一种云计算网络中网络安全的检测方法及装置制造方法

一种云计算网络中网络安全的检测方法及装置制造方法
【专利摘要】本发明公开了一种云计算网络中网络安全的检测方法，所述方法包括：获知虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确定被修改后，根据修改结果进行相应的修复操作。本发明同时公开了一种云计算网络中网络安全的检测装置，采用本发明的方法及装置，能有效地防止具有安全隐患的虚拟机对对隶属于同一物理主机的虚拟机监视器（VMM)和其它虚拟机、以及整个云计算网络进行攻击。
【专利说明】-种云计算网络中网络安全的检测方法及装置

【技术领域】
[0001] 本发明涉及云计算领域中的网络安全技术，尤其涉及一种云计算网络中网络安全 的检测方法及装置。

【背景技术】
[0002] 在云计算技术中，可以借助虚拟化技术实现在同一物理主机上同时运行多个虚拟 机，且隶属于同一物理主机的各虚拟机之间的数据包转发不经过物理交换机。也就是说，隶 属于同一物理主机的各虚拟机之间的通信流量不受网络中的物理交换机或其它网络设备 监控、管理，这样，就会出现某个虚拟机向隶属于同一物理主机的其它虚拟机发起异常流量 等内部攻击，进而威胁整个云计算网络的安全。
[0003] 现有技术中，为防止虚拟机以某种方式向隶属于同一物理主机的其它虚拟机或所 隶属的物理主机发起攻击，对虚拟机的通信流量进行了监控。目前，对虚拟机的通信流量进 行监控的方法主要包括以下两种：
[0004] 一、利用虚拟交换机对虚拟机的通信流量进行监控。图1为利用虚拟交换机对虚 拟机的通信流量进行监控的设备结构示意图，如图1所示，在云计算虚拟化运行环境中，为 了对虚拟机的通信流量进行监控，将传统交换机设备虚拟化为虚拟交换机，虚拟交换机驻 留在虚拟机监视器（VMM, Virtual MachineMonitor)中，提供了虚拟机之间、以及虚拟机 与外部网络之间的通信能力；VMM为每个虚拟机创建一个虚拟网卡，每个虚拟网卡对应于 虚拟交换机的一个逻辑端口，虚拟交换机根据虚拟机的媒体接入控制（MAC，Media Access Control)地址与逻辑端口的对应关系表转发报文到相应的虚拟机，并利用自身的逻辑端口 来监控虚拟机的通信流量，从而实现对虚拟机的流量管理。其中，虚拟机、虚拟交换机、虚拟 网卡及VMM隶属于同一个物理主机。但是，该方法存在以下缺陷：由于在监控过程中虚拟交 换机需要将数据包进行转发，如此，会消耗过多的物理主机的资源，而且不便于灵活实施针 对虚拟机的具体的安全策略。
[0005] 二、利用物理交换机对虚拟机的通信流量进行监控。图2为利用物理交换机对虚 拟机的通信流量进行监控的设备结构示意图，如图2所示，在利用物理交换机对虚拟机的 通信流量进行监控的方法中，将虚拟机产生的全部通信流量都引出交给与服务器相连的物 理交换机进行监控，其中，所示全部通信流量包括：虚拟机与隶属于同一物理主机的其它虚 拟主机之间的通信流量、以及虚拟机与所隶属的物理主机的外部设备之间的通信流量。由 物理主机外部的物理交换机对虚拟机的通信流量进行监控，不需要消耗物理主机的资源， 因此，这种方法可以将与虚拟机相关的通信流量监管、控制策略和管理可扩展性问题得到 很好的解决。
[0006] 从上面的描述中可以看出，在现有技术中，为了防止虚拟机以某种方式向隶属于 同一物理主机的其它虚拟机或所隶属的物理主机造成攻击，借助软硬件设备对虚拟机的通 信流量进行了引流、监控，进而阻断不符合要求的虚拟机的通信流量，预防恶意的虚拟机通 过通信流量对云计算网络构成攻击。
[0007] 但是，现有技术中，只对虚拟机的通信流量进行了监控、过滤、以及防护，而对于 监控过滤规则之外的安全威胁或攻击，却无法及时发现并采取措施，具体包括以下两个方 面：
[0008] 第一，虚拟机自身的安全防护软件或安全配置被恶意卸载或禁用后无法及时发 现。虚拟机在创建时会安装配置相应的自身防护机制，一旦恶意用户将相关安全防护软件 卸载或禁用，就有可能会造成失去防护的虚拟机感染病毒、木马后去威胁VMM或者其它虚 拟机的安全，进而影响整个云计算网络的安全。
