专利名称:一种防止系统被入侵的方法、入侵防御系统及计算机的制作方法
技术领域:
本发明涉及计算机安全,尤其涉及一种防止系统被入侵的方法、入侵防御系统及计算机。
背景技术:
随着互联网的普及与发展,企业越来越重视业务服务器的安全。许多企业和单位开始米取HIPS (Host-based Intrusion Prevention System,基于主机的入侵防御系统)来解决服务器的安全性问题。 此系统的主要工作原理和目的为在业务服务器的OS (Operating System,操作系统)中安装相应的安全软件,在操作系统和业务系统运行的过程中监控操作系统和业务系统本身不被篡改和入侵。这种方法能从一定程度上起到防御作用,但存在如下缺点一是如在安装HIPS软件前,操作系统已经被入侵则无法做到很好的防护或者根本无法安装;二是现存HIPS软件的实现均依赖操作系统的安全机制,如操作系统本身存在漏洞则可能导致HIPS被攻击者攻破,如某款HIPS软件对文件操作的监控依赖加载在操作系统中的文件过滤驱动程序,如操作系统有漏洞则攻击程序可以很容易把此驱动程序卸载掉或者直接绕过。
发明内容
本发明要解决的技术问题在于针对现有技术中入侵防御系统在操作系统本身存在漏洞的情况下不能保证操作系统安全的缺陷,提供一种不依赖于操作系统的防止系统被入侵的方法、入侵防御系统及计算机。本发明解决其技术问题所采用的技术方案是提供一种防止系统被入侵的方法,包括以下步骤启动入侵防御系统,所述入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离;通过所述入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;若所述安全状态的变化不符合所述安全策略,则根据所述安全策略执行预先设定的操作。本发明所述的防止系统被入侵的方法中,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。本发明所述的防止系统被入侵的方法中,在设置所述安全策略时可设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。本发明所述的防止系统被入侵的方法中,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。本发明所述的防止系统被入侵的方法中,在根据所述安全策略执行预先设定的操作后,还包括步骤根据所执行的预先设定的操作,产生相应的告警信息。本发明解决其技术问题所采用的另一技术方案是提供一种入侵防御系统,该入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离,该入侵防御系统包括安全策略设置模块,用于预先设置安全策略;检测模块,用于在该防御系统启动后,检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;安全策略执行模块,用于在所述安全状态的变化不符合所述安全策略时,根据所述安全策略执行预先设定的操作。 本发明所述的入侵防御系统中,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。本发明所述的入侵防御系统中,所述安全策略设置模块可进一步用于设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。本发明所述的入侵防御系统中,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。本发明所述的入侵防御系统中,该入侵防御系统还包括告警模块,用于根据所执行的预先设定的操作,产生相应的告警信息。本发明解决其技术问题所采用的第三技术方案是提供一种安装有入侵防御系统的计算机,该计算机设有虚拟机层和虚拟机管理器层,其中虚拟机层设有至少一个虚拟机,所述入侵防御系统安装在所述虚拟机管理器层中,所述入侵防御系统为上文所述的入侵防御系统。本发明产生的有益效果是本发明通过将入侵防御系统安装在虚拟机管理器层中,与虚拟机中的操作系统相隔离,通过入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,若安全状态的变化不符合安全策略,则根据安全策略执行预先设定的操作。本发明的技术方案中,安装于虚拟机管理器层中的侵防御系统不依赖于虚拟机的操作系统,不受操作系统漏洞的影响,能够很好地监控虚拟机中的操作系统,防止非法程序入侵,提高了虚拟机操作系统的安全性。
下面将结合附图及实施例对本发明作进一步说明,附图中图I是本发明实施例基于虚拟机管理器的入侵防御系统VMMIPS的安装位置示意图;图2是本发明实施例防止系统被入侵的方法流程图;图3是本发明实施例入侵防御系统的结构示意图;图4是本发明实施例安装有入侵防御系统的计算机结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。本发明方案的实现需要业务服务器及业务系统所运行的CPU支持硬件虚拟化技术,包括但不限于 Intel 的 VT (Intel Virtualization Technology, Intel 虚拟化技术)技术或AMD的Pacifica虚拟技术。一台计算机中可以设置一个或者多个虚拟机。本发明实施例中,企业的业务服务器的操作系统可安装运行在其中一个虚拟机中,并在业务服务器的操作系统中安装应用系统,即业务系统,如SQL Server (关系数据库管理系统)等。本发明实施例防止计算机系统被入侵的方法,主要包括以下步骤
