CN111459687B - 一种监控宿主机向虚拟机传递文件的方法及系统 - Google Patents
一种监控宿主机向虚拟机传递文件的方法及系统 Download PDFInfo
- Publication number
- CN111459687B CN111459687B CN202010256481.8A CN202010256481A CN111459687B CN 111459687 B CN111459687 B CN 111459687B CN 202010256481 A CN202010256481 A CN 202010256481A CN 111459687 B CN111459687 B CN 111459687B
- Authority
- CN
- China
- Prior art keywords
- file
- virtual machine
- moving instruction
- instruction
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/543—User-generated data transfer, e.g. clipboards, dynamic data exchange [DDE], object linking and embedding [OLE]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种监控宿主机向虚拟机传递文件的方法及系统,所述方法应用于宿主机,所述宿主机上运行有虚拟机,所述虚拟机由所述宿主机上的指定进程创建,所述方法包括:当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;扫描所述文件移动指令对应的文件,生成扫描结果;根据所述扫描结果,采用预置的安全操作对所述文件进行处理;其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种,使得宿主机向虚拟机传递文件的操作得到管控,封堵了文件传递可能造成的数据泄密途径,降低了泄密风险,提高了数据的安全防护能力。
Description
技术领域
本发明涉及计算机领域,特别是涉及一种监控宿主机向虚拟机传递文件的方法及系统。
背景技术
当前,随着互联网的快速发展,大数据、云计算等新技术层出不穷,这些技术立足的根本是数据,因此数据安全就显得尤为重要。
现阶段的研发、测试过程中,需要很多的IT(Information Technology,信息技术)资源辅助研发和测试,这无形中增加了IT设施成本。但随着虚拟化软件的蓬勃发展,现在可以使用虚拟机软件,在同一台电脑上虚拟出不同的计算机资源,大大方便了研发、测试环境的部署和环境保存,节省了大量的硬件成本。
然而当下,市面上的数据安全软件,均是对外发数据、向外拷贝数据做了严密防护,未针对宿主机和虚拟机,即在终端中,虚拟机外向虚拟机内进行文件传递做任何限制,因此宿主机传递文件至虚拟机存在安全漏洞与泄密风险,影响数据安全。
发明内容
鉴于上述问题,提出了本发明以便提供克服上述问题或者至少部分地解决上述问题的一种监控宿主机向虚拟机传递文件的方法及系统、电子设备、存储介质。
为了解决上述问题,本发明实施例公开了一种监控宿主机向虚拟机传递文件的方法,应用于宿主机,所述宿主机上运行有虚拟机,所述方法包括:
当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
扫描所述文件移动指令对应的文件,生成扫描结果;
根据所述扫描结果,采用预置的安全操作对所述文件进行处理;其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种。
可选地,所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤之前,还包括:
对所述宿主机的进程进行监控;
当监控到新的进程时,检测所述新的进程是否为指定进程;
若所述新的进程为所述指定进程,则检测所述指定进程是否已创建虚拟机;
若所述指定进程已创建所述虚拟机,则执行所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤。
可选地,所述宿主机还设置有日志文件,所述根据所述扫描结果,采用预置的安全操作对所述文件进行处理的步骤之后,还包括:
将当前的扫描结果和当前采用的安全操作保存在所述日志文件中。
可选地,所述宿主机还运行有关键字扫描引擎,所述扫描所述文件移动指令对应的文件,生成扫描结果的步骤,包括:
获取与所述文件移动指令对应的文件;
采用所述关键字扫描引擎识别所述文件的内容;
根据预置的关键字,对所述文件的内容进行关键字扫描;
生成扫描结果。
可选地,所述根据所述扫描结果,采用预置的安全操作对所述文件进行处理的步骤包括:
采用所述扫描结果,确定所述文件的类别信息;所述类别信息为第一类别、第二类别和第三类别中的一种;
根据所述类别信息,采用预置的安全操作对所述文件进行处理。
可选地,所述根据所述扫描结果,采用预置的安全操作对所述文件进行处理的步骤,包括:
若所述文件的类别信息为第一类别,则对所述文件进行加密处理;
若所述文件的类别信息为第二类别,则停止执行所述文件移动指令;
