虚拟机的安全防护方法及系统的制作方法
【技术领域】
[0001]本发明涉及计算机互联网技术,尤其涉及计算机的安全防护领域,具体涉及一种虚拟机的安全防护方法及系统。
【背景技术】
[0002]虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟机技术是一种虚拟化技术,目前,虚拟化环境下的安全防护问题成为一个新的关注焦点。现有技术中虚拟机的安全防护方法是在虚拟机内部部署安全软件,当一台主机上部署了多台虚拟机时,会叠加同一台主机上的用于安全防护的资源消耗,使得主机上部署的虚拟机数量大幅度减少,增加了虚拟化数据中心的建设成本。
【发明内容】
[0003]有鉴于此,本发明提供一种虚拟机的安全防护方法及系统以避免在每台虚拟机部署安全软件所造成叠加的资源消耗。
[0004]—种虚拟机的安全防护方法,应用于虚拟机的安全防护系统,所述系统包括主机以及虚拟机,所述主机内设置有对应于所述虚拟机的内存空间,包括:所述虚拟机截获文件读写事件或者网络事件,将所述文件读写事件或者网络事件指向的数据置入所述内存空间;所述主机从所述内存空间读取所述文件读写事件或者网络事件指向的数据;所述主机检测读取到的所述文件读写事件或者网络事件指向的数据,并得到检测结果。
[0005]优选的,上述方法中,若所述检测结果为所述文件读写事件指向的数据中含有被病毒感染的数据,所述主机删除所述内存空间中所述被病毒感染的数据;所述虚拟机从所述内存空间读取所述内存空间中删除所述被病毒感染的数据后的保留数据,覆盖所述虚拟机中对应的原所述文件读写事件指向的数据。主机删除被病毒感染的数据后,虚拟机可以从内存空间获得删除后的安全数据,直接覆盖虚拟机内对应的原数据就可以,减少虚拟机的资源消耗。
[0006]优选的,上述方法中,若所述检测结果为所述文件读写事件指向的数据为木马数据,所述虚拟机删除虚拟机内对应的原所述文件读写事件指向的数据。
[0007]优选的,上述方法中,若所述检测结果为所述网络事件指向的数据为网络攻击数据,所述主机或者所述虚拟机中断所述网络事件。
[0008]优选的,上述方法中,所述内存空间为所述主机与所述虚拟机的共享内存。
[0009]优选的,上述方法中,所述系统包括多个所述虚拟机,每个所述虚拟机与所述主机共同使用不同的所述共享内存。各个虚拟机与主机使用不同的共享内存,使虚拟机间数据隔离,不会产生数据交互,从而可以防止产生虚拟机间的攻击。
[0010]优选的,上述方法中,所述内存空间为主机内存,所述虚拟机通过网络协议访问所述主机内存。
[0011]—种虚拟机的安全防护系统,包括主机以及虚拟机,所述主机内设置有对应于所述虚拟机的内存空间,包括:所述虚拟机用于截获文件读写事件或者网络事件,将所述文件读写事件或者网络事件指向的数据置入所述内存空间;所述主机用于从所述内存空间读取所述文件读写事件或者网络事件指向的数据;所述主机还用于检测读取到的所述文件读写事件或者网络事件指向的数据,并得到检测结果。
[0012]优选的,上述系统中,若所述检测结果为所述文件读写事件指向的数据中含有被病毒感染的数据,所述主机删除所述内存空间中所述被病毒感染的数据,所述虚拟机从所述内存空间读取所述内存空间中删除所述被病毒感染的数据后的保留数据,覆盖所述虚拟机中对应的原所述文件读写事件指向的数据;若所述检测结果为所述文件读写事件指向的数据为木马数据,所述虚拟机删除虚拟机内对应的原所述文件读写事件指向的数据;若所述检测结果为所述网络事件指向的数据为网络攻击数据,所述主机或者所述虚拟机中断所述网络事件。
[0013]优选的,上述系统中,所述内存空间为所述主机与所述虚拟机的共享内存。
[0014]本发明实施例提供的虚拟机的安全防护方法及系统,虚拟机截获将要发生的文件读写事件或者网络事件,将所述文件读写事件或者网络事件指向的数据置入主机内的内存空间,主机从内存空间内读取该文件读写事件或者网络事件并对其进行检测,根据检测结果的不同,主机或者虚拟机对文件读写事件或者网络事件做不同的处理。本方法及系统的安全防护的安全检测过程以及病毒清除过程主要发生在主机上,只需要在主机上部署安全软件,便可以对虚拟机进行安全防护。当一台主机上部署多台虚拟机时,该主机可以防护其部署的所有虚拟机,避免了在每台虚拟机内进行安全防护而叠加产生的巨额资源开销。
[0015]为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
【附图说明】
[0016]图1示出了一种可应用于本发明实施例中的主机的结构框图。
[0017]图2示出了一种可应用于本发明第一实施例提供的虚拟机的安全防护方法流程图。
[0018]图3为本发明第二实施例提供的虚拟机的安全防护系统的结构示意图。
[0019]图4为本发明第而实施例提供的虚拟机安全防护的系统的工作原理架构图。
【具体实施方式】
[0020]本发明实施例中的主机可以包括膝上型便携计算机、台式机计算机、服务器等等。
[0021]图1示出了一种可应用于本发明实施例中的主机100的结构框图。如图1所示,主机100包括存储器102、存储控制器104,一个或多个(图中仅示出一个)处理器106、外设接口 108、射频模块110等。这些组件通过一条或多条通讯总线/信号线116相互通讯。
[0022]存储器102可用于存储软件程序以及模块,处理器106通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理。
[0023]外设接口 108将各种输入/输出装置耦合至处理器106以及存储器102。在一些实施例中,外设接口 108,处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
[0024]射频模块110用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。
[0025]可以理解,图1所示的结构仅为示意,主机100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
[0026]本发明实施例中,主机上可以部署有一个或多个虚拟机。本发明实施例提供的虚拟机的安全防护方法,通过虚拟机将要发生的文件读写事件或者网络事件截获置于设置于主机内的内存空间,使主机可以从内存空间读取到该相应的文件读写事件或网络事件进行检测,再根据检测结果的不同,主机或虚拟机对文件读写事件或网络事件做相应的处理,使安全检测的过程发生于主机,虚拟机内不用安装安全软件,解决了在虚拟机内安装安全软件产生资源消耗的问题,特别是部署了多个虚拟机时在每个虚拟机内安装安全软件可能产生的巨大的叠加的资源消耗的问题。
[0027]为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明的【具体实施方式】、结构、特征及其功效,详细说明如后。
[0028]第一实施例
[0029]图2为本发明第一实施例提供的虚拟机的安全防护方法的流程图,该虚拟机的安全防护方法应用于虚拟机的安全防护系统,该系统包括主机及部署在主机上的虚拟机,该主机内设置有对应于虚拟