CN111027066A - 一种kvm平台下杀毒软件客户端轻代理实现方法及系统 - Google Patents
一种kvm平台下杀毒软件客户端轻代理实现方法及系统 Download PDFInfo
- Publication number
- CN111027066A CN111027066A CN201911044002.XA CN201911044002A CN111027066A CN 111027066 A CN111027066 A CN 111027066A CN 201911044002 A CN201911044002 A CN 201911044002A CN 111027066 A CN111027066 A CN 111027066A
- Authority
- CN
- China
- Prior art keywords
- agent
- control end
- file
- killing
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 241000700605 Viruses Species 0.000 title claims abstract description 23
- 238000001514 detection method Methods 0.000 claims abstract description 92
- 230000015654 memory Effects 0.000 claims abstract description 63
- 239000003795 chemical substances by application Substances 0.000 claims description 161
- 238000004891 communication Methods 0.000 claims description 18
- 230000002155 anti-virotic effect Effects 0.000 claims description 9
- 230000007717 exclusion Effects 0.000 claims description 8
- 238000009434 installation Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 7
- 238000000586 desensitisation Methods 0.000 claims description 7
- 238000002347 injection Methods 0.000 claims description 7
- 239000007924 injection Substances 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Abstract
本发明公开了一种KVM平台下杀毒软件客户端轻代理实现方法及系统,解决了目前虚拟化平台普通杀软体积过大、部署繁锁问题,包括:选取网络环境中一台主机为控制端并部署杀毒管控模块,其余主机为代理端并部署轻代理服务;代理端获取自身系统信息并将其上报到控制端完成注册;控制端与代理端通信并统计已经注册成功的代理端信息;控制端对已经注册成功的代理端下发扫描任务,代理端接收控制端下发的扫描任务并执行;代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端安全检测;控制端接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;代理端根据控制端反馈的检测结果进行安全处置。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种KVM平台下杀毒软件客户端轻代理实现方法及系统。
背景技术
目前虚拟化平台下,杀毒软件的存在形式一般有两种:普通杀软客户端、虚拟化厂商提供接口实现无代理客户端,普通杀软客户端:存在安装包体积过大,扫描风暴,部署繁锁等问题。无代理:需要与虚拟化厂商高度合作,通过接口获取客户机操作权限,一般与虚拟化厂商合作需要高额费用,且流程繁琐,针对性强,例如vmware。由于KVM开源,基于KVM开发的虚拟化厂商较多较杂,因此无代理合作更为困难。
发明内容
有鉴于此,本发明实施例提供了一种KVM平台下杀毒软件客户端轻代理实现方法及系统,通过轻代理解决方案,解决了目前虚拟化平台下,普通杀软存在形式存在的体积过大、扫描风暴、占用宿主机物理网卡等问题,并且开发门槛较低,无需向虚拟化厂商购买接口、兼容性强。
第一方面,本发明实施例提供一种KVM平台下杀毒软件客户端轻代理实现方法,包括:
选取网络环境中一台主机为控制端并在所述控制端中部署杀毒管控模块,其余主机为代理端并部署轻代理服务程序;
代理端获取自身系统信息并将其上报到控制端完成注册;
控制端与代理端通信并统计已经注册成功的代理端信息;
控制端对已经注册成功的代理端下发扫描任务,代理端接收控制端下发的扫描任务并执行;
代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测;
控制端接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
代理端根据控制端反馈的检测结果进行安全处置。
进一步地,所述部署轻代理服务,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
进一步地,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
进一步地,所述共享内存,具体包括:
共享内存分为头区、缓存区、代理端区;头区用于记录共享内存的数据参数;缓存区用于存储匹配扫描数据;代理端区被划分为不同的代理端,可以实现不同代理端的专用数据通信信道;使用全局线程互斥锁实现共享内存的互斥访问。
进一步地,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端完成安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端完成安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端完成安全检测。
进一步地,所述发送至控制端完成安全检测还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
