技术领域
[0001] 本
发明涉及
软件安全检测技术领域,更具体地说,涉及一种虚拟化平台的安全检测方法、装置、设备及可读存储介质。
背景技术
[0002] 虚拟化平台中的每个
虚拟机以
进程的形式运行在宿主机上,为了保障虚拟化平台和宿主机的安全,需要逐一检测每台虚拟机中运行的程序是否安全。
[0003] 在
现有技术中,一般通过安全防护软件来保障虚拟机的安全。可想而知,现有的安全防护方式需要技术人员手动登录虚拟机,为每台虚拟机安装安全防护软件,并进行相应的设置,这样无疑增加了技术人员的工作量,不利于安全检测工作的顺利开展。当虚拟化平台中的虚拟机数量较多时,人工安装设置不免会出现误差,从而降低了虚拟化平台和宿主机的安全性。
[0004] 因此,如何提高虚拟化平台和宿主机的安全性,是本领域技术人员需要解决的问题。
发明内容
[0005] 本发明的目的在于提供一种虚拟化平台的安全检测方法、装置、设备及可读存储介质,以提高虚拟化平台和宿主机的安全性。
[0006] 为实现上述目的,本发明
实施例提供了如下技术方案:
[0007] 一种虚拟化平台的安全检测方法,包括:
[0008] 当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
[0009] 判断所述标识信息存在于预设的可信清单还是可疑清单;
[0010] 当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
[0011] 当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
[0012] 其中,还包括:
[0013] 若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
[0014] 当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步骤。
[0015] 其中,还包括:
[0016] 当所述查询结果为所述目标程序不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
[0017] 其中,还包括:
[0018] 当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
[0019] 获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
[0020] 其中,所述将所述目标程序传输至预设的检测虚拟机,包括:
[0021] 通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。
[0022] 其中,还包括:
[0023] 当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
[0024] 一种虚拟化平台的安全检测装置,包括:
[0025] 获取模
块,用于当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
[0026] 判断模块,用于判断所述标识信息存在于预设的可信清单还是可疑清单;
[0027] 运行模块,用于当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
[0028] 禁止模块,用于当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
[0029] 其中,还包括:
[0030] 查询模块,用于若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
[0031] 第一执行模块,用于当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述禁止模块的步骤。
[0032] 一种虚拟化平台的安全检测设备,包括:
[0034] 处理器,用于执行所述计算机程序时实现上述任意一项所述的虚拟化平台的安全检测方法的步骤。
[0035] 一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的虚拟化平台的安全检测方法的步骤。
[0036] 通过以上方案可知,本发明实施例提供的一种虚拟化平台的安全检测方法,包括:当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;判断所述标识信息存在于预设的可信清单还是可疑清单;当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
[0037] 可见,所述方法预设了可信清单和可疑清单,当目标程序的标识信息存在于可信清单时,表明当前程序为安全程序,可以正常运行,则向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当目标程序的标识信息存在于可疑清单时,表明当前程序为不安全程序,不可以运行,则向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行,从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性;同时,本方案为程序自动执行,无需工作人员为每台虚拟机安装安全防护软件,从而减少了工作人员的工作量,还提高了工作效率。
[0038] 相应地,本发明实施例提供的一种虚拟化平台的安全检测装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
[0039] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0040] 图1为本发明实施例公开的一种虚拟化平台的安全检测方法
流程图;
[0041] 图2为本发明实施例公开的另一种虚拟化平台的安全检测方法流程图;
[0042] 图3为本发明实施例公开的一种虚拟化平台的安全检测装置示意图;
[0043] 图4为本发明实施例公开的一种虚拟化平台的安全检测设备示意图;
[0044] 图5为本发明实施例公开的一种安全检测系统示意图。
具体实施方式
[0045] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0046] 本发明实施例公开了一种虚拟化平台的安全检测方法、装置、设备及可读存储介质,以提高虚拟化平台和宿主机的安全性。
[0047] 参见图1,本发明实施例提供的一种虚拟化平台的安全检测方法,包括:
[0048] S101、当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并获取目标程序的标识信息;
[0049] S102、判断标识信息存在于预设的可信清单还是可疑清单;
[0050] S103、当标识信息存在于可信清单时,向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;
[0051] S104、当标识信息存在于可疑清单时,向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。
[0052] 在本实施例中,为了监测每台虚拟机中的程序,可以为每台虚拟机设置监测进程,并通过监测进程监测虚拟机中的程序的运行动态。当监测进程检测到某程序即将开始运行时,即在该程序开始运行之前,阻止该程序的运行,并获取该程序的标识信息。其中,该标识信息可以是程序的HASH值或其他特征值。
[0053] 需要说明的是,所述被管虚拟机为所述虚拟化平台中的所有虚拟机。
[0054] 可见,本实施例提供了一种虚拟化平台的安全检测方法,所述方法预设了可信清单和可疑清单,当目标程序的标识信息存在于可信清单时,表明当前程序为安全程序,可以正常运行,则向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当目标程序的标识信息存在于可疑清单时,表明当前程序为不安全程序,不可以运行,则向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行,从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性;同时,本方案为程序自动执行,无需工作人员为每台虚拟机安装安全防护软件,从而减少了工作人员的工作量,还提高了工作效率。
[0055] 本发明实施例公开了另一种虚拟化平台的安全检测方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。
[0056] 参见图2,本发明实施例提供的另一种虚拟化平台的安全检测方法,包括:
[0057] S201、当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并获取目标程序的标识信息;
[0058] S202、判断标识信息存在于预设的可信清单还是可疑清单;
[0059] S203、当标识信息存在于可信清单时,向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;
[0060] S204、当标识信息存在于可疑清单时,向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。
[0061] S205、当目标程序既不存在于可信清单,也不存在于可疑清单时,通过互联网查询目标程序的HASH值并获取查询结果;
[0062] S206、当查询结果为目标程序不具有恶意行为时,将标识信息添加至可信清单,并执行S203;
[0063] S207、当查询结果为目标程序具有恶意行为时,将标识信息添加至可疑清单,并执行S204。
[0064] 其中,还包括:当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
[0065] 获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
[0066] 其中,所述将所述目标程序传输至预设的检测虚拟机,包括:通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。所述检测虚拟机为所述虚拟化平台中的冗余虚拟机,其专用于检测未知程序,为避免病毒传播,检测虚拟机不接入互联网,并通过预设的安全检测通道传输程序和相应的信息。该安全检测通道的通信速度高于网络传输速度,可提高数据传输效率。当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
[0067] 可见,本实施例提供了另一种虚拟化平台的安全检测方法,所述方法预设了可信清单和可疑清单,当目标程序的标识信息存在于可信清单时,表明当前程序为安全程序,可以正常运行,则向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当目标程序的标识信息存在于可疑清单时,表明当前程序为不安全程序,不可以运行,则向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行,从而使不安全的程序无法运行在虚拟化平台中的任意一台虚拟机中,提高了虚拟化平台和宿主机的安全性;
[0068] 当所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单时,通过互联网查询所述目标程序的HASH值并获取查询结果;当查询结果为目标程序不具有恶意行为时,将标识信息添加至可信清单;当查询结果为目标程序具有恶意行为时,将标识信息添加至可疑清单;添加完成后执行相应的操作。同时,本方案为程序自动执行,无需工作人员为每台虚拟机安装安全防护软件,从而减少了工作人员的工作量,还提高了工作效率。
[0069] 下面对本发明实施例提供的一种虚拟化平台的安全检测装置进行介绍,下文描述的一种虚拟化平台的安全检测装置与上文描述的一种虚拟化平台的安全检测方法可以相互参照。
[0070] 参见图3,本发明实施例提供的一种虚拟化平台的安全检测装置,包括:
[0071] 获取模块301,用于当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止所述目标程序的运行,并获取所述目标程序的标识信息;
[0072] 判断模块302,用于判断所述标识信息存在于预设的可信清单还是可疑清单;
[0073] 运行模块303,用于当所述标识信息存在于所述可信清单时,向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行;
[0074] 禁止模块304,用于当所述标识信息存在于所述可疑清单时,向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行。
[0075] 其中,还包括:
[0076] 查询模块,用于若所述目标程序既不存在于所述可信清单,也不存在于所述可疑清单,则通过互联网查询所述目标程序的HASH值并获取查询结果;
[0077] 第一执行模块,用于当所述查询结果为所述目标程序具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述禁止模块的步骤。
[0078] 其中,还包括:
[0079] 第二执行模块,用于当所述查询结果为所述目标程序不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述运行模块的步骤。
[0080] 其中,还包括:
[0081] 传输模块,用于当所述查询结果为未知时,将所述目标程序传输至预设的检测虚拟机,并在所述检测虚拟机中运行所述目标程序;
[0082] 检测模块,用于获取所述目标程序的运行信息,并根据所述运行信息确定所述目标程序是否具有恶意行为;当具有恶意行为时,将所述标识信息添加至所述可疑清单,并执行所述向所述被管虚拟机发送禁止所述目标程序运行的消息,以使所述目标程序禁止运行的步;当不具有恶意行为时,将所述标识信息添加至所述可信清单,并执行所述向所述被管虚拟机发送允许所述目标程序运行的消息,以使所述目标程序开始运行的步骤。
[0083] 其中,所述传输模块具体用于:
[0084] 通过预设的安全检测通道将所述目标程序传输至所述检测虚拟机。
[0085] 其中,还包括:
[0086] 恢复模块,用于当运行所述目标程序对所述检测虚拟机造成破坏时,通过快照恢复所述检测虚拟机。
[0087] 可见,本实施例提供了一种虚拟化平台的安全检测装置,包括:获取模块、判断模块,运行模块以及禁止模块。当虚拟化平台中的任意一台被管虚拟机中的目标程序开始运行之前,阻止目标程序的运行,并由获取模块获取目标程序的标识信息;然后判断模块判断标识信息存在于预设的可信清单还是可疑清单;当标识信息存在于可信清单时,运行模块向被管虚拟机发送允许目标程序运行的消息,以使目标程序开始运行;当标识信息存在于可疑清单时,禁止模块向被管虚拟机发送禁止目标程序运行的消息,以使目标程序禁止运行。如此各个模块之间分工合作,各司其职,从而提高了虚拟化平台和宿主机的安全性。
[0088] 下面对本发明实施例提供的一种虚拟化平台的安全检测设备进行介绍,下文描述的一种虚拟化平台的安全检测设备与上文描述的一种虚拟化平台的安全检测方法及装置可以相互参照。
[0089] 参见图4,本发明实施例提供的一种虚拟化平台的安全检测设备,包括:
[0090] 存储器401,用于存储计算机程序;
[0091] 处理器402,用于执行所述计算机程序时实现上述任意实施例所述的虚拟化平台的安全检测方法的步骤。
[0092] 下面对本发明实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种虚拟化平台的安全检测方法、装置及设备可以相互参照。
[0093] 一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意实施例所述的虚拟化平台的安全检测方法的步骤。
[0094] 基于上述任意实施例,本发明公开的安全检测方法可运行于虚拟化平台中的管理虚拟机,即:在虚拟化平台中预设管理虚拟机和检测虚拟机,管理虚拟机用于执行本发明公开的方法,检测虚拟机用于检测未知程序的安全性,虚拟化平台中的处理业务的虚拟机为被管虚拟机。
[0095] 具体的,以kvm虚拟化为例。分别在每台虚拟机中安装
内核驱动进程,用来获取即将运行程序的标识信息,并对程序运行进行控制。比如程序A运行开始之前,内核驱动进程拦截此运行操作,并采集程序A的标识信息,程序A进行等待状态,当程序A接收到可以运行的指令时,才继续运行;否则,不做运行。程序A是否能运行在管理虚拟机中进行判定。
[0096] 需要说明的是,检测虚拟机和管理虚拟机也是一个虚拟机,只是这二者虚拟机专用于做安全检测。管理虚拟机对系统api进行劫持,获取所有程序运行的操作内容,例如:打开了哪些文件,删除了哪些文件,创建了开机启动,服务等。检测虚拟机用于运行未知程序,未知程序可以是病毒或具有恶意行为的其他程序;当检测虚拟机中运行的程序对检测虚拟机造成了破坏,可以通过快照对检测虚拟机进行还原。另外,检测虚拟机不与其他的设备通信,也不连接互联网,以防止病毒传播。检测虚拟机与管理虚拟机通过安全通道传输信息。
[0097] 在管理虚拟机中,预设有可信程序清单、可疑程序清单以及未知程序清单。可信程序清单中的程序可以直接运行,可疑程序清单中的程序不允许运行。未知程序清单为临时性名单,管理虚拟机会通过判定确定未知程序为可疑程序还是可信程序。
[0098] 对程序的判定包括两种方法:(1)直接到公有开放的
网站上获取程序的特征,一般是上传程序的hash值。如果开放的网站上已经有该类程序的判定,比如判定为病毒,则直接将未知程序划入可疑程序清单,禁止执行。(2)建立在(1)的
基础上,如果公有开放网站没有程序的信息,则将该程序传输至检测虚拟机运行,然后将检测虚拟机传回的内容进行分析,判定程序是可疑程序还是可信程序。
[0099] 请参见图5,图5为本发明实施例提供的一种安全检测系统示意图。从图5可看出,检测虚拟机与管理虚拟机通信,被管虚拟机与管理虚拟机通信。我们一方面要提升传输速度,保证程序的判定不要等待太长的时间,一方面保证检测虚拟机与被管虚拟机的隔离。还有既要保证检测虚拟机能与管理虚拟机通信,又不能使检测虚拟机的病毒传播到管理虚拟机。所以检测虚拟机与管理虚拟机的传输不使用网络通信,而是使用我们自定义的信息检测通道。管理虚拟机与被管虚拟机可以采取
进程间通信的方式,即共享内存来实现通信。检测虚拟机与管理虚拟机也共享内存,实现通信。各个被管虚拟机具有唯一标签,以便于区分,该标签可以为被管虚拟机的ID或IP地址等。
[0100] 本
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
[0101] 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种
修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
