一种虚拟机防攻击方法及装置的制造方法

一种虚拟机防攻击方法及装置的制造方法
【专利摘要】本发明提供一种虚拟机防攻击方法及装置，该方法包括：获取虚拟机的操作系统类型；将所述操作系统类型上报给安全中心，以使安全中心根据所述操作系统类型为所述虚拟机生成对应的防攻击策略模板；接收所述安全中心下发的防攻击策略模板，并根据所述防攻击策略模板进行虚拟机防攻击处理。应用本发明实施例可以减少防攻击部署对物理机资源的消耗，进而可以提高虚拟机密度。
【专利说明】
一种虚拟机防攻击方法及装置
技术领域
[0001 ]本发明涉及网络通信技术领域，尤其涉及一种虚拟机防攻击方法及装置。
【背景技术】
[0002]随着虚拟化不断发展，虚拟机(Virtual Machine，以下简称为VM)的安全性问题也日益显露。
[0003]对于外部入侵，通常使用硬件防火墙、IPS(Instruct1n Prevent1n System，入侵防御系统)等设备进行安全防护。
[0004]而对于VM之间的安全防护，目前常见的解决方案是为VM安装防攻击代理(如IPS/IDSdnstruct1n Detect System入侵检测系统)agent(代理))，通过统一模板下发的方式，实现VM内部安全防护，即安全中心为各VM上安装的防攻击代理下发相同的防攻击策略模板，由防攻击代理在接收到防攻击策略模板后，根据该防攻击策略模板中包括的防攻击策略进行虚拟机防攻击处理。
[0005]然而实践发现，随着攻击种类的增加以及逃逸技术的增强，针对各种攻击及其逃逸手段的防护也逐步增强，安全中心下发的防攻击策略模板中包括的防攻击策略也逐渐增多。若米用统一模板下发的方式实现VM内部安全防护，各VM部署的agent会随着防攻击策略的增多，而消耗过多的物理机资源，导致虚拟机密度降低。

【发明内容】

[0006]本发明提供一种虚拟机防攻击方法及装置，以解决现有虚拟机防攻击方案中消耗物理机资源过多，导致虚拟机密度降低的问题。
[0007]根据本发明实施例的第一方面，提供一种虚拟机防攻击方法，应用于防攻击代理，所述防攻击代理运行于虚拟机，所述方法包括:
[0008]获取所述虚拟机的操作系统类型；
[0009]将所述操作系统类型上报给安全中心，以使安全中心根据所述操作系统类型为所述虚拟机生成对应的防攻击策略模板；
[0010]接收所述安全中心下发的防攻击策略模板，并根据所述防攻击策略模板进行虚拟机防攻击处理。
[0011]根据本发明实施例的第二方面，提供一种虚拟机防攻击装置，应用于防攻击代理，所述防攻击代理运行于虚拟机，所述装置包括:
[0012]获取单元，用于获取所述虚拟机的操作系统类型；
[0013]发送单元，用于将所述操作系统类型上报给安全中心，以使安全中心根据所述操作系统类型为所述虚拟机生成对应的防攻击策略模板；
[0014]接收单元，用于接收所述安全中心下发的防攻击策略模板；
[0015]处理单元，用于根据所述防攻击策略模板进行虚拟机防攻击处理。
[0016]应用本发明实施例，防攻击代理通过获取虚拟机的操作系统类型，并将该操作系统类型上报给安全中心，以使安全中心根据该操作系统类型为虚拟机生成对应的防攻击策略模板；当接收到安全中心下发的防攻击策略模板之后，可以根据该防攻击策略模板进行虚拟机防攻击处理，与通过统一模板下发的方式实现虚拟机防攻击的方案相比，防攻击代理只获取与其所运行于的虚拟机相关的防攻击策略模板，该防攻击策略模板中不包括与该虚拟机不相关的内容，因此减少了防攻击部署对物理机资源的消耗，进而可以提高虚拟机
FtFt也/又。
【附图说明】
[0017]图1是本发明实施例提供的一种虚拟机防攻击方法的流程示意图；
[0018]图2是本发明实施例提供的另一种虚拟机防攻击方法的流程示意图；
[0019]图3是本发明实施例提供的一种虚拟机防攻击装置的结构示意图；
[0020]图4是本发明实施例提供的另一种虚拟机防攻击装置的结构示意图；
[0021]图5是本发明实施例提供的另一种虚拟机防攻击装置的结构示意图；
[0022]图6是本发明实施例提供的另一种虚拟机防攻击装置的结构示意图。
【具体实施方式】
[0023]为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0024]请参见图1，图1为本发明实施例提供的一种虚拟机防攻击方法的流程示意图，如图1所示，该虚拟机防攻击方法可以包括以下步骤:
