一种虚拟化平台下windows虚拟机漏洞扫描的方法
【专利摘要】本发明涉及一种虚拟化平台下windows虚拟机漏洞扫描的方法,包括以下步骤:(1)在每个物理节点部署一台安全虚拟机;(2)获取虚拟机磁盘文件;(3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上;(4)安全虚拟机对获取的磁盘实时文件分析;(5)安全虚拟机获取对应于虚拟机操作系统的漏洞信息和漏洞扫描元数据文件;(6)安全虚拟机依据漏洞扫描元数据文件通过磁盘文件分析逐一检测步骤(5)中获取的对应于虚拟机操作系统的漏洞的修复状况。本发明的有益效果是:扫描过程不占用虚拟机自身资源,可做到用户无感知;无需逐一向虚拟机中部署安全代理;扫描不依赖虚拟机是否运行。
【专利说明】
一种虚拟化平台下windows虚拟机漏洞扫描的方法
技术领域
[0001 ]本发明涉及一种用于在虚拟机化环境无感知的情况下的对windows虚拟机漏洞扫 描方法,具体的涉及一种虚拟化平台下windows虚拟机漏洞扫描的方法,属于计算机应用领 域。
【背景技术】
[0002] 在企业非虚拟化生产环境中,终端的管控是通过在其操作系统中部署代理,并依 靠代理进行漏洞扫描等安全评估工作。这种状况,一直沿袭到了虚拟化生产环境下。然而, 在虚拟化平台下,物理宿主机上可以部署运行多个虚拟机,一个资源池往往会有多个物理 机,整个生产环境中可能部署着成千上万台虚拟机。为了硬件资源使用最大化,每个虚拟机 所分配的资源会十分有限。如何在快速、精准并尽可能做到用户无感知的前提下,获取虚拟 机(指windows虚拟机)漏洞修复情况,进而提供有效的漏洞修复方案是安全防护的重要环 -K- To
[0003] 虚拟化环境下,为了对windows虚拟机的使用提供风险评估和安全保障,需要对虚 拟机的漏洞修复情况有清晰的了解。在虚拟化平台下,传统技术所采取的依靠部署在虚拟 机中的代理进行漏洞扫描,不仅没有充分利用虚拟化技术的特点与优势,而且严重影响用 户虚拟机的使用体验。这主要是因为: 1. 代理进行漏洞扫描需要占用虚拟机本身有限的资源,影响用户使用体验; 2. 虚拟机必须处于开机态,造成代理扫描工作受外部依赖(虚拟机处于开机态)因素影 响。
[0004] 在虚拟机中部署代理,然而大规模的部署、维护代理需要大量时间、精力,同时代 理可能引入新的安全风险。
[0005] 为此,如何提供一种无需逐一向虚拟机部署安全代理的漏洞扫描方法,是本发明 研究的目的。
【发明内容】
[0006] 为克服现有技术的不足,本发明提供一种虚拟化平台下windows虚拟机漏洞扫描 的方法,是在虚拟化平台下对虚拟机做快照、克隆和磁盘文件分析,获取虚拟机磁盘文件数 据,再经过对磁盘文件分析获取虚拟机漏洞情况;无需逐一向虚拟机中部署安全代理,达到 了漏洞扫描不占用虚拟机自身资源的技术效果。
[0007] 为了解决现有技术问题,本发明所采用的技术方案是: 一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于,包括以下步骤: (1) 在每个物理节点部署一台安全虚拟机; (2) 获取虚拟机磁盘文件,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数 据文件,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文 件; (3) 将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上; (4) 安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信 息; (5) 安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞检测元数据文 件; (6) 安全虚拟机依据漏洞检测元数据文件,通过磁盘文件分析逐一检测步骤(5)中获取 的对应于虚拟机操作系统的漏洞的修复状况。
[0008] 进一步的,在步骤(1)中,所述的安全虚拟机选择Iinux虚拟机。
[0009] 进一步的,在步骤(1)中,所述的物理节点为一台物理服务器,为虚拟机的宿主机。
[0010] 进一步的,在步骤(1)中,所述的虚拟机选择无代理漏洞扫描的虚拟机。
[0011] 进一步的,在步骤(4)、(6)中,所述的针对虚拟机磁盘文件的分析,主要是针对磁 盘文件中操作系统所在分区下的文件进行分析、检测。
[0012] 进一步的,在步骤(5)中,所述的漏洞基础信息文件和漏洞检测元数据文件部署、 存放在一个独立的服务器中,或直接存放在安全虚拟机中。
[0013] 进一步的,在步骤(5)中,所述的漏洞基础信息文件包含漏洞详细信息,可直接作 为漏洞信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用。
[0014] 进一步的,在步骤(5)中,漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞 修复情况时的检测逻辑。
[0015] 进一步的,在步骤(6)中,所述的漏洞检测过程,其检测逻辑由相应的检测元数据 文件指定。
[0016] 本发明的有益效果是:扫描过程不占用虚拟机自身资源,可做到用户无感知;无需 逐一向虚拟机中部署安全代理;扫描不依赖虚拟机是否运行。
【附图说明】
[0017] 图1为本发明的开机态虚拟机运行图。
[0018] 图2为本发明的关机态虚拟机运行图。
【具体实施方式】
[0019] 为了使本领域技术人员能更好的理解本发明技术内容,下面结合附图1-2对本发 明做进一步分析。
[0020] -种虚拟化平台下windows虚拟机漏洞扫描的方法,采用虚拟化平台所固有的技 术,如可实时对开机态虚拟机创建快照、克隆链接等,获取虚拟机磁盘文件,或者对于非开 机态虚拟机可以直接将其磁盘卸载获取虚拟机磁盘文件,并挂载到安全虚拟机(在每个宿 主机上部署的一台用于漏洞扫描的Iinux虚拟机)上,通过文件分析,对虚拟机进行漏洞扫 描工作,从而将资源占用较高的工作统一转移,尽可能的降低对用户虚拟机使用体验的影 响,做到用户无感知。安全虚拟机只需在每个节点(指一个宿主机或物理服务器)部署一台, 再无需向虚拟机中逐一部署代理进行扫描工作。同时,安全虚拟机的漏洞扫描工作与虚拟 机是否处于运行态无关。
[0021] 本发明所采用的技术方案包括以下步骤:(1)在每个物理节点部署一台安全虚拟 机,安全虚拟机是指可对受保护的虚拟机执行无代理漏洞扫描的I inux虚拟机;物理节点即 一台物理服务器,虚拟机的宿主机。
[0022] (2)获取虚拟机磁盘文件,如图1所示,对开机态下的虚拟机做实时快照、克隆链接 获取磁盘实时数据文件;如图2所示,对关机态虚拟机或模板虚拟机,直接卸载其操作系统 的磁盘获取磁盘实时数据文件;此外,对于不同的虚拟机化平台,此步骤中获取开机态虚拟 机的磁盘文件可能略有差异,如对于Citrix下的XenServer平台,对虚拟机只需做快照,就 可通过快照获得其磁盘实时数据文件;而对于Vmw a r e下的E s X平台,在对虚拟机做快照之 后,仍需对虚拟机做克隆链接才能获取磁盘实时数据文件。
[0023] (3)将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟 机上。
[0024] (4)安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系 统信息,主要是针对磁盘文件中操作系统所在分区下的文件进行分析、检测。
[0025] (5)安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞扫描元数 据文件;所述的漏洞基础信息文件和漏洞扫描元数据文件可部署、存放在一个独立的服务 器中,或直接存放在安全虚拟机中;漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞 信息的数据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用;漏洞检测元数据 文件包含针对磁盘文件分析、检测漏洞修复情况时的检测逻辑。
[0026] (6)安全虚拟机依据漏洞扫描元数据文件,通过磁盘文件(针对磁盘文件中操作系 统所在分区下的文件进行分析、检测)分析逐一检测步骤(5)中获取的对应于虚拟机操作系 统的漏洞的修复状况,其检测逻辑由相应的检测元数据文件指定。
[0027] 本发明的安全虚拟机用于对获取的虚拟机实时磁盘文件进行文件分析,漏洞信息 数据库存放有不同操作系统对应的漏洞信息,漏洞扫描元数据文件用于辅助安全虚拟机通 过磁盘文件分析获取漏洞的修复情况。①安全虚拟机中已存储或者可以获取对应于虚拟机 操作系统的漏洞基础信息文件和漏洞扫描元数据文件;②虚拟化平台可以实时获取虚拟机 磁盘数据文件并挂载到安全虚拟机上,其中对应于离线态的虚拟机可以无需再进行做快照 或者链接克隆直接将其磁盘文件卸载、挂载到安全虚拟机上;③安全虚拟机通过漏洞扫描 元数据文件逐一检测获取的对应于虚拟机操作系统的漏洞信息是否已修复;安全虚拟机 针对磁盘文件的分析主要是针对磁盘文件中操作系统所在分区下文件的分析。
[0028] 以上对本申请所提供的技术方案进行了详细介绍,本文中应用了实施例对本申请 的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核 心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在【具体实施方式】及应用范 围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
【主权项】
1. 一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在于:在虚拟化平台下对 虚拟机做快照、克隆和磁盘文件分析,获取虚拟机磁盘文件数据,再经过对磁盘文件分析获 取虚拟机漏洞情况;包括以下步骤: (1) 在每个物理节点部署一台安全虚拟机; (2) 获取虚拟机磁盘文件,对开机态下的虚拟机做实时快照、克隆链接获取磁盘实时数 据文件,对关机态虚拟机或模板虚拟机,直接卸载其操作系统的磁盘获取磁盘实时数据文 件; (3) 将步骤(2)获取的磁盘实时数据文件,通过磁盘挂载的方式,挂载到安全虚拟机上; (4) 安全虚拟机对获取的磁盘实时数据文件中进行分析,从而获取虚拟机操作系统信 息; (5) 安全虚拟机获取对应于虚拟机操作系统的漏洞基础信息文件和漏洞检测元数据文 件; (6) 安全虚拟机依据漏洞检测元数据文件,通过磁盘文件分析逐一检测步骤(5)中获取 的对应于虚拟机操作系统的漏洞的修复状况。2. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(1)中,所述的安全虚拟机选择1 inux虚拟机。3. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(1)中,所述的物理节点为一台物理服务器,为虚拟机的宿主机。4. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(1)中,所述的虚拟机选择无代理漏洞扫描的虚拟机。5. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(4)、(6)中,所述的针对虚拟机磁盘文件的分析,主要是针对磁盘文件中操作系 统所在分区下的文件进行分析、检测。6. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(5)中,所述的漏洞基础信息文件和漏洞扫描元数据文件部署、存放在一个独立 的服务器中,或直接存放在安全虚拟机中。7. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(5)中,所述的漏洞基础信息文件包含漏洞详细信息,可直接作为漏洞信息的数 据源使用,亦可通过解析将漏洞详细信息存储在数据库中使用。8. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(5)中,漏洞检测元数据文件包含针对磁盘文件分析、检测漏洞修复情况时的检 测逻辑。9. 根据权利要求1所述的一种虚拟化平台下windows虚拟机漏洞扫描的方法,其特征在 于:在步骤(6)中,所述的漏洞检测过程,其检测逻辑由相应的检测元数据文件指定。
【文档编号】G06F21/57GK105844162SQ201610214964
【公开日】2016年8月10日
【申请日】2016年4月8日
【发明人】党艳平, 赵亮, 阳晓宇, 张通, 胡永伟
【申请人】北京北信源软件股份有限公司