若所述文件的类别信息为第三类别,则执行所述文件移动指令。
可选地,所述若所述文件的类别信息为第一类别,则对所述文件进行加密处理的步骤之后,还包括:
针对加密后的文件执行所述文件移动指令。
本发明实施例还公开了一种监控宿主机向虚拟机传递文件的系统,应用于宿主机,所述宿主机上运行有虚拟机,所述系统包括:
拦截模块,用于当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
扫描结果模块,用于扫描所述文件移动指令对应的文件,生成扫描结果;
处理模块,用于根据所述扫描结果,采用预置的安全操作对所述文件进行处理;其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种。
可选地,所述系统还包括:
进程监控模块,用于对所述宿主机的进程进行监控;
指定进程检测模块,用于当监控到新的进程时,检测所述新的进程是否为指定进程;
虚拟机检测模块,用于若所述新的进程为所述指定进程,则检测所述指定进程是否已创建虚拟机;
执行模块,用于若所述指定进程已创建所述虚拟机,则执行所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤。
可选地,所述宿主机还设置有日志文件,所述系统还包括:
日志记录模块,用于将当前的扫描结果和当前采用的安全操作保存在所述日志文件中。
可选地,所述宿主机还运行有关键字扫描引擎,所述扫描结果模块还包括:
文件获取子模块,用于获取与所述文件移动指令对应的文件;
内容识别子模块,用于采用所述关键字扫描引擎识别所述文件的内容;
关键字扫描子模块,用于根据预置的关键字,对所述文件的内容进行关键字扫描;
生成子模块,用于生成扫描结果。
可选地,所述处理模块还包括:
类别信息子模块,用于采用所述扫描结果,确定所述文件的类别信息;所述类别信息为第一类别、第二类别和第三类别中的一种;
安全操作子模块,用于根据所述类别信息,采用预置的安全操作对所述文件进行处理。
可选地,所述安全操作子模块包括:
加密单元,用于若所述文件的类别信息为第一类别,则对所述文件进行加密处理;
停止单元,用于若所述文件的类别信息为第二类别,则停止执行所述文件移动指令;
执行单元,用于若所述文件的类别信息为第三类别,则执行所述文件移动指令。
可选地,所述所述安全操作子模块包括:
加密文件移动单元,用于针对加密后的文件执行所述文件移动指令。
本发明实施例还提供了一种电子设备,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,计算机程序被处理器执行时实现如上监控宿主机向虚拟机传递文件的方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上监控宿主机向虚拟机传递文件的方法的步骤。
本发明具有以下优点:
在本发明的实施例中,当指定进程生成文件移动指令时,拦截文件移动指令,文件移动指令为剪贴版访问指令或拖拽响应指令,扫描文件移动指令对应的文件,生成扫描结果,根据扫描结果,采用预置的安全操作对文件进行处理,其中,预置的安全操作为对文件进行加密、执行文件移动指令和停止执行文件移动指令中的一种,从而管控了宿主机向虚拟机传递文件的操作,封堵了文件传递可能造成的数据泄密途径,降低了泄密风险,提高了数据的安全防护能力。
附图说明
为了更清楚地说明本发明的技术方案,下面将对本发明的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是一种文件外发控制技术的流程示意图;
图2是本发明实施例提供的一种监控宿主机向虚拟机传递文件的方法的步骤流程图;
图3是本发明实施例提供的另一种监控宿主机向虚拟机传递文件的方法的步骤流程图;
图4是本发明实施例提供的一种监控宿主机向虚拟机传递文件的方法的原理示意图;
图5是本发明实施例提供的一种监控宿主机向虚拟机传递文件的方法的示意图;
图6是本发明实施例提供的另一种监控宿主机向虚拟机传递文件的方法的示意图;
图7是本发明实施例提供的一种监控宿主机向虚拟机传递文件的系统的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在计算机领域中,为了保护数据的安全,防止数据泄密,采用的是文件外发控制技术,即外发文件时,可以按照策略执行控制动作,通过对外发文件请求执行例如放行或者阻断的操作,防止文件的随意传输。如图1所示,为文件外发控制技术的步骤流程图,首先在终端中启动文件外发拦截功能,当拦截到文件发送请求时,识别该请求是否外发文件,当外发文件时,根据预设的控制策略,对文件发送请求所对应的文件执行放行、加密、阻断等操作。
文件外发控制技术虽然可以监控文件外发,但是在使用虚拟机时,将文件从虚拟机外向虚拟机内传输采用的是复制或直接将文件拖拽至指定位置的方法,文件外发控制技术无法识别该过程,无法监控从虚拟机外,即宿主机,向虚拟机的文件传输,存在很大的安全隐患。基于此,本申请提出了一种监控宿主机向虚拟机传递文件的方法及系统、电子设备、存储介质,可以减少宿主机向虚拟机进行文件传输时的安全隐患。
参照图2,示出了本发明实施例提供的一种监控宿主机向虚拟机传递文件的方法的步骤流程图,应用于宿主机,所述宿主机上运行有虚拟机,所述虚拟机由所述宿主机上的指定进程创建,所述方法具体可以包括如下步骤:
