将未知程序划入可疑程序清单,禁止执行。(2)建立在(1)的基础上,如果公有开放网站没有程序的信息,则将该程序传输至检测虚拟机运行,然后将检测虚拟机传回的内容进行分析,判定程序是可疑程序还是可信程序。
请参见图5,图5为本发明实施例提供的一种安全检测系统示意图。从图5可看出,检测虚拟机与管理虚拟机通信,被管虚拟机与管理虚拟机通信。我们一方面要提升传输速度,保证程序的判定不要等待太长的时间,一方面保证检测虚拟机与被管虚拟机的隔离。还有既要保证检测虚拟机能与管理虚拟机通信,又不能使检测虚拟机的病毒传播到管理虚拟机。所以检测虚拟机与管理虚拟机的传输不使用网络通信,而是使用我们自定义的信息检测通道。管理虚拟机与被管虚拟机可以采取进程间通信的方式,即共享内存来实现通信。检测虚拟机与管理虚拟机也共享内存,实现通信。各个被管虚拟机具有唯一标签,以便于区分,该标签可以为被管虚拟机的ID或IP地址等。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种虚拟化平台的安全检测方法,其特征在于,包括:
当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
判断所述标识信息存在于预设的可信清单还是可疑清单;
当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
2.根据权利要求1所述的虚拟化平台的安全检测方法,其特征在于,还包括:
若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步骤。
3.根据权利要求2所述的虚拟化平台的安全检测方法,其特征在于,还包括:
当所述查询结果为所述目标程序不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
4.根据权利要求3所述的虚拟化平台的安全检测方法,其特征在于,还包括:
当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
5.根据权利要求4所述的虚拟化平台的安全检测方法,其特征在于,所述将所述目标程序传输至预设的检测虚拟机,包括:
通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。
6.根据权利要求5所述的虚拟化平台的安全检测方法,其特征在于,还包括:
当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
7.一种虚拟化平台的安全检测装置,其特征在于,包括:
获取模块,用于当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
判断模块,用于判断所述标识信息存在于预设的可信清单还是可疑清单;
运行模块,用于当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
禁止模块,用于当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
8.根据权利要求7所述的虚拟化平台的安全检测装置,其特征在于,还包括:
查询模块,用于若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
第一执行模块,用于当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述禁止模块的步骤。
9.一种虚拟化平台的安全检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-6任意一项所述的虚拟化平台的安全检测方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6任意一项所述的虚拟化平台的安全检测方法的步骤。
CN201811229261.5A 2018-10-22 2018-10-22 一种虚拟化平台的安全检测方法及装置 Pending CN109472147A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811229261.5A CN109472147A (zh) 2018-10-22 2018-10-22 一种虚拟化平台的安全检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811229261.5A CN109472147A (zh) 2018-10-22 2018-10-22 一种虚拟化平台的安全检测方法及装置

Publications (1)

Publication Number Publication Date
CN109472147A true CN109472147A (zh) 2019-03-15

Family

ID=65665729

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811229261.5A Pending CN109472147A (zh) 2018-10-22 2018-10-22 一种虚拟化平台的安全检测方法及装置

Country Status (1)

Country Link
CN (1) CN109472147A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110750778A (zh) * 2019-09-29 2020-02-04 苏州浪潮智能科技有限公司 一种应用程序管控方法和装置
CN112162824A (zh) * 2020-10-09 2021-01-01 亿望科技(上海)有限公司 一种企业及计算机安全虚拟化平台

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102682229A (zh) * 2011-03-11 2012-09-19 北京市国路安信息技术有限公司 一种基于虚拟化技术的恶意代码行为检测方法
CN103810429A (zh) * 2014-02-28 2014-05-21 成都长天信息技术有限公司 基于桌面云虚拟化技术的电脑病毒查杀方法
CN107682333A (zh) * 2017-09-30 2018-02-09 北京奇虎科技有限公司 基于云计算环境的虚拟化安全防御系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102682229A (zh) * 2011-03-11 2012-09-19 北京市国路安信息技术有限公司 一种基于虚拟化技术的恶意代码行为检测方法
CN103810429A (zh) * 2014-02-28 2014-05-21 成都长天信息技术有限公司 基于桌面云虚拟化技术的电脑病毒查杀方法
CN107682333A (zh) * 2017-09-30 2018-02-09 北京奇虎科技有限公司 基于云计算环境的虚拟化安全防御系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110750778A (zh) * 2019-09-29 2020-02-04 苏州浪潮智能科技有限公司 一种应用程序管控方法和装置
CN112162824A (zh) * 2020-10-09 2021-01-01 亿望科技(上海)有限公司 一种企业及计算机安全虚拟化平台

Similar Documents

Publication Publication Date Title
US10740459B2 (en) Kernel- and user-level cooperative security processing
US9876810B2 (en) Systems and methods for malware lab isolation
CN110084039B (zh) 用于端点安全与网络安全服务之间的协调的框架
US9166988B1 (en) System and method for controlling virtual network including security function
TWI453624B (zh) 資訊安全防護主機
US8739287B1 (en) Determining a security status of potentially malicious files
US8347380B1 (en) Protecting users from accidentally disclosing personal information in an insecure environment
US20040123117A1 (en) Validation for behavior-blocking system
US20200137087A1 (en) Methods and cloud-based systems for detecting malwares by servers
US8910161B2 (en) Scan systems and methods of scanning virtual machines
CN103886259A (zh) 基于Xen虚拟化环境的内核级rootkit检测和处理方法
EP3611643A1 (en) Malware detection based on user interactions
CN113961245A (zh) 一种基于微服务应用的安全防护系统、方法及介质
CN109472147A (zh) 一种虚拟化平台的安全检测方法及装置
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
US9734325B1 (en) Hypervisor-based binding of data to cloud environment for improved security
CN106529284A (zh) 基于安全芯片的虚拟机监控器安全加固方法
CN110099041A (zh) 一种物联网防护方法及设备、系统
CN109189652A (zh) 一种封闭网络终端行为数据的采集方法及系统
KR101060596B1 (ko) 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법
CN101488175B (zh) 基于轮询机制的防止可信客户虚拟域启动崩溃的方法
US20230376591A1 (en) Method and apparatus for processing security events in container virtualization environment
CN112597492B (zh) 一种基于Windows内核的二进制可执行文件更改监测方法
CN101488176B (zh) 一种针对tpm可信计算的toctou攻击响应方法
US9696940B1 (en) Technique for verifying virtual machine integrity using hypervisor-based memory snapshots

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190315