专利名称:一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法。
背景技术:
虚拟桌面是通过硬件虚拟化技术,将多个桌面操作系统集中运行在少量服务器的虚拟机上,从而实现服务器硬件资源的复用,用户可以使用不同终端,如传统PC,智能手机,瘦客户端等通过网络使用这些桌面环境。虚拟桌面可以将传统的用户PC终端分散管理转变为集中的管理,极大地减少了系统运维成本和运维工作量。目前该技术已经得到了广泛的应用。虽然虚拟桌面带来了相应的快捷与成本的节约,但是虚拟桌面中的安全问题仍旧广泛存在,而恶意代码的问题就是其中之一。由于虚拟桌面的存储管理模式从之前的分散管理变成了集中管理,使得在虚拟桌面环境中的恶意代码检测方法也要随之产生变化。传 统的使用杀毒软件独立检测的方法虽然仍然可以使用,但是由于存储的文件相对集中,规模变大,杀毒软件的检测效率会相应变低,同时对整个系统环境造成的性能影响也会变大。
发明内容
本发明解决的技术问题在于提高杀毒软件的检测效率,降低对整个系统环境造成的性能影响。为了解决以上问题,一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;虚拟桌面环境下恶意代码检测步骤。进一步,作为一种优选,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括虚拟机的存储镜像采用集中管理。进一步,作为一种优选,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括每台虚拟机的系统数据和用户数据相互分离,系统数据采用克隆机制,用户数据采用独占机制。进一步,作为一种优选,所有虚拟机的系统数据为共用,即存储母本,每个存储镜像对应一张位图表,位图的每一位用于标记该位所对应的块是否被修改过,其中I表示修改过,O表不未修改。进一步,作为一种优选,所述虚拟桌面环境下恶意代码检测步骤进一步包括采用一种在Domain-O中将数据重组步骤。进一步,作为一种优选,所述采用一种在Domain-O中将数据重组步骤进一步包括根据虚拟机读磁盘请求中的磁盘名和块号等信息重组数据。进一步,作为一种优选,进一步包括如果发现重组所得文件为PE格式文件,则用恶意代码检测软件进行特征检查,做出判断从而决定是否允许虚拟机获得请求数据。本发明的有益效果在于,在虚拟桌面环境中,由于相同操作系统的桌面具有很大的共性,即除了用户个人信息和数据之外,其他用于维持操作系统运行的程序内容都是一致的。而这一特性使得承载虚拟桌面的每台虚拟机所使用的操作系统存储镜像具有很强的通用性,从而多个虚拟机使用同一个操作系统存储镜像的方法是可行的。镜像克隆技术就是上述方法的一个实现,它将一个装好完整操作系统的原始镜像作为母本,当多个虚拟机启动时,从唯一的母本中所需读取数据,这样有效减小了存储的数量和规模以及容量开销等,同时这样也使得对恶意代码的检测为系统带来的开销有效降低。
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以 及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中图I本发明实施例的工作流程图。
具体实施例方式以下参照图I对本发明的实施例进行说明。为使上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;虚拟桌面环境下恶意代码检测步骤。如图I所示,一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤SI、虚拟机读数据;S2、挂起读操作;S3、块号对应的位图位;S4、如果位图位为0,则从母本读数据;S5、如果位图位为1,则从私有磁盘读数据;S6、数据重组并检测;S7、是否为恶意代码;S8、不是恶意代码,则恢复读操作;S9、如果是恶意代码,则失败读操作并返回。在存储服务器上,首先建立一个装好完整操作系统以及桌面环境所需的应用软件等的磁盘镜像,称为母本,母本被赋予只读属性;同时,为每个虚拟机建立一个单独的私有磁盘镜像,用于存放每台虚拟机的用户的个人文件,以及每台虚拟机运行时需要写入磁盘的临时文件等,该虚拟机的私有磁盘镜像的大小与母本需要保持一致。虚拟机采用iSCSI访问远端的磁盘镜像。在存储服务器上,每个磁盘镜像,包括母本和私有磁盘镜像,都有一张对应的位图表,用于标识其所有的物理块状态。当虚拟机读取文件时,首先检查要读取的位是否被修改,若是,则从私有磁盘镜像读取数据,否则从母本读取数据。当虚拟机首次启动时,由于其私有磁盘镜像初始为空,则从母本中读取所需数据来完成启动,而当需要向磁盘写入数据时,则写入自己的私有磁盘镜像,下次读取时,读取最新的数据。在Domain-O中,可以方便的捕获到所有虚拟机对磁盘的读写操作,而当捕获到读操作时,则可以通过上述的位图机制,获取读取的目标磁盘镜像以及块号信息,从而得到读取的全部数据,从而可以在Domain-O中对数据进行重组。如果发现重组所得文件为PE格式文件,则用恶意代码检测软件进行特征检查,即可做出判断从而决定是否允许虚拟机获得请求数据。例如,在存储服务器上建立一 个IOGB大小的母本,并为每台虚拟机建立一个独立的IOGB大小的私有磁盘镜像,为这些私有磁盘镜像建立位图表,在这里,我们以512字节为单位,则位图表的尺寸为20MB,位图的每一位用于标记该位所对应的块是否被修改过,其中I表示修改过,O表示未修改。当虚拟机启动时,首先读取其对应的位图表,如果要读取的数据块在位图表里对应的值为1,则从私有磁盘镜像中读取数据,如果要读取的数据块在位图表里对应的值为0,则从母本中读取数据。这样可以在保证虚拟机一致性的基础上,同时保证虚拟机的独立性。在进行恶意代码检测时,位于Domain-O里的恶意代码检测程序会捕获所有对磁盘上数据的读操作。当捕获到虚拟机要求读取某个文件时,会先挂起虚拟机的请求,然后根据读请求中所包含的磁盘名称和块号信息,将所请求的数据在Domai-O中重组,用恶意代码检测工具对其进行检查。如果是恶意程序,则拒绝掉虚拟机的读请求并返回;如果不是恶意程序,则中止挂起,继续虚拟机对该部分数据的读操作请求。如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
权利要求
1.一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,包括以下步骤 基于iSCSI技术通过读写分离实现的存储镜像克隆步骤; 虚拟桌面环境下恶意代码检测步骤。
2.根据权利要求I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括虚拟机的存储镜像采用集中管理。
3.根据权利要求I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述基于iSCSI技术通过读写分离实现的存储镜像克隆步骤进一步包括每台虚拟机的系统数据和用户数据相互分离,系统数据采用克隆机制,用户数据采用独占机制。
4.根据权利要求书3所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所有虚拟机的系统数据为共用,即存储母本,每个存储镜像对应一张位图表,位图的每一位用于标记该位所对应的块是否被修改过,其中I表示修改过,O表示未修改。
5.根据权利要求书4所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,当虚拟机启动时,首先读取其对应的位图表,如果要读取的数据块在位图表里对应的值为1,则从私有磁盘镜像中读取数据,如果要读取的数据块在位图表里对应的值为O,则从母本中读取数据。
6.根据权利要求书I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述虚拟桌面环境下恶意代码检测步骤进一步包括采用一种在Domain-O中将数据重组步骤。
7.根据权利要求书6所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述采用一种在Domain-O中将数据重组步骤进一步包括根据虚拟机读磁盘请求中的磁盘名和块号等信息重组数据。
8.根据权利要求书7所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,进一步包括如果发现重组所得文件为PE格式文件,则用恶意代码检测软件进行特征检查,做出判断从而决定是否允许虚拟机获得请求数据。
全文摘要
本发明公开了一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,包括以下步骤基于iSCSI技术通过读写分离实现的存储镜像克隆步骤;虚拟桌面环境下恶意代码检测步骤。有效提高了检测的效率,同时降低了检测给系统服务环境带来的性能损耗。
文档编号G06F21/00GK102760212SQ20121017768
公开日2012年10月31日 申请日期2012年5月31日 优先权日2012年5月31日
发明者石勇, 郭煜 申请人:北京朋创天地科技有限公司