进一步地,还包括:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行。
第二方面,本发明实施例提供一种KVM平台下杀毒软件客户端轻代理实现系统,包括:
控制端:为网络环境中部署有杀毒管控模块的一台主机,用于与代理端通信并统计已经注册成功的代理端信息,对已经注册成功的代理端下发扫描任务,接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
代理端:为同一网络环境中部署有轻代理服务程序的其余主机,用于获取自身系统信息并将其上报到控制端完成注册,接收控制端下发的扫描任务并执行,执行扫描任务获得查杀数据,通过共享内存匹配安全检测或将查杀数据上传到控制端完成安全检测,根据控制端反馈的检测结果进行安全处置。
进一步地,所述部署轻代理服务程序,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
进一步地,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
进一步地,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成检测或将查杀数据上传到控制端完成检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端完成安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端完成安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端完成安全检测。
进一步地,所述发送至控制端完成安全检测,还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
进一步地,所述控制端,还用于:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行。
本发明实施例提供的一种KVM平台下杀毒软件客户端轻代理实现方法及系统,具有如下有益效果:采用本发明技术方案,代理端体积可以控制在几M以内,部署时可以通过虚拟化厂商软件分发功能进行部署,解决了杀毒软件安装包体积大、部署难等问题,采用轻代理模式不需要虚拟化厂商提供接口,实现成本低,并且解决了虚拟环境下客户机与宿主机通信必须通过虚拟或物理网卡方式的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种KVM平台下杀毒软件客户端轻代理实现方法的一实施例流程图;
图2为本发明的一种KVM平台下杀毒软件客户端轻代理实现方法的又一实施例流程图;
图3为本发明的一种KVM平台下杀毒软件客户端轻代理实现系统的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。针对本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了更清楚地陈述本发明的具体实施例,对如下名词进行解释:
Ivshmem:虚拟机内部共享内存的pci设备,虚拟机之间实现内存共享是通过把内存映射成guest内的pci设备来实现的;
国密SM2:SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥、非对称加密算法;
dump:linux dump功能是备份文件系统,在特定时刻,将整个储存装置或储存装置之某部分的内容记录在另一储存装置中。存储的目的通常是为了防止发生错误;将具备可读格式的数据从主要或辅助储存体复制至外部媒体,如磁带、磁盘或打印机等媒体;为收集错误信息而复制整个虚拟储存体或虚拟储存体之某部分的内容。
第一方面,本发明实施例提供一种KVM平台下杀毒软件客户端轻代理实现方法,能够通过轻代理解决方案,解决了目前虚拟化平台普通杀软体积过大、部署繁锁问题。
图1为本发明一种KVM平台下杀毒软件客户端轻代理实现方法的一实施例流程图,包括:
S101:选取网络环境中一台主机为控制端并在所述控制端中部署杀毒管控模块,其余主机为代理端并部署轻代理服务程序;
S102:代理端获取自身系统信息并将其上报到控制端完成注册;
S103:控制端与代理端通信并统计已经注册成功的代理端信息;
S104:控制端对已经注册成功的代理端下发扫描任务,代理端接收控制端下发的扫描任务并执行;
S105:代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测;
S106:控制端接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
S107:代理端根据控制端反馈的检测结果进行安全处置。
优选地,所述部署轻代理服务程序,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
优选地,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
优选地,所述共享内存,具体包括:
共享内存分为头区、缓存区、代理端区;头区用于记录共享内存的数据参数;缓存区用于存储匹配扫描数据;代理端区被划分为不同的代理端,可以实现不同代理端的专用数据通信信道;使用全局线程互斥锁实现共享内存的互斥访问。
优选地,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端完成安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端完成安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端完成安全检测。
优选地,所述发送至控制端完成安全检测还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
优选地,还包括:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行。
上述实施例所述的方法可将代理端体积控制在几M以内,部署时可以通过虚拟化厂商软件分发功能进行部署,解决了杀毒软件安装包体积大、部署难等问题,采用轻代理模式不需要虚拟化厂商提供接口,实现成本低,并且解决了虚拟环境下客户机与宿主机通信必须通过虚拟或物理网卡方式的问题。
同时,图2为本发明一种KVM平台下杀毒软件客户端轻代理实现方法又一实施例流程图,包括:
S201:选取网络环境中一台主机为控制端并在所述控制端中部署杀毒管控模块,其余主机为代理端并部署轻代理服务程序;