[0009] 第二，正常虚拟机感染病毒、木马或执行某恶意代码后无法及时发现。正常虚拟 机无意间被感染病毒、木马或执行某恶意代码后，会引发类似隐蔽信道攻击、虚拟机逃逸或 获取物理主机的root权限等安全问题，进而会造成攻击者直接控制VMM，从而威胁整个云 计算网络的安全。另外，正常虚拟机被感染病毒、木马或执行某恶意代码后，可能会使虚拟 机恶意占用大量系统资源，从而可能会造成隶属于同一物理主机的其它虚拟机无法正常运 行。


【发明内容】

[0010] 有鉴于此，本发明的主要目的在于提供一种云计算中网络安全的检测方法及装 置，能有效地防止具有安全隐患的虚拟机对隶属于同一物理主机的VMM和其它虚拟机、以 及整个云计算网络进行攻击。
[0011] 为达到上述目的，本发明的技术方案是这样实现的：
[0012] 本发明提供了一种云计算网络中网络安全的检测方法，所述方法包括：
[0013] 虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确定被修改后根据 修改结果进行相应的修复操作。
[0014] 上述方案中，所述方法还包括：
[0015] 在所述虚拟机运行过程中，周期性检查所述虚拟机当前的安全信息是否被修改， 确定被修改后根据修改结果进行相应的修复操作。
[0016] 上述方案中，所述检查所述虚拟机当前的安全信息是否被修改，确定被修改后根 据修改结果进行相应的修复操作为：
[0017] 由云计算运营管理平台、或与所述虚拟机隶属于同一物理主机的VMM或特殊虚拟 机检查所述虚拟机当前的安全信息是否被修改，确定被修改后根据修改结果进行相应的修 复操作。
[0018] 上述方案中，在虚拟机启动之前，所述方法还包括：
[0019] 收集所述虚拟机启动前的安全信息，并保存；
[0020] 相应的，所述检查所述虚拟机当前的安全信息是否被修改，为：
[0021] 将所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟机当前 的安全信息与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改，如果所 述虚拟机当前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全信息已 被修改。
[0022] 上述方案中，在将所述虚拟机当前的安全信息与保存的安全信息进行比较之前， 所述方法还包括：
[0023] 收集所述虚拟机当前的安全信息。
[0024] 上述方案中，所述根据修改结果进行相应的修复操作，包括：
[0025] 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息部分属于设 置的威胁严重的安全信息范围时，中止所述虚拟机当前的所有操作，并强制所述虚拟机进 行修复；
[0026] 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息不属于设置 的威胁严重的安全信息范围时，提醒所述虚拟机的用户进行修复。
[0027] 本发明还提供了一种云计算网络中网络安全的检测装置，所述装置包括：检查单 元及修复单元；其中，
[0028] 检查单元，用于在虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确 定被修改后，将修改结果发送给修复单元；
[0029] 修复单元，用于收到检查单元发送的修改结果后，根据修改结果进行相应的修复 操作。
[0030] 上述方案中，所述检查单元，还用于在所述虚拟机运行过程中，周期性检查所述虚 拟机当前的安全信息是否被修改确定被修改后，将修改结果发送给修复单元。
[0031] 上述方案中，所述检测装置为云计算运营管理平台、或为与所述虚拟机隶属于同 一物理主机的VMM或特殊虚拟机。
[0032] 上述方案中，所述检查单元，还用于收集所述虚拟机启动前的安全信息，并保存；