启动入侵防御系统,该入侵防御系统为基于虚拟机的管理器的入侵防御系统(VMMIPS: Virtual Machine Monitor-based Intrusion Prevention System),安装在虚拟机管理器(VMM :Virtual Machine Monitor)层中,与虚拟机的操作系统隔离;如图I所示,入侵防御系统安装在计算机CPU中的虚拟机管理器层,与虚拟机层(虚拟机层包括多个虚拟机)通过计算机CPU的硬件虚拟化技术特性隔离,使入侵防御系统独立于虚拟机的操作系统。通过该入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,业务系统安装在操作系统中;若安全状态的变化不符合安全策略,则根据安全策略执行预先设定的操作。本发明实施例通过设置在虚拟机管理层中的入侵防御系统来监控运行在虚拟机中的操作系统和业务系统,其中虚拟机管理层与虚拟机隔离,入侵防御系统独立于操作系统,不受操作系统漏洞的影响,可保护主机操作系统和业务系统不被攻击者入侵,安全可
O进一步地,本发明实施例中,预先设定的操作包括恢复操作系统和业务系统,以及关闭操作系统和业务系统。在系统受到非法入侵时,通过上述操作可以保护操作系统即业务系统的安全性。进一步地,本发明实施例中,在设置所述安全策略时,可设置入侵防御系统同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。进一步地,本发明实施例中,安全状态的变化至少包括操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值,在变化值超过相应的预设值时,就执行相应的操作。进一步地,本发明实施例中,在根据安全策略执行预先设定的操作后,还包括步骤根据所执行的预先设定的操作,产生相应的告警信息。本发明实施例中,将基于虚拟机管理器的入侵防御系统可以做成软件安装在虚拟机管理器层中,与虚拟机层隔离,如图2所示,本发明实施例防止系统被入侵的方法包括以下步骤S201、运行 VMMIPS 软件;S202、在入侵防御系统中设定要保护的虚拟机和相应的安全策略;该安全策略可以规定如何检测虚拟机及运行在虚拟机中的操作系统和业务系统的安全状态,该安全策略所检测的安全状态包括但不限于虚拟机及运行在虚拟机中操作系统和业务系统的关键内存区间预值、文件系统预值、注册表预值等中的一种或者多种。在上述各个值的变化值超过预设值时,则执行安全策略中设定的相应操作。S203、在虚拟机中启动操作系统和业务系统。S204、入侵防御系统检测虚拟机中的操作系统和业务系统是否符合预先设置的安全策略。S205、根据预先设置的安全策略判断是否要求恢复运行在虚拟机中的操作系统和业务系统。S206、若根据预先设置的安全策略要求恢复运行在虚拟机中的操作系统和业务系统,则使用重置等方式恢复运行在虚拟机中的操作系统和业务系统,并告警给入侵防御系统的管理员。 S207、若根据预先设置的安全策略无需恢复运行在虚拟机中的操作系统和业务系统,则关闭运行在虚拟机中的操作系统和业务系统,并告警给入侵防御系统的管理员。如图3所示,本发明实施例的入侵防御系统用于实现上述防止系统被入侵的方法,入侵防御系统安装在虚拟机管理层中,包括安全策略设置模块221,用于预先设置安全策略;在本发明实施例中,该安全策略可以规定如何检测虚拟机及运行在虚拟机中的操作系统和业务系统的安全状态,该安全策略所检测的安全状态包括但不限于虚拟机及运行在虚拟机中操作系统和业务系统的关键内存区间预值、文件系统预值、注册表预值等中的一种或者多种。检测模块222,用于检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,业务系统安装在操作系统中;在上述各个预值的变化值超过预设值时,则执行安全策略中设定的相应操作。安全策略执行模块223,用于在安全状态的变化不符合安全策略时,根据安全策略执行预先设定的操作。在本发明的实施例中,预先设定的操作包括恢复操作系统和业务系统,以及关闭操作系统和业务系统。进一步地,本发明实施例中,安全策略设置模块221可进一步用于设置入侵防御系统同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。进一步地,为了及时告知监控虚拟机的情况,该入侵防御系统还包括告警模块224,用于根据所执行的预先设定的操作,产生相应的告警信息。如图4所示,本发明实施例安装有上述入侵防御系统的计算机设有虚拟机层10、虚拟机管理器层20、基础层30以及输入输出模块40。虚拟机层10包括设置的一个或者多个虚拟机(VM),虚拟机中安装有操作系统
(OS)以及业务系统,虚拟机层10和虚拟机管理器层20均运行在计算机的CPU中,但是通过CPU的硬件虚拟化技术特性隔离,虚拟机管理器层20包括虚拟机管理器21以及入侵防御系统22,入侵防御系统22的具体组成部分在上文已有详细描述,在此不赘述。基础层30为支持入侵防御系统22运行的基础,包括基础支撑模块,该基础支撑模块用以解析对应的虚拟机操作系统的文件系统、注册表(如有)、关键内存区等。入侵防御系统22通过基础支撑模块与运行在虚拟机中的操作系统交互。输入输出模块40为包括网络、键盘、显示器、磁盘、串口等输入输出I/O模块。该计算机执行入侵防御主要包括如下步骤(步骤序号已在图4中标明)步骤I :在输入输出模块40 (即I/O模块)中,通过网络或直接通过键盘显示器输入对入侵防御系统22的安全策略,即在安全策略设置模块221中预先设置安全策略,并保存至存储介质(如磁盘、Flash等)。步骤2 :通过安全策略设置模块读取步骤I的设置。步骤3 =VMMIPS的检测模块222解析步骤2所读取的设置,并根据设置内容选择对哪些虚拟机操作系统(VM OS)做安全检测。步骤4 =VMMIPS的检测模块222根据步骤3的结果通过虚拟机管理器21获取要检测的VM OS或运行在VM OS中业务系统的信息。步骤5 =VMMIPS的检测模块222根据步骤4读取的信息选择对应的支撑模块以解析对应的VM OS的文件系统、注册表(如有)、关键内存区等。其中“扩展解析”模块用来支持对关键业务系统的解析,如运行在VM OS中的关键业务系统是SQL Server,则扩展解析模 块提供对SQL Server数据格式的解析服务。步骤6 =VMMIPS的检测模块222使用步骤5的解析模块读取并检测VM OS或运行在VM OS中的业务系统,以获取关键内存区间预值、文件系统预值、注册表预值及其状态变
化等信息。步骤7 =VMMIPS的检测模块222根据步骤6的检测,调用安全策略执行模块223。步骤8、9 :安全策略执行模块223根据安全策略所设定的指定操作通过虚拟机管理器21对VM OS做出管理,在关键内存区间预值、文件系统预值、注册表预值等发生变化,且该变化不符合VMMIPS安全策略的预设值,则执行该安全策略所设定的动作,如关机、恢复初始状态或者重启等。步骤9 :步骤9也用来完成虚拟机管理器21与VM OS之间的其它通信与管理。步骤10 :安全策略执行模块223根据安全策略指定的内容指示告警模块224输出告警信息。步骤11 :告警模块224把告警信息通过输入输出模块40输出。步骤12 :输入输出模块40通过网络或者直接通过键盘显示器、串口、扬声器等输 出告警。在虚拟机管理器层安装了基于虚拟机管理器的入侵防御系统VMMIPS,与虚拟机中的操作系统和业务系统相隔离,即使操作系统本身存在漏洞,也可以避免被卸载或直接绕过,从而起到入侵防护的作用,提高操作系统的安全性。应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
1.一种防止系统被入侵的方法,其特征在于,包括以下步骤 启动入侵防御系统,所述入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离; 通过所述入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中; 若所述安全状态的变化不符合所述安全策略,则根据所述安全策略执行预先设定的操作。
2.根据权利要求I所述的防止系统被入侵的方法,其特征在于,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。
3.根据权利要求2所述的防止系统被入侵的方法,其特征在于,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。
4.根据权利要求3所述的防止系统被入侵的方法,其特征在于,在设置所述安全策略时,可设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。
5.根据权利要求4所述的防止系统被入侵的方法,其特征在于,在根据所述安全策略执行预先设定的操作后,还包括步骤根据所执行的预先设定的操作,产生相应的告警信肩、O
6.一种入侵防御系统,其特征在于,该入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离,该入侵防御系统包括 安全策略设置模块,用于预先设置安全策略; 检测模块,用于在该防御系统启动后,检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;安全策略执行模块,用于在所述安全状态的变化不符合所述安全策略时,根据所述安全策略执行预先设定的操作。
7.根据权利要求6所述的入侵防御系统,其特征在于,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。
8.根据权利要求7所述的入侵防御系统,其特征在于,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。
9.根据权利要求8所述的入侵防御系统,其特征在于,所述安全策略设置模块可进一步用于设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。
10.根据权利要求9所述的入侵防御系统,其特征在于,该入侵防御系统还包括告警模块,用于根据所执行的预先设定的操作,产生相应的告警信息。
11.一种安装有入侵防御系统的计算机,其特征在于,该计算机设有虚拟机层和虚拟机管理器层,其中虚拟机层设有至少一个虚拟机,所述入侵防御系统安装在所述虚拟机管理器层中,为权利要求6-10中任一项所述的入侵防御系统。
全文摘要
本发明公开了一种防止系统被入侵的方法、入侵防御系统及计算机,其中方法包括以下步骤启动入侵防御系统,入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离;通过入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,业务系统安装在操作系统中;若安全状态的变化不符合安全策略,则根据安全策略执行预先设定的操作。本发明中,安装于虚拟机管理器层中的侵防御系统不依赖于虚拟机的操作系统,不受操作系统漏洞的影响,能够很好地监控虚拟机中的操作系统,防止非法程序入侵,提高了虚拟机操作系统的安全性。
文档编号G06F9/455GK102708330SQ20121014330
公开日2012年10月3日 申请日期2012年5月10日 优先权日2012年5月10日
发明者郭栋梓 申请人:深信服网络科技(深圳)有限公司