S202:代理端获取自身系统信息并将其上报到控制端完成注册;
S203:控制端与代理端通信并统计已经注册成功的代理端信息;
S204:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行;
S205控制端对已经注册成功的代理端下发扫描任务,代理端接收控制端下发的扫描任务并执行;
S206:代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端安全检测;
S207:控制端接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
S208:代理端根据控制端反馈的检测结果进行安全处置。
优选地,所述部署轻代理服务程序,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
优选地,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
优选地,所述共享内存,具体包括:
共享内存分为头区、缓存区、代理端区;头区用于记录共享内存的数据参数;缓存区用于存储匹配扫描数据;代理端区被划分为不同的代理端,可以实现不同代理端的专用数据通信信道;使用全局线程互斥锁实现共享内存的互斥访问。
优选地,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端完成安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端完成安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端完成安全检测。
优选地,所述发送至控制端完成安全检测还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
上述实施例所述的方法可将代理端体积控制在几M以内,部署时可以通过虚拟化厂商软件分发功能进行部署,解决了杀毒软件安装包体积大、部署难等问题,采用轻代理模式不需要虚拟化厂商提供接口,实现成本低,并且解决了虚拟环境下客户机与宿主机通信必须通过虚拟或物理网卡方式的问题,基于缓存和任务调度解决了扫描风暴占用过多资源问题。
第二方面,本发明实施例提供一种KVM平台下杀毒软件客户端轻代理实现系统。
图3为本发明的一种KVM平台下杀毒软件客户端轻代理实现系统的结构示意图,包括:
控制端31:为网络环境中部署有杀毒管控模块的一台主机,用于与代理端通信并统计已经注册成功的代理端信息,对已经注册成功的代理端下发扫描任务,接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
代理端32:为同一网络环境中部署有轻代理服务的其余主机,用于获取自身系统信息并将其上报到控制端完成注册,接收控制端下发的扫描任务并执行,执行扫描任务获得查杀数据,通过共享内存匹配安全检测或将查杀数据上传到控制端完成安全检测,根据控制端反馈的检测结果进行安全处置。
优选地,所述部署轻代理服务程序,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
优选地,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
优选地,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成检测或将查杀数据上传到控制端完成安全检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端完成安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端完成安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端完成安全检测。
优选地,所述发送至控制端完成检测还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
优选地,所述控制端,还用于:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行。
上述实施例所述的系统可以将代理端体积控制在几M以内,部署时可以通过虚拟化厂商软件分发功能进行部署,解决了杀毒软件安装包体积大、部署难等问题,采用轻代理模式不需要虚拟化厂商提供接口,实现成本低,并且解决了虚拟环境下客户机与宿主机通信必须通过虚拟或物理网卡方式的问题。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上系统是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (13)
1.一种KVM平台下杀毒软件客户端轻代理实现方法,其特征在于,包括:
选取网络环境中一台主机为控制端并在所述控制端中部署杀毒管控模块,其余主机为代理端并部署轻代理服务程序;
代理端获取自身系统信息并将其上报到控制端完成注册;
控制端与代理端通信并统计已经注册成功的代理端信息;
控制端对已经注册成功的代理端下发扫描任务,代理端接收控制端下发的扫描任务并执行;
代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测;
控制端接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
代理端根据控制端反馈的检测结果进行安全处置。
2.如权利要求1所述的方法,其特征在于,所述部署轻代理服务程序,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
3.如权利要求1所述的方法,其特征在于,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
4.如权利要求3所述的方法,其特征在于,所述共享内存,具体包括:
共享内存分为头区、缓存区、代理端区;头区用于记录共享内存的数据参数;缓存区用于存储匹配扫描数据;代理端区被划分为不同的代理端,可以实现不同代理端的专用数据通信信道;使用全局线程互斥锁实现共享内存的互斥访问。
5.如权利要求4所述的方法,其特征在于,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成安全检测或将查杀数据上传到控制端完成安全检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端安全检测。