[0033] 相应的，在检查所述虚拟机当前的安全信息是否被修改，所述检查单元，具体用 于：将所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟机当前的安 全信息与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改，如果所述虚 拟机当前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全信息已被修 改。
[0034] 上述方案中，在将所述虚拟机当前的安全信息与保存的安全信息进行比较之前所 述检查单元，还用于收集所述虚拟机当前的安全信息。
[0035] 上述方案中，所述修复单元，具体用于：当所述虚拟机当前的安全信息与保存的安 全信息不相同的安全信息部分属于设置的威胁严重的安全信息范围时，中止所述虚拟机当 前的所有操作，并强制所述虚拟机进行修复；当所述虚拟机当前的安全信息与保存的安全 信息不相同的安全信息不属于设置的威胁严重的安全信息范围时，提醒所述虚拟机的用户 进行修复。
[0036] 本发明提供的云计算中网络安全的检测方法及装置，虚拟机启动后，检查所述虚 拟机当前的安全信息是否被修改，确定被修改后，根据修改结果进行相应的修复操作，如 此，能及时地发现虚拟机自身的安全隐患，并进行修复，防止了具有安全隐患的虚拟机对隶 属于同一物理主机的VMM和其它虚拟机、以及整个云计算网络进行的攻击，从而保证了云 计算网络的安全。
[0037] 另外，本发明中，在所述虚拟机运行过程中，周期性检查所述虚拟机当前的安全 信息是否被修改，确定被修改后，根据修改结果进行相应的修复操作，如此，能有效地防止 由于虚拟机被感染病毒、木马或执行恶意代码后对隶属于同一物理主机的VMM和其它虚拟 机、以及整个云计算网络进行的攻击，进一步保证了云计算网络的安全。

【专利附图】

【附图说明】
[0038] 图1为利用虚拟交换机对虚拟机的通信流量进行监控的设备结构示意图；
[0039] 图2为利用物理交换机对虚拟机的通信流量进行监控的设备结构示意图；
[0040] 图3为本发明云计算网络中网络安全的检测方法流程示意图；
[0041] 图4为本发明实施例一云计算网络中网络安全的检测方法流程示意图；
[0042] 图5为本发明实施例二云计算网络中网络安全的检测方法流程示意图；
[0043] 图6为本发明云计算网络中网络安全的检测装置结构示意图。

【具体实施方式】
[0044] 本发明的基本思想是：虚拟机启动后，检查所述虚拟机当前的安全信息是否被修 改，确定被修改后，根据修改结果进行相应的修复操作。
[0045] 下面结合附图及具体实施例对本发明再作进一步详细的说明。
[0046] 本发明云计算网络中网络安全的检测方法，如图3所示，包括以下步骤：
[0047] 步骤301 :虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确定被修 改后根据修改结果进行相应的修复操作；
[0048] 这里，在实际应用时，可以根据需要指定由云计算运营管理平台、或与所述虚拟机 隶属于同一物理主机的VMM或特殊虚拟机检查所述虚拟机当前的安全信息是否被修改，确 定修改后根据修改结果进行相应的修复操作。
[0049] 在执行本步骤之前，该方法还可以进一步包括：
[0050] 收集所述虚拟机启动前的安全信息，并保存；
[0051] 相应的，所述检查所述虚拟机当前的安全信息是否被修改，具体为：
[0052] 将所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟机当前 的安全信息与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改，如果所 述虚拟机当前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全信息已 被修改。
[0053] 在将所述虚拟机当前的安全信息与保存的安全信息进行比较之前，该方法还可以 进一步包括：
[0054] 收集所述虚拟机当前的安全信息。
[0055] 所述根据修改结果进行相应的修复操作，具体包括：
[0056] 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息部分属于设 置的威胁严重的安全信息范围时，中止所述虚拟机当前的所有操作，并强制所述虚拟机进 行修复；
