机的内存空间。如图2所示,本实施例的虚拟机的安全防护方法包括以下步骤:
[0030]步骤S100,所述虚拟机截获文件读写事件或者网络事件,将所述文件读写事件或者网络事件指向的数据置入所述内存空间;
[0031]在本发明实施例中,虚拟机内可以安装文件驱动及网络驱动,虚拟机通过文件驱动截获文件读写事件并将其指向的数据置入设置在主机的内存空间中,通过网络驱动截获网络事件并将该网络事件指向的数据置入内存空间中。
[0032]在本发明的一种【具体实施方式】中,内存空间可以是主机与虚拟机共同使用的共享内存,该共享内存设置在主机,主机与虚拟机都可以直接对其进行访问,虚拟机可以直接将数据放置在该共享内存中。
[0033]另外,在本发明的另一种实施方式中,内存空间可以是主机内存,主机可以直接访问该主机内存,虚拟机通过网络协议,如TCP、IP或者UDP等将数据传输到该主机内存。
[0034]另外,在本实施例中,虚拟机可以包括多个虚拟机,该多个虚拟机部署在同一台主机,当内存空间为共享内存时,各个虚拟机与主机使用的共享内存不同,即每个虚拟机与主机之间各对应一个独有的共享内存,每个虚拟机都只能访问自己与主机之间的共享内存,而不能访问其他虚拟机与主机之间的共享内存,以保证各个虚拟机之间完全隔离,不会发生数据交换,防止虚拟机之间的内部攻击。
[0035]当内存空间为主机内存时,多个虚拟机可以共同使用同一个主机内存,虚拟机可以通过网络协议与主机交换与该虚拟机相关的数据。
[0036]步骤S110,所述主机从所述内存空间读取所述文件读写事件或者网络事件指向的数据;
[0037]本实施例中,主机可以安装文件安全进程以及网络安全进程,当虚拟机将文件读写事件或者网络事件指向的数据放入内存空间后,主机通过文件安全进程从内存空间读取文件读写事件指向的数据,通过网络安全进程从内存空间读取网络事件指向的数据。
[0038]具体的,主机可以对内存空间进行扫描,当扫描到内存空间有虚拟机放入的相关数据时,对该数据进行读取。当然,主机也可以通过其他方式来获知内存空间内是否放入虚拟机的需要检测的数据。
[0039]步骤S120,所述主机检测读取到的所述文件读写事件或者网络事件指向的数据,并得到检测结果。
[0040]在本实施例中,主机内安装有安全软件,包括有恶意代码特征库,主机读取到文件读写事件或者网络事件指向的数据,可以利用主机内的恶意代码特征库,对该数据进行比对检测,并根据检测结果进行处理。具体检测结果及处理方式可以是:
[0041]若所述检测结果为所述文件读写事件指向的数据中含有被病毒感染的数据,所述主机删除所述内存空间中所述被病毒感染的数据,所述虚拟机从所述内存空间读取所述内存空间中删除所述被病毒感染的数据后的保留数据,覆盖所述虚拟机中对应的原所述文件读写事件指向的数据。
[0042]当删除病毒数据后的保留数据覆盖原文件读写事件指向的数据后,该文件读写事件指向的数据为安全数据,虚拟机可以执行该文件读写事件。
[0043]当然,主机也可以直接将检测结果通知虚拟机,由虚拟机来删除虚拟机内部对应的原文件读写事件指向的数据中的被病毒感染的数据。
[0044]若所述检测结果为所述文件读写事件指向的数据为木马数据,所述虚拟机删除虚拟机内对应的原所述文件读写事件指向的数据。
[0045]若检测结果表明所检测数据为木马数据,主机可以将内存空间中的该木马数据删除并将该检测结果放入内存空间以通知虚拟机删除该木马数据,虚拟机读取到该检测结果后将其对应的文件读写事件指向的数据删除。
[0046]若所述检测结果为所述网络事件指向的数据为网络攻击数据,所述主机或者所述虚拟机中断所述网络事件;
[0047]由于网络流是流经主机的,所以当检测到该网络事件指向的数据是网络攻击数据时,主机可以中断该网络事件,也可以将检测结果放入内存空间,以通知虚拟机中断该网络事件。
[0048]另外,若检测结果表明进行检测的文件读写事件或者网络事件为安全文件,虚拟机继续执行该文件读写事件或网络事件。
[0049]在本实施例中,主机的恶意代码特征库在联网后可以自动更新,或者提醒用户进行手动更新,以保证为最新的恶意代码特征库。
[0050]进一步的,在本实施例提供的方法应用的虚拟机的安全防护系统还可以包括中央控制端,该中央控制端安装在虚拟机或者主机或者其他独立的机器上,可针对每台虚拟机配置不同的安全策略,并且可配置各个虚拟机文件检测的黑白名单,设置为白名单的文件在发生文件对应的事件时可不用检测而直接处理。
[0051]在本实施例中,还可以在虚拟机内置网络应用分析模块,该网络应用分析模块可以准确识别1000多种网络应用协议。用户可以在中央控制端了解每个虚拟机的网络应用状况、带宽的使用情况以及流量的趋势,并可对网络流量进行精细化的管理。
[0052]本发明实施例提供的虚拟机的安全防护方法中,对虚拟机内的文件读写事件及网络事件的检测发生在主机,因此可以只在主机安装一套安全软件用以检测各种事件对应的数据,虚拟机内不用安装安全软件。由于安全软件的运行需要耗费大量的系统资源,所以当一台主机部署多台虚拟机时,该多台虚拟机的安全防护检测均可以发生在主机,避免了每台虚拟机部署安全软件叠加产生的巨额资源开销,从而可以大幅度节约主机资源,进而可以更有效的对主机上的资源进行管理和调度,并且可以提高一台主机可以部署的虚拟机的数量,甚至可以是传统的在虚拟机安装安全软件的情况下主机可以部署的虚拟机的数量的
ZTyf立——-1 口。
[0053]进一步的,在本实施例中,由于各个虚拟机的文件读写事件及网络事件指向的数据均是在主机进行检测,主机可以判断该进行检测的数据是否是和某些已经被检测过的数据一样,如果是,则参照检测过的数据的处理方法进行处理,不管该数据是在哪一个虚拟机,都不再进行检测,避免了不同虚拟机内的相同文件或者同一虚拟机的相同文件被重复检测,减少了检测过程中可能产生的资源消耗,提高了防护效率。
[0054]另外,利用主机对虚拟机进行安全防护,可以有效应对一些针对虚拟化的新型攻击方式,如同一主机上不同虚拟机间的相互攻击、利用虚拟机启动间隙的攻击等,以及可以避免全系统扫描和恶意代码特征库更新时出现常见的防病毒风暴等问题。
[0055]需要说明的是,在本实施例中,根据检测结果进行处理的步骤不分先后顺序,只要满足相应的处理条件即对其进行相应处理。
[0056]第二实施例
[0057]请参见图3,为本发明第二实施例提供的虚拟机的安全防护系统10的结构示意图,系统可以包括主机100以及部署于主机100的虚拟机400,其中:
[0058]虚拟机400用于截获文件读写事件或者网络事件,将所述文件读写事件或者网络事件指向的数据置入所述内存空间;
[0059]所述主机100用于从所述内存空间读取所述文件读写事件或者网络事件指向的数据;
[0060]所述主机100还用于检测读取到的所述文件读写事件或者网络事件指向的数据,并得到检测结果。
[0061]如图4示出了本实施例提供的系统的工作原理架构图。
[0062]进一步的,若所述检测结果为所述文件读写事件指向的数据中含有被病毒感染的数据,所述主机100删除所述内存空间中所述被病毒感染的数据。