6.如权利要求5所述的方法,其特征在于,所述发送至控制端完成安全检测还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
7.如权利要求1所述方法,其特征在于,还包括:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行。
8.一种KVM平台下杀毒软件客户端轻代理实现系统,包括:
控制端:为网络环境中部署有杀毒管控模块的一台主机,用于与代理端通信并统计已经注册成功的代理端信息,对已经注册成功的代理端下发扫描任务,接收代理端发送的查杀数据并进行安全检测,输出检测结果并反馈给代理端;
代理端:为同一网络环境中部署有轻代理服务程序的其余主机,用于获取自身系统信息并将其上报到控制端完成注册,接收控制端下发的扫描任务并执行,执行扫描任务获得查杀数据,通过共享内存匹配安全检测或将查杀数据上传到控制端完成安全检测,根据控制端反馈的检测结果进行安全处置。
9.如权利要求8所述的系统,其特征在于,所述部署轻代理服务程序,具体为:手动部署、远程部署或自动部署;手动部署:以安装包的形式将服务程序部署至代理端主机;远程部署:获取代理端主机口令信息,通过web管理中心将服务程序部署到代理端主机;自动部署:与虚拟化厂商进行合作,在创建代理端主机时自动将服务程序部署到代理端主机。
10.如权利要求8所述的系统,其特征在于,所述控制端与代理端通信,具体为:
控制端利用ivshmem实现与代理端通信,控制端和代理端主机均配置开启ivshmem并加载ivshmem pci设备驱动,通过共享内存实现数据共享及通信。
11.如权利要求10所述的系统,其特征在于,所述代理端执行扫描任务获得查杀数据,通过共享内存匹配完成检测或将查杀数据上传到控制端完成检测,具体为:代理端接收到查杀任务,获取待查杀的文件特征、hash、路径MD5、文件大小和文件修改时间信息,在共享内存的缓存区中进行匹配,若命中则直接取出文件黑、白状态,若未命中,则通过ivshmem将该信息发送至控制端完成安全检测;针对加壳的二进制文件,直接将文件实体通过ivshmem发送至控制端完成安全检测;针对运行中内存注入行为,对运行中内存进行dump,并将dump文件通过ivshmem发送至控制端完成安全检测。
12.如权利要求11所述的系统,其特征在于,所述发送至控制端完成检测还包括:采用国密SM2非对称加密算法对传输到控制端的文件进行加密脱敏。
13.如权利要求8所述的系统,其特征在于,所述控制端,还用于:对全部代理端进行管控,针对不同代理端设置不同优先级,采用优先级调度方法在同时下发大量扫描任务时,对优先级高的代理端优先进行扫描,剩余代理端的扫描任务轮询下次执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911044002.XA CN111027066A (zh) | 2019-10-30 | 2019-10-30 | 一种kvm平台下杀毒软件客户端轻代理实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911044002.XA CN111027066A (zh) | 2019-10-30 | 2019-10-30 | 一种kvm平台下杀毒软件客户端轻代理实现方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111027066A true CN111027066A (zh) | 2020-04-17 |
Family
ID=70204715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911044002.XA Pending CN111027066A (zh) | 2019-10-30 | 2019-10-30 | 一种kvm平台下杀毒软件客户端轻代理实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111027066A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112583671A (zh) * | 2020-12-14 | 2021-03-30 | 上海英方软件股份有限公司 | 一种通过代理网关对虚拟机进行演练的方法及系统 |
| CN113779584A (zh) * | 2021-11-15 | 2021-12-10 | 北京信达环宇安全网络技术有限公司 | 防护软件安装方法及系统 |
| CN114615035A (zh) * | 2022-02-28 | 2022-06-10 | 亚信科技(成都)有限公司 | 安全检测方法、服务器及存储介质 |
| CN115686889A (zh) * | 2023-01-04 | 2023-02-03 | 麒麟软件有限公司 | Jailhouse基于ACPI使用Ivshmem的方法 |
| CN116599773A (zh) * | 2023-07-14 | 2023-08-15 | 杭州海康威视数字技术股份有限公司 | 自适应设备安全风险评估方法、装置、设备及系统 |
| CN116974857A (zh) * | 2023-09-21 | 2023-10-31 | 中国西安卫星测控中心 | 一种监控代理自动部署更新方法及其系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598818A (zh) * | 2014-12-30 | 2015-05-06 | 北京奇虎科技有限公司 | 一种用于虚拟化环境中的文件检测系统及方法 |
| WO2017028612A1 (zh) * | 2015-08-18 | 2017-02-23 | 中兴通讯股份有限公司 | 虚拟机杀毒的方法及装置 |
| CN106778274A (zh) * | 2016-12-29 | 2017-05-31 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
-
2019
- 2019-10-30 CN CN201911044002.XA patent/CN111027066A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104598818A (zh) * | 2014-12-30 | 2015-05-06 | 北京奇虎科技有限公司 | 一种用于虚拟化环境中的文件检测系统及方法 |