[0057] 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息不属于设置 的威胁严重的安全信息范围时，提醒所述虚拟机的用户进行修复。
[0058] 确定未被修改后，则不进行任何操作。
[0059] 步骤302 :在所述虚拟机运行过程中，周期性检查所述虚拟机当前的安全信息是 否被修改，确定被修改后根据修改结果进行相应的修复操作。
[0060] 这里，相应的，在所述虚拟机运行过程中，可以根据需要指定由所述云计算运营管 理平台或者与所述虚拟机隶属于同一物理主机的VMM或特殊虚拟机周期性检查所述虚拟 机当前的安全信息是否被修改，确定修改后，根据修改结果进行相应的修复操作；其中，所 述虚拟机启动后检查所述虚拟机当前的安全信息是否被修改的功能实体在所述虚拟机运 行过程中检查所述虚拟机当前的安全信息是否被修改；具体地，所述虚拟机启动后，由云 计算运营管理平台检查所述虚拟机当前的安全信息是否被修改时，在所述虚拟机运行过程 中，所述云计算运营管理平台周期性检查所述虚拟机当前的安全信息是否被修改；所述虚 拟机启动后，由所述VMM检查所述虚拟机当前的安全信息是否被修改时，在所述虚拟机运 行过程中，所述VMM周期性检查所述虚拟机当前的安全信息是否被修改；所述虚拟机启动 后，由所述特殊虚拟机检查所述虚拟机当前的安全信息是否被修改时，在所述虚拟机运行 过程中，所述特殊虚拟机周期性检查所述虚拟机当前的安全信息是否被修改。
[0061] 相应的，所述周期性检查所述虚拟机当前的安全信息是否被修改，具体为：
[0062] 周期性将所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟 机当前的安全信息与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改， 如果所述虚拟机当前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全 信息已被修改。
[0063] 在周期性将所述虚拟机当前的安全信息与保存的安全信息进行比较之前，该方法 还可以进一步包括：
[0064] 周期性收集所述虚拟机当前的安全信息。
[0065] 所述根据修改结果进行相应的修复操作，具体包括：
[0066] 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息部分属于设 置的威胁严重的安全信息范围时，中止所述虚拟机当前的所有操作，并强制所述虚拟机进 行修复；
[0067] 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息不属于设置 的威胁严重的安全信息范围时，提醒所述虚拟机的用户进行修复。
[0068] 确定未被修改后，则不进行任何操作。
[0069] 下面结合实施例对本发明再作进一步详细的描述。
[0070] 实施例一
[0071] 本实施例云计算网络中网络安全的检测方法，如图4所示，包括以下步骤：
[0072] 步骤401 :需要申请虚拟机时，用户通过云计算运营管理平台的自服务门口向所 述云计算运营管理平台发送服务请求；
[0073] 步骤402 :所述云计算运营管理平台收到服务请求并在审核收到的服务请求后， 通过管理接口向资源池管理平台下发分配资源的指令；
[0074] 步骤403 :所述资源池管理平台收到指令后，为所述用户分配相应的虚拟机；
[0075] 这里，步骤401?403的具体实现为现有技术，这里不再赘述。
[0076] 步骤404?405 :所述资源池管理平台触发分配的虚拟机所隶属的物理主机的VMM 或特殊虚拟机收集所述分配的虚拟机的安全信息，并保存；所述VMM或特殊虚拟机在保存 后通知所述资源池管理平台；
[0077] 这里，在实际应用过程中，管理员可以根据需要指定隶属于所述物理主机的虚拟 机中除分配的虚拟机以外的任一虚拟机作为所述特殊虚拟机，来收集安全配置信息，并执 行后续的安全检查操作。
[0078] 所述VMM或特殊虚拟机收集所述分配的虚拟机的安全信息，具体为：
[0079] 所述VMM或特殊虚拟机向所述分配的虚拟机发送上报安全信息的命令；
[0080] 所述分配的虚拟机向所述VMM或特殊虚拟机上报自身的安全信息。
[0081] 所述安全信息包括：所述分配的虚拟机的操作系统版本、所述分配的虚拟机携带 的相关安全软件、以及当前的安全配置；其中，所述当前的安全配置包括：端口开放情况、 防火墙设置情况、以及文件传输协议（FTP, File Transfer Protocol)服务和安全外壳 (SSH，Secure SHell)等远程访问连接配置情况等。
[0082] 步骤406 :所述资源池管理平台收到通知后，通过所述云计算运营管理平台告知 所述用户分配的虚拟机，之后执行步骤407 ;
[0083] 步骤407 :所述分配的虚拟机被所述用户重新启动后，所述VMM或特殊虚拟机收集 所述分配的虚拟机当前的安全信息，并将所述分配的虚拟机当前的安全信息与保存的安全 信息进行比较，根据比较结果进行相应的操作，之后执行步骤408 ;
[0084] 这里，当所述用户需要使用所述分配的虚拟机时，需要重新启动所述分配的虚拟 机。
[0085] 所述VMM或特殊虚拟机可利用现有技术获知所述分配的虚拟机被重新启动。
[0086] 所述VMM或特殊虚拟机收集所述分配的虚拟机当前的安全信息，具体为：
[0087] 所述VMM或特殊虚拟机向所述分配的虚拟机发送上报安全信息的命令；
[0088] 所述分配的虚拟机收到命令后，向所述VMM或特殊虚拟机上报自身当前的安全信 息；或者，
[0089] 所述分配的虚拟机主动向所述VMM或特殊虚拟机上报自身当前的安全信息。
[0090] 在将所述分配的虚拟机当前的安全信息与保存的安全信息进行比较时，所述VMM 或特殊虚拟机会将安全信息包含的信息一一进行比较。
[0091] 所述根据比较结果进行相应的操作，具体包括：
[0092] 当所述分配的虚拟机当前的安全信息与保存的安全信息相同时，则不进行任何操 作；
[0093] 当所述分配的虚拟机当前的安全信息与保存的安全信息不相同，且不相同的安全 信息部分属于设置的威胁严重的安全信息范围时，中止所述分配的虚拟机当前的所有操 作，并强制所述分配的虚拟机进行修复；
[0094] 当所述分配的虚拟机当前的安全信息与保存的安全信息不相同，且不相同的安全 信息不属于设置的威胁严重的安全信息范围时，提醒所述用户进行修复。
[0095] 其中，所述威胁严重的安全信息范围可以根据需要进行设置，比如：可以包括：虚 拟机携带的安全软件及安全配置；相应的，所述VMM或特殊虚拟机在将所述分配的虚拟机 当前的安全信息与保存的安全信息进行比较时，发现所述分配的虚拟机携带的安全软件被 卸载或禁用，或者，发现SSH等远程访问连接被开启时，将中止所述分配的虚拟机当前的所 有操作，并强制执行相应的修复。
[0096] 其中，所述执行相应的修复是指：修复后的所述分配的虚拟机当前的安全信息与 所述VMM或特殊虚拟机保存的安全信息完全相同。
[0097] 当所述分配的虚拟机修复完成后，所述VMM或特殊虚拟机将所述分配的虚拟机当 前的安全信息与自身保存的安全信息进行比较，二者完全相同后，才允许所述分配的虚拟 机正常网络连接，并允许与和所述分配的虚拟机隶属于同一个物理主机的其它虚拟机进行 通信。
[0098] 步骤408 :在所述分配的虚拟机运行过程中，所述VMM或特殊虚拟机周期性收集所 述分配的虚拟机当前的安全信息，并将所示分配的虚拟机当前的安全的信息与保存的安全 信息进行比较，并根据比较结果进行相应的操作，结束当前处理流程。
[0099] 这里，所述VMM或特殊虚拟机周期性收集所述分配的虚拟机当前的安全信息，具 体为：
[0100] 所述VMM或特殊虚拟机周期性向所述分配的虚拟机发送上报安全信息的命令；
[0101] 所述分配的虚拟机收到命令后，向所述VMM或特殊虚拟机上报自身当前的安全信 息；或者，
[0102] 所述分配的虚拟机主动周期性向所述VMM或特殊虚拟机上报自身当前的安全信 肩、。
[0103] 本步骤中根据比较结果进行相应的操作的具体实现过程与步骤407中的根据比 较结果进行相应的操作的具体实现过程完全相同，这里不再赘述。
[0104] 本步骤执行的目的是：防止所述分配的虚拟机在运行过程中被感染病毒、木马或 执行恶意代码。
[0105] 其中，管理员可以根据需要设置周期的长度，比如：2小时等。
[0106] 实施例二
[0107] 本实施例云计算中网络安全的检测方法，如图5所示，包括以下步骤：
[0108] 步骤501 :需要申请虚拟机时，用户通过云计算运营管理平台的自服务门口向所 述云计算运营管理平台发送服务请求；
[0109] 步骤502 :所述云计算运营管理平台收到服务请求并在审核收到的服务请求后， 通过管理接口向资源池管理平台下发分配资源的指令；
[0110] 步骤503 :所述资源池管理平台收到指令后，为所述用户分配相应的虚拟机；
[0111] 这里，步骤501?503的具体实现为现有技术，这里不再赘述。
[0112] 步骤504?505 :所述资源池管理平台触发所述云计算运营管理平台收集所述分 配的虚拟机的安全信息，并保存；所述云计算运营管理平台在保存后通知所述资源池管理 平台；
[0113] 这里，所述云计算运营管理平台收集所述分配的虚拟机的安全信息，具体为：
[0114] 云计算运营管理平台向所述分配的虚拟机发送上报安全信息的命令；
[0115] 所述分配的虚拟机向云计算运营管理平台上报自身的安全信息。
[0116] 所述安全信息包括：所述分配的虚拟机的操作系统版本、所述分配的虚拟机携带 的相关安全软件、以及当前的安全配置；其中，所述当前的安全配置包括：端口开放情况、 防火墙设置情况、以及FTP服务和SSH等远程访问连接配置情况等。
[0117] 步骤506 :所述资源池管理平台收到通知后，通过所述云计算运营管理平台告知 所述用户分配的虚拟机，之后执行步骤507 ;
[0118] 步骤507 :所述分配的虚拟机被所述用户重新启动后，所述云计算运营管理平台 收集所述分配的虚拟机当前的安全信息，并将所述分配的虚拟机当前的安全信息与保存的 安全信息进行比较，根据比较结果进行相应的操作，之后执行步骤508 ;
[0119] 这里，当所述用户需要使用所述分配的虚拟机时，需要重新启动所述分配的虚拟 机。
[0120] 所述云计算运营管理平台可利用现有技术获知所述分配的虚拟机被重新启动。
[0121] 所述云计算运营管理平台收集所述分配的虚拟机当前的安全信息，具体为：
[0122] 所述云计算运营管理平台向所述分配的虚拟机发送上报安全信息的命令；
[0123] 所述分配的虚拟机收到命令后，向所述云计算运营管理平台上报自身当前的安全 信息；或者，
[0124] 所述分配的虚拟机主动向所述云计算运营管理平台上报自身当前的安全信息。
[0125] 在将所述分配的虚拟机当前的安全信息与保存的安全信息进行比较时，所述云计 算运营管理平台会将安全信息包含的信息一一进行比较。
[0126] 所述根据比较结果进行相应的操作，具体包括：
[0127] 当所述分配的虚拟机当前的安全信息与保存的安全信息相同时，则不进行任何操 作；
[0128] 当所述分配的虚拟机当前的安全信息与保存的安全信息不相同，且不相同的安全 信息部分属于设置的威胁严重的安全信息范围时，中止所述分配的虚拟机当前的所有操 作，并强制所述分配的虚拟机进行修复；
[0129] 当所述分配的虚拟机当前的安全信息与保存的安全信息不相同，且不相同的安全 信息不属于设置的威胁严重的安全信息范围时，提醒所述用户进行修复。
[0130] 其中，所述威胁严重的安全信息范围可以根据需要进行设置，比如：可以包括：虚 拟机携带的安全软件及安全配置；相应的，所述云计算运营管理平台在将所述分配的虚拟 机当前的安全信息与保存的安全信息进行比较时，发现所述分配的虚拟机携带的安全软件 被卸载或禁用，或者，发现SSH等远程访问连接被开启时，将中止所述分配的虚拟机当前的 所有操作，并强制执行相应的修复。
[0131] 其中，所述执行相应的修复是指：修复后的所述分配的虚拟机当前的安全信息与 所述云计算运营管理平台保存的安全信息完全相同。
[0132] 当所述分配的虚拟机修复完成后，所述云计算运营管理平台将所述分配的虚拟机 当前的安全信息与自身保存的安全信息进行比较，二者完全相同后，才允许所述分配的虚 拟机正常网络连接，并允许与和所述分配的虚拟机隶属于同一个物理主机的其它虚拟机进 行通信。
[0133] 步骤508 :在所述分配的虚拟机运行过程中，所述云计算运营管理平台周期性收 集所述分配的虚拟机当前的安全信息，并将所示分配的虚拟机当前的安全的信息与保存的 安全信息进行比较，并根据比较结果进行相应的操作，结束当前处理流程。
[0134] 这里，所述云计算运营管理平台周期性收集所述分配的虚拟机当前的安全信息， 具体为：
[0135] 所述云计算运营管理平台周期性向所述分配的虚拟机发送上报安全信息的命 令；
[0136] 所述分配的虚拟机收到命令后，向所述云计算运营管理平台上报自身当前的安全 信息；或者，
[0137] 所述分配的虚拟机主动周期性向所述云计算运营管理平台上报自身当前的安全 信息。
[0138] 本步骤中根据比较结果进行相应的操作的具体实现过程与步骤507中的根据比 较结果进行相应的操作的具体实现过程完全相同，这里不再赘述。
[0139] 本步骤执行的目的是：防止所述分配的虚拟机在运行过程中被感染病毒、木马或 执行恶意代码。
[0140] 其中，管理员可以根据需要设置周期的长度，比如：2小时等。
[0141] 从上面的描述中可以看出，采用本发明的方法，可有效地预防由于虚拟机自身的 安全防护机制被修改和/或在运行过程中由于虚拟机被感染木马、病毒或执行恶意代码 后，而引发的对隶属于同一物理主机的VMM和其它虚拟机、以及整个云计算网络进行攻击 的安全问题。换句话说，采用本发明的方法，能及时地发现云计算网络中虚拟机的安全隐 患，并在安全隐患给云计算网络带来威胁之前就中断具有安全隐患的虚拟机与网络的连 接，从而有效地避免了给云计算网络带来的安全影响，从根本上保证了云计算网络的安全。
[0142] 为实现上述方法，本发明还提供了一种云计算网络中网络安全的检测装置，如图6 所示，该装置包括：检查单元61及修复单元62 ;其中，
[0143] 检查单元61，用于在虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改， 确定被修改后，将修改结果发送给修复单元62 ;
[0144] 修复单元62,用于收到检查单元61发送的修改结果后，根据修改结果进行相应的 修复操作。
[0145] 这里，所述检测装置具体可以是云计算运营管理平台或者与所述虚拟机隶属于同 一物理主机的VMM或特殊虚拟机。
[0146] 其中，所述检查单元61，还用于在所述虚拟机运行过程中，周期性检查所述虚拟机 当前的安全信息是否被修改确定被修改后，将修改结果发送给修复单元62。
[0147] 所述检查单元61，还用于收集所述虚拟机启动前的安全信息，并保存；
[0148] 相应的，在检查所述虚拟机当前的安全信息是否被修改，所述检查单元61，具体用 于：将所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟机当前的安 全信息与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改，如果所述虚 拟机当前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全信息已被修 改。
[0149] 在将所述虚拟机当前的安全信息与保存的安全信息进行比较之前所述检查单元 61，还用于收集所述虚拟机当前的安全信息。
[0150] 所述修复单元62,具体用于：当所述虚拟机当前的安全信息与保存的安全信息不 相同的安全信息部分属于设置的威胁严重的安全信息范围时，中止所述虚拟机当前的所有 操作，并强制所述虚拟机进行修复；当所述虚拟机当前的安全信息与保存的安全信息不相 同的安全信息不属于设置的威胁严重的安全信息范围时，提醒所述虚拟机的用户进行修 复。
[0151] 以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
【权利要求】
1. 一种云计算网络中网络安全的检测方法，其特征在于，所述方法包括： 虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确定被修改后根据修改 结果进行相应的修复操作。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括： 在所述虚拟机运行过程中，周期性检查所述虚拟机当前的安全信息是否被修改，确定 被修改后根据修改结果进行相应的修复操作。
3. 根据权利要求1或2所述的方法，其特征在于，所述检查所述虚拟机当前的安全信息 是否被修改，确定被修改后根据修改结果进行相应的修复操作为： 由云计算运营管理平台、或与所述虚拟机隶属于同一物理主机的虚拟机监视器（VMM) 或特殊虚拟机检查所述虚拟机当前的安全信息是否被修改，确定被修改后根据修改结果进 行相应的修复操作。
4. 根据权利要求3所述的方法，其特征在于，在虚拟机启动之前，所述方法还包括： 收集所述虚拟机启动前的安全信息，并保存； 相应的，所述检查所述虚拟机当前的安全信息是否被修改，为： 将所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟机当前的安 全信息与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改，如果所述虚 拟机当前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全信息已被修 改。
5. 根据权利要求4所述的方法，其特征在于，在将所述虚拟机当前的安全信息与保存 的安全信息进行比较之前，所述方法还包括： 收集所述虚拟机当前的安全信息。
6. 根据权利要求1或2所述的方法，其特征在于，所述根据修改结果进行相应的修复操 作，包括： 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息部分属于设置的 威胁严重的安全信息范围时，中止所述虚拟机当前的所有操作，并强制所述虚拟机进行修 复； 当所述虚拟机当前的安全信息与保存的安全信息不相同的安全信息不属于设置的威 胁严重的安全信息范围时，提醒所述虚拟机的用户进行修复。
7. -种云计算网络中网络安全的检测装置，其特征在于，所述装置包括：检查单元及 修复单元；其中， 检查单元，用于在虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确定被 修改后，将修改结果发送给修复单元； 修复单元，用于收到检查单元发送的修改结果后，根据修改结果进行相应的修复操作。
8. 根据权利要求7所述的检测装置，其特征在于，所述检查单元，还用于在所述虚拟机 运行过程中，周期性检查所述虚拟机当前的安全信息是否被修改确定被修改后，将修改结 果发送给修复单元。
9. 根据权利要求7或8所述的检测装置，其特征在于，所述检测装置为云计算运营管理 平台、或为与所述虚拟机隶属于同一物理主机的VMM或特殊虚拟机。
10. 根据权利要求7或8所述的检测装置，其特征在于，所述检查单元，还用于收集所述 虚拟机启动前的安全信息，并保存； 相应的，在检查所述虚拟机当前的安全信息是否被修改，所述检查单元，具体用于：将 所述虚拟机当前的安全信息与保存的安全信息进行比较，如果所述虚拟机当前的安全信息 与保存的安全信息相同，则认为所述虚拟机当前的安全信息未被修改，如果所述虚拟机当 前的安全信息与保存的安全信息不相同，则认为所述虚拟机当前的安全信息已被修改。
11. 根据权利要求10所述的检测装置，其特征在于，在将所述虚拟机当前的安全信息 与保存的安全信息进行比较之前所述检查单元，还用于收集所述虚拟机当前的安全信息。
12. 根据权利要求7或8所述的检测装置，其特征在于，所述修复单元，具体用于：当所 述虚拟机当前的安全信息与保存的安全信息不相同的安全信息部分属于设置的威胁严重 的安全信息范围时，中止所述虚拟机当前的所有操作，并强制所述虚拟机进行修复；当所述 虚拟机当前的安全信息与保存的安全信息不相同的安全信息不属于设置的威胁严重的安 全信息范围时，提醒所述虚拟机的用户进行修复。
【文档编号】H04L29/08GK104219211SQ201310218037
【公开日】2014年12月17日 申请日期:2013年6月3日 优先权日:2013年6月3日
【发明者】任兰芳, 柏洪涛, 王静, 左敏, 侯长江 申请人:中国移动通信集团公司