步骤101,当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
具体的,本发明实施例所指宿主机为实体终端,例如,个人计算机、手机、平板电脑、个人数字助理、穿戴设备(如手环、眼镜、手表等)等等。这些终端的操作系统可以包括Android(安卓)、IOS、Windows Phone、Windows等等。
随着硬件技术的快速发展,计算机资源过剩,用户可以通过虚拟机来满足不同研发、测试环境的需求。虚拟机存在于实体终端中,指的是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,运行虚拟机的实体终端则被称为宿主机。在实体终端中能够完成的工作在虚拟机中都能够实现。
指定进程为可创建虚拟机的虚拟机软件所对应的进程,文件移动指令指剪贴板访问指令或拖拽响应指令,剪贴板是系统中一段可连续的、可随存放信息的大小而变化的内存空间,用来临时存放交换信息。当用户对文件采用复制粘贴操作,想要将文件从宿主机中移动至虚拟机时,虚拟机软件对应的进程通过生成剪贴板访问指令,对剪贴板进行访问,获取复制到剪贴板中的文件,完成对文件的复制或剪切,将文件移动至虚拟机内。而当用户采用直接拖拽文件的方式对文件进行移动时,虚拟机软件对应的进程则会生成拖拽响应指令,以响应用户的拖拽操作,完成文件的移动。当虚拟机软件对应的进程生成文件移动指令的时候,即可认为用户想要将文件移动至虚拟机中,拦截生成的文件移动指令。
步骤102,扫描所述文件移动指令对应的文件,生成扫描结果;
拦截文件移动指令后,根据文件移动指令中用于识别文件的识别信息,获取需要移动的文件,对文件进行扫描,生成扫描结果。
步骤103,根据所述扫描结果,采用预置的安全操作对所述文件进行处理;其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种。
宿主机中保存有不同的安全操作策略,根据不同的扫描结果,执行不同的安全操作。安全操作包括对文件加密,或者不加密直接执行文件移动指令,又或者是停止执行文件移动指令,采用与扫描结果对应的安全操作对文件进行安全处理。
在本发明的实施例中,当指定进程生成文件移动指令时,拦截文件移动指令,扫描文件移动指令对应的文件,生成扫描结果,根据扫描结果,采用预置的安全操作对文件进行处理。由于通过拦截虚拟机软件对应的进程生成的文件移动指令后,根据所移动的文件不同,而采取了不同的安全操作策略,从而管控了从宿主机向虚拟机传递文件的操作,封堵了文件传递可能造成的数据泄密途径,降低了泄密风险,提高了数据的安全防护能力。
参照图3,示出了本发明实施例提供的另一种监控宿主机向虚拟机传递文件的方法的步骤流程图,应用于宿主机,所述宿主机上运行有虚拟机,所述虚拟机由所述宿主机上的指定进程创建,具体可以包括如下步骤:
步骤201,对所述宿主机的进程进行监控;
步骤202,当监控到新的进程时,检测所述新的进程是否为指定进程;
在本实施例中,为了节省资源,在确认了宿主机上已创建有虚拟机后,才会开启拦截文件移动指令功能。具体的,宿主机在处于开启状态时,可以对宿主机中正在运行的进程进行监控。当监控到有新的进程出现时,检测该新进程是否为与创建虚拟机的虚拟机软件对应的进程。
步骤203,若所述新的进程为所述指定进程,则检测所述指定进程是否已创建虚拟机;
若经过检测,确认该新的进程为与创建虚拟机的虚拟机软件对应的进程,即表示虚拟机软件已经运行,因此可以进一步检测是否已经创建虚拟机。
步骤204,若所述指定进程已创建所述虚拟机,则执行所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤;
若虚拟机已被创建,即用户可以向虚拟机传输文件,而虚拟机软件则通过文件移动指令响应用户的操作,完成文件向虚拟机的传输。因此开启拦截文件移动指令的功能,开始对与虚拟机软件对应的进程进行监控,当监控到该进程生成文件移动指令时,对文件移动指令进行拦截。
步骤205,当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
由于步骤205与实施例一中的步骤101相似,因此具体过程可参照步骤101,在此不再赘述。
步骤206,扫描所述文件移动指令对应的文件,生成扫描结果;
将文件移动指令拦截后,对与文件移动指令对应的文件,即用户想要移动的文件进行扫描,生成扫描结果。
在本发明一种可选实施例中,所述宿主机还运行有关键字扫描引擎,步骤206包括如下子步骤:
获取与所述文件移动指令对应的文件;
采用所述关键字扫描引擎识别所述文件的内容;
根据预置的关键字,对所述文件的内容进行关键字扫描;
生成扫描结果。
通过移动文件指令中包含的文件识别信息,获取与文件移动指令对应的文件后,采用关键字扫描引擎对文件的内容进行识别,宿主机中保存有预置的关键字,关键字扫描引擎可以根据预置的关键字对文件的内容进行扫描,确认文件的内容中是否包含有预置的关键字。例如宿主机内预置的关键字为“贷款”,则对文件的内容进行扫描,确认该文件中是否包含关键字“贷款”,并生成对应的扫描结果。
步骤207,根据所述扫描结果,采用预置的安全操作对所述文件进行处理;其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种;
生成扫描结果后,可根据扫描结果,采用不同的安全操作对文件进行处理。
在本发明一种可选实施例中,步骤207还包括如下子步骤:
采用所述扫描结果,确定所述文件的类别信息;所述类别信息为第一类别、第二类别和第三类别中的一种;
根据所述类别信息,采用预置的安全操作对所述文件进行处理。
宿主机内可以预置有多种类别信息,类别信息分为第一类别、第二类别和第三类别,通过扫描结果中记录的文件内容中包含的关键字,确定文件的类别信息,而每一种类别信息又对应着不同的安全操作,根据文件的类别信息不同,采用不同的安全操作对文件进行处理。
在本发明一种可选实施例中,子步骤“根据所述类别信息,采用预置的安全操作对所述文件进行处理”还可以包括如下子步骤:
若所述文件的类别信息为第一类别,则对所述文件进行加密处理;
针对加密后的文件执行所述文件移动指令;
若所述文件的类别信息为第二类别,则停止执行所述文件移动指令;
若所述文件的类别信息为第三类别,则执行所述文件移动指令。
根据文件的重要程度不同,所采取的安全操作也有所不同。例如可以设置第一类别属于重要文件,对第一类别的文件则是对文件进行加密后再执行文件移动指令;第二类别的文件属于机密文件,不允许传输,因此停止执行文件移动;第三类别属于一般文件,对第三类别的文件采取直接执行文件移动指令的操作。例如文件内包含的关键字为“贷款”,“贷款”对应第一类别,则将经过关键字识别后,文件内容中包含“贷款”的文件确认为第一类别,对文件进行加密处理后,将文件移动至虚拟机中。
需要注意的是,上述预置的关键字、预置的安全操作以及关键字与扫描结果的对应关系可由用户根据自身需求进行设置,本发明对此不加限制。
步骤208,将当前的扫描结果和当前采用的安全操作保存在所述日志文件中。
宿主机中设置有日志文件,在对文件进行处理后,将文件的扫描结果和对文件所采取的安全操作保存在日志文件当中,用户可通过读取日志文件,对扫描结果和宿主机所执行的安全操作记录进行查看,方便错误排查。
在本发明实施例中,对宿主机的进程进行监控,当监控到新的进程时,检测新的进程是否为指定进程,若是,则检测指定进程是否已创建虚拟机,若指定进程已创建虚拟机,则执行拦截文件移动指令的步骤,当指定进程生成文件移动指令时时,拦截文件移动指令,扫描文件移动指令对应的文件,生成扫描结果,根据扫描结果,采用预置的安全操作对文件进行处理,将当前的扫描结果和当前采用的安全操作保存在日志文件中。既节省了宿主机资源,又管控了从宿主机向虚拟机传递文件的操作,降低了泄密风险,提高了数据的安全防护能力。
为了使本领域技术人员能够更好地理解本发明方案,以下通过举例对本申请加以示例性说明,但应当理解的是,本申请并不限于此。
本实施例中文件的传输方案设计原理如图4所示,图4描述文件从宿主机移动至虚拟机的过程。文件的传输涉及到三个层次,分别是软件识别层、传递控制层和文件处理层。以下分别进行详细阐述:
1、软件识别层
软件识别层,位于总体架构的最上层,由进程监控模块、虚拟机软件识别模块和虚拟机检测模块组成。
进程监控模块负责监测进程的启动,当出现新的进程时通知虚拟机软件识别模块。
虚拟机软件识别模块在接收到进程监控模块的通知后,对新的进程进行识别,若确认该进程为虚拟机软件对应的进程,则调用虚拟机运行状态检测模块对虚拟机软件进行检查,确认虚拟机软件中是否有虚拟机在运行。
2、传递控制层
传递控制层,位于总体架构的中间层,由安装模块、剪贴板和拖拽控制模块和日志记录模块组成。当虚拟机运行状态检测模块确认已开启虚拟机后,向虚拟机软件识别模块返回对应的消息,虚拟机软件识别模块调用安装模块,安装模块负责安装剪贴板和拖拽控制模块,安装完毕后,由剪贴板和拖拽控制模块负责对虚拟机软件对应的进程所生成的文件移动指令,即剪贴板访问指令和拖拽响应指令进行拦截。日志记录模块则负责将操作结果及处理信息进行保存。
3、文件处理层
文件处理层,位于总体架构的最下层,由关键字扫描引擎、文件处理模块和文件加密模块组成。在剪贴板和拖拽控制模块完成对剪贴板访问指令和拖拽响应指令的拦截后,调用文件处理模块,文件处理模块调用关键字扫描引擎识别文件的内容,对文件进行关键字扫描,并生成扫描结果,关键字扫描引擎根据扫描结果完成对文件的分类并将扫描结果返回至文件处理模块,文件处理模块根据扫描结果对文件采取不同的安全操作,安全操作包括调用文件加密模块将文件加密、停止执行文件移动指令和不加密直接执行文件移动指令。
为了使本领域技术人员更好地理解三个层次在本申请中实际所起的作用,图5示出了本发明一实施例中文件的传输方法的示意图:
宿主机启动后,启动进程监控模块对宿主机的运行中的进程进行监控,用户打开虚拟机软件,创建一个虚拟机。
由于用户打开虚拟机软件时产生了新的进程,进程监控模块监控到新的进程后,通知虚拟机软件识别模块,虚拟机软件识别模块对新的进程进行识别,确认该进程为虚拟机软件对应的进程,然后调用虚拟机运行状态检测模块对虚拟机软件进行检查,确认虚拟机软件中是否有虚拟机在运行。用户已创建了一个虚拟机,因此虚拟机运行状态检测模块确认已有虚拟机在运行,向虚拟机软件识别模块返回对应的消息。
虚拟机软件识别模块收到消息后,调用安装模块安装剪贴板和拖拽控制模块,剪贴板和拖拽控制模块可以监控虚拟机软件对应的进程,拦截虚拟机软件所产生的文件移动指令,即剪贴板访问指令和拖拽响应指令。
当用户从宿主机复制或者拖拽文件至虚拟机时,虚拟机软件为了将文件传输至虚拟机,会生成剪贴板访问指令或拖拽响应指令,剪贴板和拖拽控制模块将剪贴板访问指令或拖拽响应指令拦截,调用文件处理模块对用户所传输的文件进行处理。文件处理模块调用关键字扫描引擎识别文件的内容,对文件进行关键字扫描,并生成扫描结果,关键字扫描引擎将扫描结果返回至文件处理模块。
文件处理模块根据扫描结果对文件采取不同的安全操作,若关键字扫描结果为命中,即在文件中扫描到关键字,则根据扫描到的关键字不同,文件处理模块或者调用文件加密模块对文件加密处理,或者阻止文件传递,即停止执行文件移动指令。若关键字扫描结果为未命中,即文件中不包含关键字,则对文件放行,直接执行文件移动指令。在完成安全操作后,剪贴板和拖拽控制模块调用日志记录模块,将扫描的结果和采用的安全操作记录保存下来。
为加深本领域技术人员对方案的理解,下面为本发明另一具体示例,如图6所示,图6为对应的示意图:
用户在宿主机上通过账号密码登录系统后,宿主机同步虚拟机软件监控策略,开始监控正在运行的进程。
此时用户打开虚拟机软件,在虚拟机软件中创建了一个虚拟机,宿主机在正在运行的进程中发现了新的进程后,确认新的进程为虚拟机软件对应的进程,且确认虚拟机软件中开启了虚拟机,宿主机开启拦截功能对文件移动指令进行拦截。
用户通过复制或拖拽操作,打算将文件移动至虚拟机内,虚拟机响应用户的指令,发起剪贴板访问指令或拖拽响应指令,指令被宿主机拦截后,宿主机对是否允许宿主机向虚拟机传输文件进行判断。若允许,则根据策略对文件进行处理,具体的,在对文件的内容进行识别并对关键字扫描后,对文件采取加密放行、直接放行以及阻止文件传递中的一种安全操作;若不允许,则直接阻止文件进行传输。当文件处理完成后,用户可以选择是否退出系统,若是,则直接退出对虚拟机进程的监控,若否则返回同步虚拟机软件监控策略,继续拦截文件移动指令。
在本实施例中,实现了宿主机到虚拟机的文件移动的监控,并针对传输的文件进行加密,杜绝了文件在宿主机与虚拟机内之间传输时可能导致的数据泄密问题,提高了数据的安全性。
参照图7,示出了本发明一实施例提供的一种监控宿主机向虚拟机传递文件的系统的结构框图,应用于宿主机,所述宿主机上运行有虚拟机,所述虚拟机由所述宿主机上的指定进程创建,所述系统可以包括如下模块:
拦截模块301,用于当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
扫描结果模块302,用于扫描所述文件移动指令对应的文件,生成扫描结果;
处理模块303,用于根据所述扫描结果,采用预置的安全操作对所述文件进行处理;其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种。
在本发明一种可选实施例中,所述系统还包括:
进程监控模块,用于对所述宿主机的进程进行监控;
指定进程检测模块,用于当监控到新的进程时,检测所述新的进程是否为指定进程;
虚拟机检测模块,用于若所述新的进程为所述指定进程,则检测所述指定进程是否已创建虚拟机;
执行模块,用于若所述指定进程已创建所述虚拟机,则执行所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤。
在本发明一种可选实施例中,所述宿主机还设置有日志文件,所述系统还包括:
日志记录模块,用于将当前的扫描结果和当前采用的安全操作保存在所述日志文件中。
在本发明一种可选实施例中,所述宿主机还运行有关键字扫描引擎,所述扫描结果模块302还包括:
文件获取子模块,用于获取与所述文件移动指令对应的文件;
内容识别子模块,用于采用所述关键字扫描引擎识别所述文件的内容;
关键字扫描子模块,用于根据预置的关键字,对所述文件的内容进行关键字扫描;
生成子模块,用于生成扫描结果。
在本发明一种可选实施例中,所述处理模块303还包括:
类别信息子模块,用于采用所述扫描结果,确定所述文件的类别信息;所述类别信息为第一类别、第二类别和第三类别中的一种;
安全操作子模块,用于根据所述类别信息,采用预置的安全操作对所述文件进行处理。
在本发明一种可选实施例中,所述安全操作子模块包括:
加密单元,用于若所述文件的类别信息为第一类别,则对所述文件进行加密处理;
停止单元,用于若所述文件的类别信息为第二类别,则停止执行所述文件移动指令;
执行单元,用于若所述文件的类别信息为第三类别,则执行所述文件移动指令。
在本发明一种可选实施例中,所述安全操作子模块还包括:
加密文件移动单元,用于针对加密后的文件执行所述文件移动指令。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明一实施例还提供了电子设备,可以包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,计算机程序被处理器执行时实现如上监控宿主机向虚拟机传递文件的方法的步骤。
本发明一实施例还提供了计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现如上监控宿主机向虚拟机传递文件的方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种监控宿主机向虚拟机传递文件的方法及系统、电子设备、存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种监控宿主机向虚拟机传递文件的方法,其特征在于,应用于宿主机,所述宿主机上运行有虚拟机,所述虚拟机由所述宿主机上的指定进程创建,所述方法包括:
当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
扫描所述文件移动指令对应的文件,生成扫描结果;
根据所述扫描结果,采用预置的安全操作对所述文件进行处理,包括:采用所述扫描结果,确定所述文件的类别信息;所述类别信息为第一类别、第二类别和第三类别中的一种;根据所述类别信息,采用预置的安全操作对所述文件进行处理;
其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种,所述第一类别属于重要文件,所述第二类别的文件属于机密文件,所述第三类别属于一般文件;
所述根据所述类别信息,采用预置的安全操作对所述文件进行处理,包括:若所述文件的类别信息为所述第一类别,则对所述文件进行加密处理,若所述文件的类别信息为所述第二类别,则停止执行所述文件移动指令,若所述文件的类别信息为所述第三类别,则执行所述文件移动指令。
2.根据权利要求1所述的方法,其特征在于,所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤之前,还包括:
对所述宿主机的进程进行监控;
当监控到新的进程时,检测所述新的进程是否为所述指定进程;
若所述新的进程为所述指定进程,则检测所述指定进程是否已创建虚拟机;
若所述指定进程已创建所述虚拟机,则执行所述当所述指定进程生成文件移动指令时,拦截所述文件移动指令的步骤。
3.根据权利要求1或2所述的方法,其特征在于,所述宿主机还设置有日志文件,所述根据所述扫描结果,采用预置的安全操作对所述文件进行处理的步骤之后,还包括:
将当前的扫描结果和当前采用的安全操作保存在所述日志文件中。
4.根据权利要求1或2所述的方法,其特征在于,所述宿主机还运行有关键字扫描引擎,所述扫描所述文件移动指令对应的文件,生成扫描结果的步骤,包括:
获取与所述文件移动指令对应的文件;
采用所述关键字扫描引擎识别所述文件的内容;
根据预置的关键字,对所述文件的内容进行关键字扫描;
生成扫描结果。
5.根据权利要求1所述的方法,其特征在于,所述若所述文件的类别信息为第一类别,则对所述文件进行加密处理的步骤之后,还包括:
针对加密后的文件执行所述文件移动指令。
6.一种监控宿主机向虚拟机传递文件的系统,其特征在于,应用于宿主机,所述宿主机上运行有虚拟机,所述虚拟机由所述宿主机上的指定进程创建,所述系统包括:
拦截模块,用于当所述指定进程生成文件移动指令时,拦截所述文件移动指令;所述文件移动指令为剪贴版访问指令或拖拽响应指令;
扫描结果模块,用于扫描所述文件移动指令对应的文件,生成扫描结果;
处理模块,用于根据所述扫描结果,采用预置的安全操作对所述文件进行处理,所述处理模块包括:类别信息子模块,用于采用所述扫描结果,确定所述文件的类别信息;所述类别信息为第一类别、第二类别和第三类别中的一种,安全操作子模块,用于根据所述类别信息,采用预置的安全操作对所述文件进行处理;
其中,所述预置的安全操作为对所述文件进行加密、执行所述文件移动指令和停止执行所述文件移动指令中的一种,所述第一类别属于重要文件,所述第二类别的文件属于机密文件,所述第三类别属于一般文件;
所述安全操作子模块包括:加密单元,用于若所述文件的类别信息为所述第一类别,则对所述文件进行加密处理,停止单元,用于若所述文件的类别信息为所述第二类别,则停止执行所述文件移动指令,执行单元,用于若所述文件的类别信息为所述第三类别,则执行所述文件移动指令。
7.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至5中任一项所述的监控宿主机向虚拟机传递文件的方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的监控宿主机向虚拟机传递文件的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010256481.8A CN111459687B (zh) | 2020-04-02 | 2020-04-02 | 一种监控宿主机向虚拟机传递文件的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010256481.8A CN111459687B (zh) | 2020-04-02 | 2020-04-02 | 一种监控宿主机向虚拟机传递文件的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111459687A CN111459687A (zh) | 2020-07-28 |
| CN111459687B true CN111459687B (zh) | 2023-06-16 |
Family
ID=71680493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010256481.8A Active CN111459687B (zh) | 2020-04-02 | 2020-04-02 | 一种监控宿主机向虚拟机传递文件的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111459687B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112165426A (zh) * | 2020-10-15 | 2021-01-01 | 北京明朝万达科技股份有限公司 | 一种基于Linux系统的文件发送方法、装置和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101403983A (zh) * | 2008-11-25 | 2009-04-08 | 北京航空航天大学 | 基于虚拟机的多核处理器的资源监控方法及系统 |
| US7624240B1 (en) * | 2006-10-17 | 2009-11-24 | Vmware, Inc. | Separate swap files corresponding to different virtual machines in a host computer system |
| CN102521038A (zh) * | 2011-12-06 | 2012-06-27 | 北京航空航天大学 | 基于分布式文件系统的虚拟机迁移方法和装置 |
| CN107515775A (zh) * | 2016-06-15 | 2017-12-26 | 华为技术有限公司 | 一种数据传输方法及装置 |
| US9922192B1 (en) * | 2012-12-07 | 2018-03-20 | Bromium, Inc. | Micro-virtual machine forensics and detection |
| CN107885586A (zh) * | 2017-11-15 | 2018-04-06 | 北京易讯通信息技术股份有限公司 | 一种在私有云中迁移虚拟机的安全防护方法 |
| CN110928707A (zh) * | 2019-10-31 | 2020-03-27 | 北京浪潮数据技术有限公司 | 一种宿主机和虚拟机的数据交换方法及相关装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8756293B2 (en) * | 2007-04-23 | 2014-06-17 | Nholdings Sa | Providing a user with virtual computing services |
| US20120066681A1 (en) * | 2010-09-12 | 2012-03-15 | Levy Tomer | System and method for management of a virtual machine environment |
| US9398059B2 (en) * | 2013-11-22 | 2016-07-19 | Dell Products, L.P. | Managing information and content sharing in a virtual collaboration session |
-
2020
- 2020-04-02 CN CN202010256481.8A patent/CN111459687B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7624240B1 (en) * | 2006-10-17 | 2009-11-24 | Vmware, Inc. | Separate swap files corresponding to different virtual machines in a host computer system |
| CN101403983A (zh) * | 2008-11-25 | 2009-04-08 | 北京航空航天大学 | 基于虚拟机的多核处理器的资源监控方法及系统 |
| CN102521038A (zh) * | 2011-12-06 | 2012-06-27 | 北京航空航天大学 | 基于分布式文件系统的虚拟机迁移方法和装置 |
| US9922192B1 (en) * | 2012-12-07 | 2018-03-20 | Bromium, Inc. | Micro-virtual machine forensics and detection |
| CN107515775A (zh) * | 2016-06-15 | 2017-12-26 | 华为技术有限公司 | 一种数据传输方法及装置 |
| CN107885586A (zh) * | 2017-11-15 | 2018-04-06 | 北京易讯通信息技术股份有限公司 | 一种在私有云中迁移虚拟机的安全防护方法 |
| CN110928707A (zh) * | 2019-10-31 | 2020-03-27 | 北京浪潮数据技术有限公司 | 一种宿主机和虚拟机的数据交换方法及相关装置 |
Non-Patent Citations (3)
| Title |
|---|
| KVM虚拟化动态迁移技术的安全防护模型;范伟等;《软件学报》;20160122(第06期);第1402-1415页 * |
| 基于硬件虚拟化的虚拟机文件完整性监控;赵成等;《计算机应用》;20170210(第02期);第109-112页 * |
| 虚拟机与宿主机之间的文件访问控制;张勇等;《信息安全与通信保密》;20100110(第01期);第387-391页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111459687A (zh) | 2020-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9246948B2 (en) | Systems and methods for providing targeted data loss prevention on unmanaged computing devices | |
| US9100440B1 (en) | Systems and methods for applying data loss prevention policies to closed-storage portable devices | |
| US9246941B1 (en) | Systems and methods for predicting the impact of security-policy changes on users | |
| US9852294B1 (en) | Systems and methods for detecting suspicious applications based on how entry-point functions are triggered | |
| EP2902937B1 (en) | Method, apparatus, and system for triggering virtual machine introspection | |
| WO2018217368A1 (en) | Isolated container event monitoring | |
| WO2019226363A9 (en) | Small-footprint endpoint data loss prevention (dlp) | |
| US11132436B2 (en) | FPGA cloud host development method and system | |
| US8671455B1 (en) | Systems and methods for detecting unintentional information disclosure | |
| US20110078497A1 (en) | Automated recovery from a security event | |
| US9405904B1 (en) | Systems and methods for providing security for synchronized files | |
| US9953158B1 (en) | Systems and methods for enforcing secure software execution | |
| WO2003073208A2 (en) | Altered states of software component behavior | |
| US9104859B1 (en) | Systems and methods for scanning data stored on cloud computing platforms | |
| US10547531B2 (en) | Systems and methods for enforcing data loss prevention policies | |
| US9942268B1 (en) | Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments | |
| US10803188B1 (en) | Systems and methods for preventing sensitive data sharing | |
| US11204992B1 (en) | Systems and methods for safely executing unreliable malware | |
| CN108334404B (zh) | 应用程序的运行方法和装置 | |
| US10318272B1 (en) | Systems and methods for managing application updates | |
| CN109815700A (zh) | 应用程序的处理方法及装置、存储介质、计算机设备 | |
| CN113486400A (zh) | 一种数据防泄漏方法、装置、电子设备及可读存储介质 | |
| CN110807191B (zh) | 一种应用程序的安全运行方法及装置 | |
| CN112307528A (zh) | 电子文档的安全处理方法及装置 | |
| CN111459687B (zh) | 一种监控宿主机向虚拟机传递文件的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |