专利名称:一种虚拟桌面可执行程序保护机制的制作方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种虚拟桌面可执行程序保护机制。
背景技术:
虚拟桌面是通过硬件虚拟化技术,将多个桌面操作系统集中运行在少量服务器的虚拟机上,从而实现服务器硬件资源的复用,用户可以使用不同终端,如传统PC,智能手机,瘦客户端等通过网络使用这些桌面环境。虚拟桌面可以将传统的用户PC终端分散管理转变为集中的管理,极大地减少了系统运维成本和运维工作量。目前该技术已经得到了广泛的应用。然而虚拟桌面依然面临着病毒、木马等恶意程序的威胁。与传统的终端应用环境不同,一旦虚拟桌面环境中出现病毒和木马,由于运算和存储的相对集中,导致这些恶意程 序的散布和传播速度会远远快于传统的终端应用环境。而恶意程序一旦蔓延开来,必定会对虚拟桌面的服务环境造成极大的干扰和影响。
发明内容
本发明解决的技术问题在于有效防止虚拟桌面环境中恶意程序蔓延。为了解决以上问题,一种虚拟桌面可执行程序保护机制,包括以下步骤虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理。进一步,作为一种优选,所述虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤进一步包括在一台或多台物理主机上搭建虚拟机的运行环境,而在额外的独立存储主机上搭建虚拟机所需的存储环境,虚拟机采用iSCSI访问远端的存储镜像。进一步,作为一种优选,所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理进一步包括代理被部署在物理主机的Domain-O中,而Domain-O作为虚拟机的特权域,可以控制其他非特权虚拟机的运行状态,当监控到虚拟机内部有对CreateProcess和LoadLibrary等系统调用的请求时,就挂起该请求,对请求装载的可执行程序进行度量检查后再做处理。进一步,作为一种优选,在初始化虚拟桌面服务环境时,预设一个可信的可执行程序列表,并保存这个列表里的可执行程序的Hash值作为整个系统的白名单,只有在白名单之内的可执行程序才准予运行,否则不允许运行。进一步,作为一种优选,采用一种在Domai-O中进行虚拟机内部可执行程序度量和Hash值比对的方法。进一步,作为一种优选,根据Domain-O中度量和匹配结果,对虚拟机内部的系统调用请求做出处理,即是否允许被度量的可执行程序运行。本发明的有益效果在于,该方法以虚拟机镜像克隆机制和可执行程序白名单机制为技术基础,从根本上阻断不可信代码的运行,使得虚拟桌面环境不会受到恶意代码的侵害,同时兼顾了该安全机制对系统带来的性能影响,使系统开销降到最低。
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中图I本发明实施例的工作流程图。
具体实施方式
以下参照图I对本发明的实施例进行说明。为使上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。一种虚拟桌面可执行程序保护机制,包括以下步骤虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理。如图I所示,一种虚拟桌面可执行程序保护机制,包括以下步骤SI、VM 发出 CreateProcess 和 LoadLibrary 系统调用请求;S2、挂起该请求;S3、数据重组;S4、是否在系统白名单内;S5、如果在,则恢复VM内的系统调用请求;S6、如果不在,则失败VM内的系统调用请求并返回。本发明的核心在于部署在承载虚拟机的物理主机Domain-O中的代理。该代理的设计基于如下两个原则一、能够准确捕获虚拟机内的程序操作;二、不能够被旁路。下面结合附图和上述原则对本发明进行详细说明由于Domain-O是虚拟机环境中的特权域,所有非特权虚拟机的文件读写,CPU调度等操作都需要经过Domain-0,因此将代理部署在Domain-O中,可以方便捕获到非特权虚拟机中的系统调用;同时在非特权虚拟机内部运行的代码由于优先级较低,无法感知在Domain-O中的安全机制,因此无法将其避开,从而确保安全机制的有效。在实施过程中,首先需要拟定可信的软件集合,然后使用工具计算这些软件可执行代码的Hash值,将这些Hash值统一保存,即是系统的“白名单”。当虚拟机内部需要加载可执行程序时,会发出CreateProcess或LoadLibrary的系统调用请求以及对磁盘文件的读请求,而部署在Domain-O中的代理程序会捕获到此类请求,并将其挂起;同时根据读请求中包含的磁盘名,磁盘块偏移量等信息,代理程序会将虚拟机请求的可执行程序代码在Domain-O中重组。重组完成后,代理程序对其进行Hash运算并与系统“白名单”中预存的Hash值进行比对,如果匹配成功,则恢复虚拟机内的系统调用请求,使该代码得到执行;如果匹配不成功,则失败掉虚拟机内的系统调用请求。如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易 见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
权利要求
1.一种虚拟桌面可执行程序保护机制,其特征在于,包括以下步骤 虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤; 在承载虚拟机的物理主机上部署可执行程序保护机制的代理。
2.根据权利要求I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤进一步包括在一台或多台物理主机上搭建虚拟机的运行环境,而在额外的独立存储主机上搭建虚拟机所需的存储环境,虚拟机采用iSCSI访问远端的存储镜像。
3.根据权利要求I所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理进一步包括代理被部署在物理主机的Domain-O中,而Domain-O作为虚拟机的特权域,可以控制其他非特权虚拟机的运行状态,当监控到虚拟机内部有对CreateProcess和LoadLibrary等系统调用的请求时,就挂起该请求,对请求装载的可执行程序进行度量检查后再做处理。
4.根据权利要求书3所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,·其特征在于,进一步包括在初始化虚拟桌面服务环境时,预设一个可信的可执行程序列表,并保存这个列表里的可执行程序的Hash值作为整个系统的白名单,只有在白名单之内的可执行程序才准予运行,否则不允许运行。
5.根据权利要求书4所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,采用一种在Domai-O中进行虚拟机内部可执行程序度量和Hash值比对的方法。
6.根据权利要求书5所述的一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法,其特征在于,根据Domain-O中度量和匹配结果,对虚拟机内部的系统调用请求做出处理,即是否允许被度量的可执行程序运行。
全文摘要
本发明公开了一种虚拟桌面可执行程序保护机制,包括以下步骤虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理。有效阻止了不可信的程序运行,提高了虚拟桌面的整体安全性能。
文档编号G06F21/22GK102722678SQ20121017788
公开日2012年10月10日 申请日期2012年5月31日 优先权日2012年5月31日
发明者石勇, 郭煜 申请人:北京朋创天地科技有限公司