[0025]需要说明的是，步骤101?步骤103的执行主体可以为虚拟机上安装的防攻击代理，如IPS/IDS agent，为便于描述，以下以步骤101?步骤103的执行主体为agent为例进行说明。
[0026]步骤101、获取虚拟机的操作系统类型。
[0027]本发明实施例中，安全中心不再采用统一模板下发的方式为各VM上部署的agent下发防攻击策略模板，而是可以预先对特征库中的防攻击策略进行基于操作系统类型的分类，并当需要为虚拟机下发防攻击策略模板时，可以根据虚拟机的操作系统类型确定对应的防攻击策略，并生成防攻击策略模板，从而实现为VM定制针对性的防攻击策略模板，减少物理机资源的消耗。
[0028]相应地，在本发明实施例中，为了实现安全中心为VM下发针对性的防攻击策略模板，agent需要获取虚拟机的操作系统类型。
[0029]作为一种可选的实施方式，在本发明实施例中，获取虚拟机的操作系统类型，可以包括以下步骤:
[0030]11)、向虚拟机发送探测报文；
[0031]12)、接收该虚拟机发送的响应报文，并根据该响应报文中携带的操作系统标识确定虚拟机的操作系统类型。
[0032]在该实施方式中，当agent需要获取虚拟机的操作系统类型时，agent可以向虚拟机发送一个探测报文，并接收该虚拟机返回的响应报文，该响应报文中会携带虚拟机的操作系统标识;agent接收到虚拟机发送的响应报文后，可以获取该响应报文中携带的操作系统标识，并根据该操作系统标识确定虚拟机的操作系统类型。
[0033]可选地，该操作系统标识可以包括操作系统指纹，或其它用于识别操作系统类型的标识;其中，操作系统指纹是指不同类型的操作系统在处理信息时所存在的自身独有的特征，通过识别该操作系统指纹可以实现操作系统类型的识别。
[0034]应该认识到，上述通过发送探测报文和接收响应报文的方式实现虚拟机操作系统类型的获取的实现方式仅仅是本发明实施例中的一种具体示例，而不是对本发明保护范围的限定，即在本发明实施例中，也可以通过其它方式实现虚拟机操作系统类型的获取，本发明实施例对此不做限定。
[0035]步骤102、将获取到的操作系统类型上报给安全中心，以使安全中心根据该操作系统类型为虚拟机生成对应的防攻击策略模板。
[0036]本发明实施例中，agent获取到虚拟机的操作系统类型之后，可以将获取到的操作系统类型上报给安全中心；安全中心接收到该操作系统类型后，可以确定该操作系统类型对应的防攻击策略，并根据该防攻击策略为虚拟机生成对应的防攻击策略模板，该防攻击策略模板中可以包括但不限于对应该操作系统类型的防攻击策略并将其状态设置为开启。
[0037]值得说明的是，在本发明实施例中，当agent获取虚拟机的操作系统类型失败时，agent可以向安全中心发送一个操作系统类型获取失败的通知消息；安全中心接收到该通知消息后，可以为对应的虚拟机下发一个各种操作系统类型均适用的防攻击策略模板(本文中称为默认防攻击策略模板)。
[0038]步骤103、接收安全中心下发的防攻击策略模板，并根据该防攻击策略模板进行虚拟机防攻击处理。
[0039]本发明实施例中，安全中心为虚拟机生成与该虚拟机的操作系统类型对应的防攻击策略模板后，可以将该防攻击安全策略模板下发给对应的agent ;agent接收到安全中心下发的防攻击策略模板之后，可以根据该防攻击策略模板进行虚拟机防攻击处理。
[0040]可见，在图1所示的方法流程中，通过为不同操作系统类型配置不同的防攻击策略模板，实现了为VM定制针对性的防攻击策略模板，与通过统一模板下发的方式实现虚拟机防攻击的方案相比，减少了防攻击部署对物理机资源的消耗，进而可以提高虚拟机密度。
[0041]请参见图2，图2为本发明实施例提供的另一种虚拟机防攻击方法的流程示意图，如图2所示，该虚拟机防攻击方法可以包括以下步骤:
[0042]需要说明的是，步骤201?步骤205的执行主体可以为虚拟机上安装的防攻击代理，如IPS/IDS agent，为便于描述，以下以步骤201?步骤205的执行主体为agent为例进行说明。
[0043]步骤201、获取虚拟机的操作系统类型。
[0044]步骤202、将该操作系统类型上报给安全中心，以使安全中心根据该操作系统类型为虚拟机生成对应的防攻击策略模板。
[0045]本发明实施例中，步骤201?步骤202的具体处理流程可以参见上述步骤101?步骤102中的相关描述，本发明实施例在此不再赘述。
[0046]步骤203、确定虚拟机上包括的应用类型。
[0047]本发明实施例中，安全中心可以进一步为虚拟机上的不同应用类型预先配置不同的防攻击策略，以进一步提高不同VM之间的防攻击策略差异性，提高VM的安全性。
[0048]相应地，agent获取到虚拟机的操作系统类型，并将该操作系统类型上报给安全中心之后，agent还可以进一步对虚拟机上的应用类型进行预判，即确定虚拟机上包括的应用类型。
[0049]作为一种可选的实施方式，在本发明实施例中，确定虚拟机上包括的应用类型，可以包括“
[0050]对虚拟机进行端口扫描，以确定虚拟机上处于开启状态的端口，并根据该处于开启状态的端口确定虚拟机上包括的应用类型。
[0051 ] 在该实施方式中，当agent需要确定虚拟机上包括的应用类型时，agent可以对虚拟机进行端口扫描，从而根据扫描结果确定虚拟机上包括的应用类型。
[0052]例如，若虚拟机的23端口为开启状态，则可以确定虚拟机上包括Telnet(—种远程终端协议)应用；若虚拟机的53端口为开启状态，则可以确定虚拟机上包括DNS(DomainName System，域名系统)应用；若虚拟机的80端口为开启状态，则可以确定虚拟机上包括web(互联网)应用。
[0053]应该认识到，上述通过扫描虚拟机的端口的方式实现虚拟机上应用类型的确定的实现方式仅仅是本发明实施例中的一种具体示例，而不是对本发明保护范围的限定，即在本发明实施例中，也可以通过其它方式实现虚拟机上包括的应用类型的确定，如通过发送协议报文的方式等，本发明实施例对此不做限定。
[0054]步骤204、将虚拟机上包括的应用类型上报给安全中心，以使安全中心根据虚拟机上包括的应用类型对上述防攻击策略模板进行更新。
[0055]本发明实施例中，agent确定了虚拟机上包括的应用类型后，可以将该虚拟机上包括的应用类型上报给安全中心；安全中心获知虚拟机上包括的应用类型后，可以确定虚拟机上包括的应用类型对应的防攻击策略，并根据该防攻击策略对步骤202中确定的防攻击策略模板进行更新。
[0056]其中，安全中心根据虚拟机上包括的应用类型对防攻击策略模板进行更新，可以包括:
[0057]安全中心根据虚拟机上包括的应用类型对应的防攻击策略查询上述防攻击策略模板；
[0058]若防攻击策略模板中存在与虚拟机上包括的应用类型对应的防攻击策略同类型的防攻击策略，则将该防攻击策略模板中存在的该同类型的防攻击策略更新为虚拟机上包括的应用类型对应的防攻击策略；
[0059 ]若防攻击策略模板中不存在与虚拟机上包括的应用类型对应的防攻击策略同类型的防攻击策略，则将该虚拟机上包括的应用类型对应的防攻击策略添加到上述防攻击策略模板中。
[0060]步骤205、接收安全中心下发的更新后的防攻击策略模板，并根据更新后的防攻击策略模板进行虚拟机防攻击处理。
[0061]本发明实施例中，安全中心根据虚拟机上包括的应用类型对防攻击策略模板进行更新后，会将更新后的防攻击策略模板下发给agent;agent接收到安全中心下发的更新后的防攻击策略模板之后，可以根据该防攻击策略模板进行虚拟机防攻击处理。
[0062]值得说明的是，在本发明实施例中，当agent确定虚拟机上包括的应用类型失败时，agent可以向安全中心发送一个应用类型确定失败的通知消息;安全中心接收到该通知消息后，不需要对虚拟机的操作系统类型对应的防攻击策略模板进行更新，而是直接将其下发给agent，由agent根据该虚拟机的操作系统类型对应的防攻击策略模板进行虚拟机防攻击处理。
[0063]可见，在图2所示的方法流程中，通过在为不同操作系统类型配置不同的防攻击策略模板的基础上，为VM上的不同应用类型配置对应的防攻击策略，从而可以根据VM上包括的应用类型为VM对应的防攻击策略模板进行更新，提高了不同VM之间防攻击策略模板的差异性，进而可以提尚VM的安全性。
[0064]进一步地，在本发明实施例中，安全中心根据上述图1或图2所示的流程中的相关描述为虚拟机生成防攻击策略模板之后，管理员可以查看该防攻击策略模板，并在必要时手动修改该防攻击策略模板，如当管理员认为安全中心生成的防攻击策略模板中遗漏了针对某些攻击的防御规则时，管理员可以手动在该防攻击策略模板中增加对应的防御规则；甚至对于未知攻击，安全中心还可以提供自定义攻击的方法，允许用户手动编写攻击规则，并将对应的防御规则统一通过防攻击策略模板下发给agent。
[0065]进一步地，在本发明实施例中，agent根据图1或图2所示流程生成的攻击库支持快速克隆，在几个克隆的VM之间，只需要进行agent的克隆即可快速实现防攻击部署，而不需要每个VM上部署的agent均分别按照图1或图2所示流程进行相关防攻击处理。
[0066]通过以上描述可以看出，在本发明实施例提供的技术方案中，防攻击代理通过获取虚拟机的操作系统类型，并将该操作系统类型上报给安全中心，以使安全中心根据该操作系统类型为虚拟机生成对应的防攻击策略模板;当接收到安全中心下发的防攻击策略模板之后，可以根据该防攻击策略模板进行虚拟机防攻击处理，与通过统一模板下发的方式实现虚拟机防攻击的方案相比，防攻击代理只获取与其所运行于的虚拟机相关的防攻击策略模板，该防攻击策略模板中不包括与该虚拟机不相关的内容，因此减少了防攻击部署对物理机资源的消耗，进而可以提高虚拟机密度。
[0067]请参见图3，为本发明实施例提供的一种虚拟机防攻击装置的结构示意图，其中，该装置可以应用于上述方法实施例中所描述的agent，如图3所示，该装置可以包括:
[0068]获取单元310，用于获取虚拟机的操作系统类型；
[0069]发送单元320，用于将所述操作系统类型上报给安全中心，以使安全中心根据所述操作系统类型为所述虚拟机生成对应的防攻击策略模板；
[0070]接收单元330，用于接收所述安全中心下发的防攻击策略模板；
[0071]处理单元340，用于根据所述防攻击策略模板进行虚拟机防攻击处理。
[0072]请一并参阅图4，为本发明实施例提供的另一种虚拟机防攻击装置的结构示意图，该实施例在前述图3所示实施例的基础上，图4所示的虚拟机防攻击装置中，获取单元310可以包括:
[0073]发送子单元311，用于向所述虚拟机发送探测报文；
[0074]接收子单元312，用于接收所述虚拟机发送的响应报文；
[0075]确定子单元313，用于根据所述响应报文中携带的操作系统标识确定虚拟机的操作系统类型。
[0076]在可选实施例中，所述发送单元320，还可以用于若所述获取单元310获取虚拟机的操作系统类型失败，则向所述安全中心发送操作系统类型失败的通知消息，以使所述安全中心将默认模板作为所述虚拟机的防攻击策略模板。
[0077]请一并参阅图5，为本发明实施例提供的另一种虚拟机防攻击装置的结构示意图，该实施例在前述图3所示实施例的基础上，图5所示的虚拟机防攻击装置还可以包括:
[0078]确定单元350，用于确定所述虚拟机上包括的应用类型；
[0079]相应地，所述发送单元320，还可以用于将所述虚拟机上包括的应用类型上报给所述安全中心，以使所述安全中心根据所述虚拟机上包括的应用类型对所述防攻击策略模板进行更新；
[0080]所述接收单元330，可以具体用于接收所述安全中心下发的更新后的防攻击策略模板；
[0081]所述处理单元340，可以具体用于根据所述更新后的防攻击策略模板进行虚拟机防攻击处理。
[0082]请一并参阅图6，为本发明实施例提供的另一种虚拟机防攻击装置的结构示意图，该实施例在前述图5所示实施例的基础上，图6所示的虚拟机防攻击装置中，确定单元350可以包括:
[0083]扫描子单元351，用于对所述虚拟机进行端口扫描，以确定所述虚拟机上处于开启状态的端口；
[0084]确定子单元352，用于根据所述处于开启状态的端口确定所述虚拟机上包括的应用类型。
[0085]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0086]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0087]由上述实施例可见，防攻击代理通过获取虚拟机的操作系统类型，并将该操作系统类型上报给安全中心，以使安全中心根据该操作系统类型为虚拟机生成对应的防攻击策略模板；当接收到安全中心下发的防攻击策略模板之后，可以根据该防攻击策略模板进行虚拟机防攻击处理，与通过统一模板下发的方式实现虚拟机防攻击的方案相比，防攻击代理只获取与其所运行于的虚拟机相关的防攻击策略模板，该防攻击策略模板中不包括与该虚拟机不相关的内容，因此减少了防攻击部署对物理机资源的消耗，进而可以提高虚拟机
FtFt也/又。
[0088]本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。
[0089]应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
【主权项】
1.一种虚拟机防攻击方法，其特征在于，应用于防攻击代理，所述防攻击代理运行于虚拟机，所述方法包括: 获取所述虚拟机的操作系统类型； 将所述操作系统类型上报给安全中心，以使安全中心根据所述操作系统类型为所述虚拟机生成对应的防攻击策略模板； 接收所述安全中心下发的防攻击策略模板，并根据所述防攻击策略模板进行虚拟机防攻击处理。2.根据权利要求1所述的方法，其特征在于，所述获取虚拟机的操作系统类型，包括: 向所述虚拟机发送探测报文； 接收所述虚拟机发送的响应报文，并根据所述响应报文中携带的操作系统标识确定虚拟机的操作系统类型。3.根据权利要求1所述的方法，其特征在于，所述方法还包括: 若获取虚拟机的操作系统类型失败，则向所述安全中心发送操作系统类型失败的通知消息，以使所述安全中心将默认模板作为所述虚拟机的防攻击策略模板。4.根据权利要求1所述的方法，其特征在于，所述将所述操作系统类型上报给安全中心之后，还包括: 确定所述虚拟机上包括的应用类型； 将所述虚拟机上包括的应用类型上报给所述安全中心，以使所述安全中心根据所述虚拟机上包括的应用类型对所述防攻击策略模板进行更新； 所述接收所述安全中心下发的防攻击策略模板，并根据所述防攻击策略模板进行虚拟机防攻击处理，包括: 接收所述安全中心下发的更新后的防攻击策略模板，并根据所述更新后的防攻击策略模板进行虚拟机防攻击处理。5.根据权利要求4所述的方法，其特征在于，所述确定所述虚拟机上包括的应用类型，包括: 对所述虚拟机进行端口扫描，以确定所述虚拟机上处于开启状态的端口，并根据所述处于开启状态的端口确定所述虚拟机上包括的应用类型。6.一种虚拟机防攻击装置，其特征在于，应用于防攻击代理，所述防攻击代理运行于虚拟机，所述装置包括: 获取单元，用于获取所述虚拟机的操作系统类型； 发送单元，用于将所述操作系统类型上报给安全中心，以使安全中心根据所述操作系统类型为所述虚拟机生成对应的防攻击策略模板； 接收单元，用于接收所述安全中心下发的防攻击策略模板； 处理单元，用于根据所述防攻击策略模板进行虚拟机防攻击处理。7.根据权利要求6所述的装置，其特征在于，所述获取单元，包括: 发送子单元，用于向所述虚拟机发送探测报文； 接收子单元，用于接收所述虚拟机发送的响应报文； 确定子单元，用于根据所述响应报文中携带的操作系统标识确定虚拟机的操作系统类型。8.根据权利要求6所述的装置，其特征在于， 所述发送单元，还用于若所述获取单元获取虚拟机的操作系统类型失败，则向所述安全中心发送操作系统类型失败的通知消息，以使所述安全中心将默认模板作为所述虚拟机的防攻击策略模板。9.根据权利要求6所述的装置，其特征在于，所述装置还包括: 确定单元，用于确定所述虚拟机上包括的应用类型； 所述发送单元，还用于将所述虚拟机上包括的应用类型上报给所述安全中心，以使所述安全中心根据所述虚拟机上包括的应用类型对所述防攻击策略模板进行更新； 所述接收单元，具体用于接收所述安全中心下发的更新后的防攻击策略模板； 所述处理单元，具体用于根据所述更新后的防攻击策略模板进行虚拟机防攻击处理。10.根据权利要求9所述的装置，其特征在于，所述确定单元包括: 扫描子单元，用于对所述虚拟机进行端口扫描，以确定所述虚拟机上处于开启状态的端口； 确定子单元，用于根据所述处于开启状态的端口确定所述虚拟机上包括的应用类型。
【文档编号】H04L29/06GK105933290SQ201610219047
【公开日】2016年9月7日
【申请日】2016年4月8日
【发明人】梁力文
【申请人】杭州华三通信技术有限公司