| WO2017028612A1 (zh) * | 2015-08-18 | 2017-02-23 | 中兴通讯股份有限公司 | 虚拟机杀毒的方法及装置 |
| CN106778274A (zh) * | 2016-12-29 | 2017-05-31 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112583671A (zh) * | 2020-12-14 | 2021-03-30 | 上海英方软件股份有限公司 | 一种通过代理网关对虚拟机进行演练的方法及系统 |
| CN113779584A (zh) * | 2021-11-15 | 2021-12-10 | 北京信达环宇安全网络技术有限公司 | 防护软件安装方法及系统 |
| CN114615035A (zh) * | 2022-02-28 | 2022-06-10 | 亚信科技(成都)有限公司 | 安全检测方法、服务器及存储介质 |
| CN114615035B (zh) * | 2022-02-28 | 2023-12-08 | 亚信科技(成都)有限公司 | 安全检测方法、服务器及存储介质 |
| CN115686889A (zh) * | 2023-01-04 | 2023-02-03 | 麒麟软件有限公司 | Jailhouse基于ACPI使用Ivshmem的方法 |
| CN115686889B (zh) * | 2023-01-04 | 2023-03-28 | 麒麟软件有限公司 | Jailhouse基于ACPI使用Ivshmem的方法 |
| CN116599773A (zh) * | 2023-07-14 | 2023-08-15 | 杭州海康威视数字技术股份有限公司 | 自适应设备安全风险评估方法、装置、设备及系统 |
| CN116599773B (zh) * | 2023-07-14 | 2023-09-19 | 杭州海康威视数字技术股份有限公司 | 自适应设备安全风险评估方法、装置、设备及系统 |
| CN116974857A (zh) * | 2023-09-21 | 2023-10-31 | 中国西安卫星测控中心 | 一种监控代理自动部署更新方法及其系统 |
| CN116974857B (zh) * | 2023-09-21 | 2024-01-23 | 中国西安卫星测控中心 | 一种监控代理自动部署更新方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111027066A (zh) | 一种kvm平台下杀毒软件客户端轻代理实现方法及系统 | |
| US10176095B2 (en) | Secure management of operations on protected virtual machines | |
| US10469512B1 (en) | Optimized resource allocation for virtual machines within a malware content detection system | |
| US10397352B2 (en) | Network infrastructure management | |
| AU2017404864B2 (en) | Network slice management method, unit and system | |
| JP5747981B2 (ja) | 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
| US9817975B2 (en) | Method for logging firmware attack event and system therefor | |
| CN112840321A (zh) | 用于自动化操作管理的应用程序编程接口 | |
| CN109327557B (zh) | 一种虚拟机ip地址的管理方法及装置 | |
| US11477247B2 (en) | Systems and methods for authenticating platform trust in a network function virtualization environment | |
| US20210359908A1 (en) | Linking multiple enrollments on a client device | |
| CN110245031B (zh) | 一种ai服务开放中台及方法 | |
| US8826275B2 (en) | System and method for self-aware virtual machine image deployment enforcement | |
| WO2022126644A1 (zh) | 模型保护装置及方法、计算装置 | |
| CN113315750B (zh) | 一种Kafka消息发布方法、装置及存储介质 | |
| US10394721B2 (en) | Integrated circuit security | |
| CN113553139A (zh) | 容器云环境下的混合多云管理方法、系统、设备及介质 | |
| CN106919812B (zh) | 一种应用进程权限管理方法和装置 | |
| CN111679887A (zh) | 一种代理容器的配置方法及装置 | |
| US20200233722A1 (en) | Method for auditing a virtualised resource deployed in a cloud computing network | |
| US11876860B2 (en) | Data sharing system, data sharing method and non-transitory computer-readable recording medium for data sharing program | |
| WO2022267995A1 (zh) | 通信方法、装置、相关设备及存储介质 | |
| US20210279302A1 (en) | Management of software licenses for deployed images | |
| CN117333178A (zh) | 基于区块链的数据处理方法、装置及相关设备 | |
| CN117909027A (zh) | 层级式容器编排系统及容器编排方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |