WO2016095687A1

WO2016095687A1 - 虚拟化安全检测方法与系统

Info

Publication number: WO2016095687A1
Application number: PCT/CN2015/095820
Authority: WO
Inventors: 汪圣平; 杨晓东
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2014-12-19
Filing date: 2015-11-27
Publication date: 2016-06-23
Also published as: CN104504331B; CN104504331A

Abstract

一种虚拟化安全检测方法与系统，其中，所述方法包括：根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器（100）；其中，安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息；从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至缓存服务器和/或查杀服务器进行待检测信息的安全检测（102）；根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别（104）；其中，集群包括至少一台物理机，每台物理机包括至少一台虚拟机，缓存服务器和/或所述查杀服务器设置于一台物理机的虚拟机中。该方法与系统提高了物理机的资源利用率。

Description

虚拟化安全检测方法与系统

技术领域

本发明涉及计算机技术领域，特别是涉及一种虚拟化安全检测方法与系统。

背景技术

虚拟化，是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。

现有的虚拟化安全检测方案中，若同一台物理机上存在多台虚拟的逻辑计算机(虚拟机)，对多台虚拟机中的信息进行安全检测时，需要在每台虚拟机中设置查杀服务器，将每台虚拟机中的信息在各自的查杀服务器中进行安全检测。

由于每台虚拟机中包含有相同或相似的信息，而且查杀服务器也彼此相同，如果多台虚拟机同时对相同的信息进行安全检测，势必增加了多台虚拟机所在的物理机的资源占用。

发明内容

鉴于上述现有的虚拟化安全检测方法对多台虚拟机中的信息进行安全检测，容易造成物理机的资源占用高的问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的虚拟化安全检测方法与系统。

依据本发明的一个方面，提供了一种虚拟化安全检测方法，包括：

根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器；其中，所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息；

从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测；

根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别；

其中，所述集群包括至少一台物理机，每台所述物理机包括至少一台虚拟机，所述缓存服务器和/或所述查杀服务器设置于一台物理机的虚拟机中。

根据本发明的另一方面，提供了一种虚拟化安全检测系统，包括：集群、缓存服务器和/或查杀服务器，其中，所述集群包括至少一台物理机，每台所述物理机包括至少一台虚拟机，所述缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中；所述系统还包括：

缓存服务器和/或查杀服务器生成模块，配置为根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器；其中，所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息；

待检测信息获取模块，配置为从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测；

安全级别确定模块，配置为根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别。

根据本发明的又一方面，提供了一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算机上运行时，导致所述计算机执行权利要求书中的任一个所述的虚拟化安全监测方法。

根据本发明的再一方面，提供了一种计算机可读介质，其中存储了权利要求书中要求保护的所述的计算机程序。

本发明的有益效果为：

现有的虚拟化安全检测方案中，当同时对多台虚拟机中的信息进行安全检测时，每台虚拟机中的查杀服务器均启动对信息进行安全检测，增加了物理机的资源占用率。而根据本发明的虚拟机安全检测方案，根据同一集群中的物理机的硬件信息、物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器，其中，集群包括至少一台物理机，每台物理机包括至少一台虚拟机，缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中。从物理机中获取待检测信息，并通过网络发送至缓存服务器和/或查杀服务器进行待检测信息的安全检测，根据缓存服务器和/或查杀服务器的检测结果确定待检测信息的安全级别。

根据同一集群中的物理机的硬件信息、物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器，可以根据实际情况动态配置缓存服务器和/或查杀服务器的数量和位置，降低了物理机的资源利用率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是根据本发明实施例一的一种虚拟化安全检测方法的步骤流程图；

图2是根据本发明实施例二的一种虚拟化安全检测方法的步骤流程图；

图3是根据本发明实施例三的一种虚拟化安全检测系统的结构框图；

图4是根据本发明实施例四的一种虚拟化安全检测系统的结构框图；

图5示意性地示出了用于执行根据本发明的虚拟化安全检测方法的计算机的结构框图；以及

图6示意性地示出了用于保持或者携带实现根据本发明的虚拟化安全检测的程序代码的存储单元。

具体实施方式

下面将参照附图更详细地描述本发明公开的示例性实施例。虽然附图中显示了本发明公开的示例性实施例，然而应当理解，可以以各种形式实现本发明公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本发明公开的范围完整的传达给本领域的技术人员。

实施例一

详细介绍本发明实施例提供的一种虚拟化安全检测方法。

参照图1，示出了本发明实施例中的一种虚拟化安全检测方法的步骤流程图。

本发明实施例中的虚拟化安全检测方法可以应用于包括至少一台物理机的集群中，每台物理机包括至少一台虚拟机，缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中。例如，所述缓存服务器和/或所述查杀服务器可以仅设置于一台物理机的一台虚拟机中，而其它虚拟机中则无需设置，或者，也可以设置于一台物理机的多台虚拟机中。

本发明实施例的虚拟化安全检测方法包括以下步骤：

步骤100，根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器。

其中，所述物理机中的虚拟机的配置信息可以包括虚拟机所占用的物理机的资源信息；所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息。

所述缓存服务器的基础配置信息可以包括缓存服务器的缓存空间，索引等信息；所述查杀服务器的基础配置信息可以包括查杀服务器的查杀引擎的设置等信息。

步骤102，从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测。

所述待检测信息可以来源于同一台物理机，也可以来源于多台物理机，可以来源于同一台物理机中的一台虚拟机或多台虚拟机，也可以来源于多台物理机中的多台虚拟机。通过网络传输待检测信息与通过底层物理层传输待检测信息相比，因底层物理层本身的局限，仅能传输文件信息，而通过网络传输的待检测信息，除了可以是文件信息外，还可以包括但不限于网址信息、访问路径信息、注册表读写信息等。

步骤104，根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别。

在缓存服务器中可以缓存待检测信息与其对应的安全级别的对应关系，缓存服务器的检测结果可以为待检测信息与其对应的安全级别的对应关系。例如，缓存服务器中缓存有待检测信息A与其对应的安全级别“危险”的对应关系；缓存服务器中缓存有待检测信息B与其对应的安全级别“安全”的对应关系。

查杀服务器可以对待检测信息进行安全查杀等检测操作得到检测结果，检测结果中可以包括待检测信息对应的安全级别。

综上所述，本发明实施例根据同一集群中的物理机的硬件信息、物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器，其中，集群包括至少一台物理机，每台物理机包括至少一台虚拟机，缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中。从物理机中获取待检测信息，并通过网络发送至缓存服务器和/或查杀服务器进行待检测信息的安全检测，根据缓存服务器和/或查杀服务器的检测结果确定待检测信息的安全级别。

实施例二

详细介绍本发明实施例提供的一种虚拟化安全检测方法。

参照图2，示出了本发明实施例中的一种虚拟化安全检测方法的步骤流程图。

本实施例的虚拟化安全检测方法包括以下步骤：

步骤200，根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器。

其中，所述物理机中的虚拟机的配置信息可以包括虚拟机所占用的物理机的资源信息。

优选地，当所述集群包括多台物理机时，所述物理机中的虚拟机的配置信息包括所述多台物理机中的多台虚拟机的配置信息，所述多台物理机中的多台虚拟机的配置信息为多台虚拟机占用多台物理机中硬件资源的信息。

所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息。

优选地，所述步骤200可以包括：

子步骤2001，根据所述同一集群中的物理机的硬件信息和所述物理机中的虚拟机的配置信息，确定缓存服务器和/或查杀服务器的生成数量和生成位置。

所述同一集群中的物理机的硬件信息和物理机中虚拟机的配置信息影响着虚拟机的运行效率，同样也影响着待检测信息的安全检测效率。

若集群中物理机的硬件配置较低，虚拟机占用物理机的资源较少，相应地，待检测信息的信息量也较少，则可以适当地减少缓存服务器和/或查杀服务器的生成数量；反之，可以适当地增加缓存服务器和/或查杀服务器的生成数量。

若集群中某台物理机的硬件配置较高，该台物理机中的虚拟机占用的资源较少，集群中其他物理机的硬件配置较低，其他物理机中的虚拟机占用的资源较高，则可以将缓存服务器和/或查杀服务器的生成位置设定在该台物理机的虚拟机中。

优选地，所述生成数量的缓存服务器和/或查杀服务器与所述集群中的物理机中的虚拟机存在对应关系。

也就是说，集群中的物理机中的虚拟机影响着缓存服务器和/或查杀服务器的生成数量，若集群中的物理机中的虚拟机的数量较少，则相应地缓存服务器和/或查杀服务器的生成数量较少；若集群中的物理机中的虚拟机的数量较多，则相应地缓存服务器和/或查杀服务器的生成数量较多。

具体地，缓存服务器和/或查杀服务器的生成数量和生成位置可以根据实际情况进行设定，本发明实施例对缓存服务器和/或查杀服务器的生成数量和生成位置的详细过程不作限制。

子步骤2002，根据所述安全检测模板在所述生成位置创建所述生成数量的缓存服务器和/或查杀服务器。

其中，所述安全检测模板可以分为缓存模板和查杀模板，依次分别对应缓存服务器和查杀服务器。

安全检测模板中设置有固定的配置，用来创建缓存服务器和/或查杀服务器的基础信息。

优选地，所述步骤200可以为：

检测到所述集群中的物理机的硬件信息发生改变，和/或所述物理机中的虚拟机的配置信息发生改变，则根据所述安全检测模板、改变后的所述集群中的物理机的硬件信息和改变后的所述物理机中的虚拟机的配置信息，生成缓存服务器和/或查杀服务器。

由于集群中物理机的硬件配置不固定，同时，物理机中虚拟机的配置信息也容易发生变化，所以，缓存服务器和/或查杀服务器的生成情况也容易随集群中物理机的硬件信息和/或物理机中虚拟机的配置信息而变化。

优选地，所述步骤200还可以为：

确定所述缓存服务器和/或查杀服务器发生故障，或所述待检测信息的信息量超出所述缓存服务器和/或查杀服务器的可承受任务量，则根据所述同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器。

若当前的缓存服务器和/或查杀服务器发生故障，可以为其中一台发生故障，也可以为全部发生故障，则可以根据集群中物理机的硬件信息、物理机中的虚拟机的配置信息和安全检测模板，生成新的缓存服务器和/或查杀服务器。

若获取到的待检测信息的信息量超出了当前的缓存服务器和/或查杀服务器的可承受任务量，则可以根据集群中物理机的硬件信息、物理机中的虚拟机的配置信息和安全检测模板，生成新的缓存服务器和/或查杀服务器，增加缓存服务器和/或查杀服务器的数量。

步骤202，从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测。

优选地，根据待检测信息的不同来源，所述步骤202中从所述物理机中获取待检测信息的过程可以为：

1)、从所述缓存服务器和/或查杀服务器所在的物理机中的至少一台虚拟机获取待检测信息，其中，所述缓存服务器和/或查杀服务器所在的物理机中设置有多台虚拟机。

例如，查杀服务器C1所在的物理机W1中包括虚拟机X1和X2，则可以从虚拟机X1和X2中获取待检测信息，既可以单独从虚拟机X1中获取待检测信息，又可以单独从虚拟机X2中获取待检测信息。

和/或，

2)、从所述缓存服务器和/或查杀服务器所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取待检测信息。

例如，查杀服务器C1所在的物理机W1位于集群J1中，集群J1还包括物理机W2，物理机W1包括虚拟机X1和X2，物理机W2包括虚拟机X3和X4，则可以从虚拟机X1、X2、X3和X4中获取待检测信息，既可以单独从虚拟机X1中获取待检测信息，又可以单独从虚拟机X2中获取待检测信息，还可以单独从虚拟机X3中获取待检测信息，同时，也可以单独从虚拟机X4中获取待检测信息。

从所述物理机中获取待检测信息可以单独选择上述1)中的方式，还可以单独选择上述2)中的方式，也可以同时选择上述1)和2)中的方式。

优选地，所述待检测信息可以包括文件信息、网址信息、访问路径信息、注册表读写信息中的至少一种，本发明实施例对待检测信息的具体内容不作限制。

步骤204，根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别。

在缓存服务器中可以缓存待检测信息与其对应的安全级别的对应关系，缓存服务器的检测结果可以为待检测信息与其对应的安全级别的对应关系。例如，缓存服务器中缓存有待检测信息A与其对应的安全级别“危险”的对应关系；缓存服务器中缓存有待检测信息B与其对应的安全级别 “安全”的对应关系。

优选地，上述步骤204中查杀服务器进行所述待检测信息的安全检测的步骤可以包括：

步骤041，所述查杀服务器获取所述待检测信息的特征值。

所述待检测信息的特征值为用于标识待检测信息具有唯一性的属性信息，查杀服务器可以对待检测信息进行计算等操作得到特征值，本发明实施例对查杀服务器获取待检测信息的特征值的技术手段不作限制。

步骤042，所述查杀服务器通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测。

所述查杀引擎为查杀服务器的核心组件，利用查杀引擎可以对特征值进行扫描和识别，实现对待检测信息的安全检测。

优选地，若上述步骤042中，所述查杀服务器通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测未得到检测结果，则执行步骤043。

步骤043，所述查杀服务器将所述特征值发送至所述集群的私有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述查杀服务器。

所述集群设置有私有云端服务器，所述私有云端服务器通常设置为供所述集群内的物理机和虚拟机连接访问，在私有云端服务器上存储有所述集群内的大量待检测信息的相关信息，包括待检测信息的特征值、对应的安全级别等等。

优选地，上述步骤043中，所述查杀服务器将所述特征值发送至所述集群的私有云端服务器进行安全检测的过程可以为：

所述查杀服务器按照预设的扫描顺序，将所述特征值发送至所述集群的私有云端服务器进行安全检测。

若存在多个需要发送至私有云端服务器进行安全检测的特征值，则查杀服务器可以按照预设的扫描顺序，发送多个特征值至私有云端服务器进行安全检测。

优选地，上述步骤043中，在所述获得检测结果，并将所述检测结果返回给所述查杀服务器之后，所述查杀服务器还可以将所述安全检测结果发送至所述缓存服务器中进行存储。

查杀服务器将安全检测结果发送至缓存服务器进行储存的目的是，增加了缓存服务器上待检测信息与其对应的安全级别的对应关系库。

优选地，若上述步骤043中，所述私有云端服务器对所述待检测信息进行安全检测未得到检测结果，则执行步骤044。

步骤044，将所述特征值发送至所述集群外部的公有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述私有云端服务器，并通过所述私有云端服务器将所述检测结果返回给所述查杀服务器。

通常，私有云端服务器的安全检测能力较公有云端服务器的安全检测能力弱，在私有云端服务器未得到检测结果时，将特征值发送至公有云端服务器进行安全检测，可以得到检测结果，再将检测结果返回给私有云端服务器和查杀服务器，可以增加后续私有云端服务器和查杀服务器的检测成功率。

优选地，所述私有云端服务器可以按照设定规则从所述公有云端服务器获取更新信息，其中，所述更新信息中可以包含有所述公有云端服务器定期更新的特征值与安全级别的对应关系。

优选地，所述私有云端服务器可以根据所述更新信息更新所述私有云端服务器中存储的特征值与安全级别的对应关系。

实施例三

详细介绍本发明实施例提供的一种虚拟化安全检测系统。

参照图3，示出了本发明实施例中的一种虚拟化安全检测系统的结构框图。

所述系统可以包括：集群、缓存服务器和/或查杀服务器、缓存服务器和/或查杀服务器生成模块300、待检测信息获取模块302、安全级别确定模块304。

其中，所述集群包括至少一台物理机，每台所述物理机包括至少一台虚拟机，所述缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中。

缓存服务器和/或查杀服务器生成模块300，配置为根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器；其中，所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息。

待检测信息获取模块302，配置为从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测。

安全级别确定模块304，配置为根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别。

实施例四

详细介绍本发明实施例提供的一种虚拟化安全检测系统。

参照图4，示出了本发明实施例中的一种虚拟化安全检测系统的结构框图。

所述系统可以包括：集群、缓存服务器和/或查杀服务器、缓存服务器和/或查杀服务器生成模块400、待检测信息获取模块402、安全级别确定模块404。

其中，所述缓存服务器和/或查杀服务器生成模块400可以包括：数量和位置确定子模块4001，创建子模块4002。

所述查杀服务器可以包括：特征值获取模块406，安全检测模块408，私有云端检测模块410，公有云端检测模块412。

所述集群包括至少一台物理机，每台所述物理机包括至少一台虚拟机，所述缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中。

缓存服务器和/或查杀服务器生成模块400，配置为根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器；其中，所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息。

优选地，所述缓存服务器和/或查杀服务器生成模块400可以包括：

数量和位置确定子模块4001，配置为根据所述同一集群中的物理机的硬件信息和所述物理机中的虚拟机的配置信息，确定缓存服务器和/或查杀服务器的生成数量和生成位置。

创建子模块4002，配置为根据所述安全检测模板在所述生成位置创建所述生成数量的缓存服务器和/或查杀服务器。

其中，所述生成数量的缓存服务器和/或查杀服务器与所述集群中的物理机中的虚拟机存在对应关系。

优选地，所述缓存服务器和/或查杀服务器生成模块400检测到所述集群中的物理机的硬件信息发生改变，和/或所述物理机中的虚拟机的配置信息发生改变，则根据所述安全检测模板、改变后的所述集群中的物理机的硬件信息和改变后的所述物理机中的虚拟机的配置信息，生成缓存服务器和/或查杀服务器。

优选地，所述缓存服务器和/或查杀服务器生成模块400确定所述缓存服务器和/或查杀服务器发生故障，或所述待检测信息的信息量超出所述缓存服务器和/或查杀服务器的可承受任务量，则根据所述同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板，生成缓存服务器和/或查杀服务器。

待检测信息获取模块402，配置为从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测。

优选地，所述待检测信息获取模块402从所述缓存服务器和/或查杀服务器所在的物理机中的至少一台虚拟机获取待检测信息，其中，所述缓存服务器和/或查杀服务器所在的物理机中设置有多台虚拟机。

和/或，

所述待检测信息获取模块402从所述缓存服务器和/或查杀服务器所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取待检测信息。

优选地，所述待检测信息包括文件信息、网址信息、访问路径信息、注册表读写信息中的至少一种。

安全级别确定模块404，配置为根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别。

优选地，所述查杀服务器可以包括：

特征值获取模块406，配置为获取所述待检测信息的特征值。

安全检测模块408，配置为通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测。

私有云端检测模块410，配置为若所述安全检测模块404通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测未得到检测结果，将所述特征值发送至所述集群的私有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述查杀服务器。

优选地，所述私有云端检测模410块按照预设的扫描顺序，将所述特征值发送至所述集群的私有云端服务器进行安全检测。

公有云端检测模块412，配置为若所述私有云端服务器对所述待检测信息进行安全检测未得到检测结果，则将所述特征值发送至所述集群外部的公有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述私有云端服务器，并通过所述私有云端服务器将所述检测结果返回给所述查杀服务器。

优选地，所述私有云端服务器按照设定规则从所述公有云端服务器获取更新信息，其中，所述更新信息中包含有所述公有云端服务器定期更新的特征值与安全级别的对应关系。

优选地，所述私有云端服务器根据所述更新信息更新所述私有云端服务器中存储的特征值与安全级别的对应关系。

在此提供的虚拟化安全检测方案不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造具有本发明方案的系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的虚拟化安全检测方案中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图5示出了可以实现根据本发明的虚拟化安全检测方法的计算机。该计算机传统上包括处理器510和以存储器520形式的计算机程序产品或者计算机可读介质。存储器520可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器520具有用于执行上述方法中的任何方法步骤的程序代码531的存储空间 530。例如，用于程序代码的存储空间530可以包括分别用于实现上面的方法中的各种步骤的各个程序代码531。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图6所述的便携式或者固定存储单元。该存储单元可以具有与图5的移动终端中的存储器520类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码531’，即可以由例如诸如510之类的处理器读取的代码，这些代码当由计算机运行时，导致该计算机执行上面所描述的方法中的各个步骤。

本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

一种虚拟化安全检测方法，包括：

根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器；其中，所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息；

从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测；

根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别；

其中，所述集群包括至少一台物理机，每台所述物理机包括至少一台虚拟机，所述缓存服务器和/或所述查杀服务器设置于一台物理机的虚拟机中。
根据权利要求1所述的方法，其中，当所述集群包括多台物理机时，所述物理机中的虚拟机的配置信息包括所述多台物理机中的多台虚拟机的配置信息，所述多台物理机中的多台虚拟机的配置信息为多台虚拟机占用多台物理机中硬件资源的信息。
根据权利要求1或2所述的方法，其中，所述根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器，包括：

根据所述同一集群中的物理机的硬件信息和所述物理机中的虚拟机的配置信息，确定缓存服务器和/或查杀服务器的生成数量和生成位置；

根据所述安全检测模板在所述生成位置创建所述生成数量的缓存服务器和/或查杀服务器；

其中，所述生成数量的缓存服务器和/或查杀服务器与所述集群中的物理机中的虚拟机存在对应关系。
根据权利要求1所述的方法，其中，所述根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器，包括：

检测到所述集群中的物理机的硬件信息发生改变，和/或所述物理机中的虚拟机的配置信息发生改变，则根据所述安全检测模板、改变后的所述集群中的物理机的硬件信息和改变后的所述物理机中的虚拟机的配置信息，生成缓存服务器和/或查杀服务器。
根据权利要求1所述的方法，其中，所述根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器，包括：

确定所述缓存服务器和/或查杀服务器发生故障，或所述待检测信息的信息量超出所述缓存服务器和/或查杀服务器的可承受任务量，则根据所述同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器。
根据权利要求1所述的方法，其中，所述从所述物理机中获取待检测信息，包括：

从所述缓存服务器和/或查杀服务器所在的物理机中的至少一台虚拟机获取待检测信息，其中，所述缓存服务器和/或查杀服务器所在的物理机中设置有多台虚拟机；

和/或，

从所述缓存服务器和/或查杀服务器所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取待检测信息。
根据权利要求1或6所述的方法，其中，所述待检测信息包括文件信息、网址信息、访问路径信息、注册表读写信息中的至少一种。
根据权利要求1所述的方法，其中，所述查杀服务器进行所述待检测信息的安全检测的步骤，包括：

所述查杀服务器获取所述待检测信息的特征值；

所述查杀服务器通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测。
根据权利要求8所述的方法，其中，所述方法还包括：

若所述查杀服务器通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测未得到检测结果，所述查杀服务器将所述特征值发送至所述集群的私有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述查杀服务器。
根据权利要求9所述的方法，其中，所述方法还包括：

若所述私有云端服务器对所述待检测信息进行安全检测未得到检测结果，则将所述特征值发送至所述集群外部的公有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述私有云端服务器，并通过所述私有云端服务器将所述检测结果返回给所述查杀服务器。
根据权利要求9所述的方法，其中，所述查杀服务器将所述特征值发送至所述集群的私有云端服务器进行安全检测，包括：

所述查杀服务器按照预设的扫描顺序，将所述特征值发送至所述集群的私有云端服务器进行安全检测。
根据权利要求10所述的方法，所述方法还包括：

所述私有云端服务器按照设定规则从所述公有云端服务器获取更新信息，其中，所述更新信息中包含有所述公有云端服务器定期更新的特征值与安全级别的对应关系；

所述私有云端服务器根据所述更新信息更新所述私有云端服务器中存储的特征值与安全级别的对应关系。
一种虚拟化安全检测系统，包括：集群、缓存服务器和/或查杀服务器，其中，所述集群包括至少一台物理机，每台所述物理机包括至少一台虚拟机，所述缓存服务器和/或查杀服务器设置于一台物理机的虚拟机中；所述系统还包括：

缓存服务器和/或查杀服务器生成模块，配置为根据同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板生成缓存服务器和/或查杀服务器；其中，所述安全检测模板包括缓存服务器的基础配置信息和/或查杀服务器的基础配置信息；

待检测信息获取模块，配置为从所述物理机中获取待检测信息，将所述待检测信息通过网络发送至所述缓存服务器和/或查杀服务器进行所述待检测信息的安全检测；

安全级别确定模块，配置为根据所述缓存服务器和/或查杀服务器的检测结果确定所述待检测信息的安全级别。
根据权利要求13所述的系统，其中，当所述集群包括多台物理机时，所述物理机中的虚拟机的配置信息包括所述多台物理机中的多台虚拟机的配置信息，所述多台物理机中的多台虚拟机的配置信息为多台虚拟机占用多台物理机中硬件资源的信息。
根据权利要求13或14所述的系统，其中，所述缓存服务器和/或查杀服务器生成模块，包括：

数量和位置确定子模块，配置为根据所述同一集群中的物理机的硬件信息和所述物理机中的虚拟机的配置信息，确定缓存服务器和/或查杀服务器的生成数量和生成位置；

创建子模块，配置为根据所述安全检测模板在所述生成位置创建所述生成数量的缓存服务器和/或查杀服务器；

其中，所述生成数量的缓存服务器和/或查杀服务器与所述集群中的物理机中的虚拟机存在对应关系。
根据权利要求13所述的系统，其中，所述缓存服务器和/或查杀服务器生成模块检测到所述集群中的物理机的硬件信息发生改变，和/或所述物理机中的虚拟机的配置信息发生改变，则根据所述安全检测模板、改变后的所述集群中的物理机的硬件信息和改变后的所述物理机中的虚拟机的配置信息，生成缓存服务器和/或查杀服务器。
根据权利要求13所述的系统，其中，所述缓存服务器和/或查杀服务器生成模块确定所述缓存服务器和/或查杀服务器发生故障，或所述待检测信息的信息量超出所述缓存服务器和/或查杀服务器的可承受任务量，则根据所述同一集群中的物理机的硬件信息、所述物理机中的虚拟机的配置信息和安全检测模板，生成缓存服务器和/或查杀服务器。
根据权利要求13所述的系统，其中，

所述待检测信息获取模块从所述缓存服务器和/或查杀服务器所在的物理机中的至少一台虚拟机获取待检测信息，其中，所述缓存服务器和/或查杀服务器所在的物理机中设置有多台虚拟机；

和/或，

所述待检测信息获取模块从所述缓存服务器和/或查杀服务器所在的物理机位于同一集群的至少一台物理机的至少一台虚拟机中获取待检测信息。
根据权利要求13或18所述的系统，其中，

所述待检测信息包括文件信息、网址信息、访问路径信息、注册表读写信息中的至少一种。
根据权利要求13所述的系统，其中，所述查杀服务器，包括：

特征值获取模块，配置为获取所述待检测信息的特征值；

安全检测模块，配置为通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测。
根据权利要求20所述的系统，其中，所述查杀服务器，还包括：

私有云端检测模块，配置为若所述安全检测模块通过查杀引擎扫描所述特征值对所述待检测信息进行安全检测未得到检测结果，将所述特征值发送至所述集群的私有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述查杀服务器。
根据权利要求21所述的系统，其中，所述查杀服务器，还包括：

公有云端检测模块，配置为若所述私有云端服务器对所述待检测信息进行安全检测未得到检测结果，则将所述特征值发送至所述集群外部的公有云端服务器进行安全检测，获得检测结果，并将所述检测结果返回给所述私有云端服务器，并通过所述私有云端服务器将所述检测结果返回给所述查杀服务器。
根据权利要求21所述的系统，其中，所述私有云端检测模块按照预设的扫描顺序，将所述特征值发送至所述集群的私有云端服务器进行安全检测。
根据权利要求22所述的系统，其中，

所述私有云端服务器按照设定规则从所述公有云端服务器获取更新信息，其中，所述更新信息中包含有所述公有云端服务器定期更新的特征值与安全级别的对应关系；

所述私有云端服务器根据所述更新信息更新所述私有云端服务器中存储的特征值与安全级别的对应关系。
一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算机上运行时，导致所述计算机执行根据权利要求1-12中的任一个所述的虚拟化安全监测方法。
一种计算机可读介质，其中存储了如权利要求25所述的计算机程序。