一种虚拟机安全防护方法、系统及安全设备与流程

本发明涉及安全技术领域，特别涉及一种虚拟机安全防护方法、系统及安全设备。

背景技术：

当前，虚拟化环境下的安全防护问题成为IT界的一个热门关注焦点。在虚拟化技术的早期阶段，安全解决方案尚无适应虚拟化环境的防护模式，人们只能沿用传统的安全防护策略，即在每台虚拟机上均部署安全防护产品套件，即所谓的“安全代理”，这种安全防护模式称为“有代理模式(Agent-based)”。然而，随着云计算和虚拟化技术大规模的应用，此种模式已显现出多种弊端，主要体现在：在每一台虚拟机上都需要分别安装相应的安全代理，这样对物理宿主机的存储资源、内存资源占用较大，并且使得安全代理的管理过程相当复杂，安全代理的管理成本较高。

综上所述可以看出，如何在虚拟化平台的安全防护过程中实现节约计算机资源并降低安全代理的管理成本是目前有待进一步解决的问题。

技术实现要素：

有鉴于此，本发明的目的在于提供一种虚拟机安全防护方法、系统及安全设备，能够在虚拟化平台的安全防护过程中实现节约计算机资源并降低安全代理的管理成本的目的。其具体方案如下：

一种虚拟机安全防护方法，包括：

对目标虚拟机的数据流进行拦截，得到相应的拦截数据；

将所述拦截数据发送至安全设备；

从所述安全设备包含的多个安全代理中筛选出与所述目标虚拟机对应的安全代理，得到目标安全代理；

利用所述目标安全代理，对所述拦截数据进行病毒检测，以确定所述拦截数据是否为安全数据；

若所述拦截数据为安全数据，则通过所述安全设备对所述拦截数据展开后续相应的数据路由处理。

可选的，所述对目标虚拟机的数据流进行拦截的过程，包括：

利用虚拟化平台上的网络驱动程序，对所述目标虚拟机的数据流进行拦截，得到所述拦截数据。

可选的，所述网络驱动程序为包含防火墙的网络驱动程序。

可选的，所述安全设备的设备类型为虚拟机。

可选的，所述虚拟机安全防护方法，还包括：

当获取到针对安全代理的升级补丁，则利用所述升级补丁，对所述安全设备中的所有安全代理进行升级处理。

本发明还公开了一种虚拟机安全防护系统，包括：

数据拦截模块，用于对目标虚拟机的数据流进行拦截，得到相应的拦截数据；

数据发送模块，用于将所述拦截数据发送至安全设备；

代理筛选模块，用于从所述安全设备包含的多个安全代理中筛选出与所述目标虚拟机对应的安全代理，得到目标安全代理；

数据检测模块，用于利用所述目标安全代理，对所述拦截数据进行病毒检测，以确定所述拦截数据是否为安全数据；

数据路由模块，用于当所述拦截数据为安全数据，则通过所述安全设备对所述拦截数据展开后续相应的数据路由处理。

可选的，所述数据拦截模块，具体用于利用虚拟化平台上的网络驱动程序，对所述目标虚拟机的数据流进行拦截，得到所述拦截数据。

可选的，所述虚拟机安全防护系统，还包括：

代理升级模块，用于当获取到针对安全代理的升级补丁，则利用所述升级补丁，对所述安全设备中的所有安全代理进行升级处理。

本发明进一步公开了一种安全设备，包括多个安全代理，还包括：

数据获取模块，用于获取在对目标虚拟机的数据流进行拦截后得到的拦截数据；

代理筛选模块，用于从所述多个安全代理中筛选出与所述目标虚拟机对应的安全代理，得到目标安全代理；

数据检测模块，用于利用所述目标安全代理，对所述拦截数据进行病毒检测，以确定所述拦截数据是否为安全数据；

数据路由模块，用于当所述拦截数据为安全数据，则对所述拦截数据展开后续相应的数据路由处理。

可选的，所述安全设备的设备类型为虚拟机。

本发明中，虚拟机安全防护方法，包括：对目标虚拟机的数据流进行拦截，得到相应的拦截数据；将拦截数据发送至安全设备；从安全设备包含的多个安全代理中筛选出与目标虚拟机对应的安全代理，得到目标安全代理；利用目标安全代理，对拦截数据进行病毒检测，以确定拦截数据是否为安全数据；若拦截数据为安全数据，则通过安全设备对拦截数据展开后续相应的数据路由处理。

可见，本发明将与虚拟机对应的安全代理放置在安全设备中，当需要对目标虚拟机展开安全防护时，本发明先对目标虚拟机进行数据拦截，然后将拦截数据发送至上述安全设备，接着从安全设备中的多个安全代理中筛选出与目标虚拟机对应的安全代理，从而利用这个筛选出来的安全代理对拦截数据进行安全分析，在确定拦截数据是安全数据的情况下，将通过安全设备对拦截数据展开后续相应的路由处理，由此可见，本发明通过将多台虚拟机对应的安全代理均放置在安全设备中，当需要对某台虚拟机进行安全防护时，便可以利用安全设备中保存的相应的安全代理来进行安全防护操作，这样便无需每台虚拟机中均安装相应的安全代理，从而避免对主机的计算机资源占用较大的情况出现，也即，实现了节约计算机资源的目的，并且，由于本发明将多台虚拟机对应的安全代理集中放置在安全设备中，这样能够方便对多台虚拟机对应的多个安全代理进行集中管理，也即，本发明还降低了安全代理的管理成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种虚拟机安全防护方法流程图；

图2为本发明实施例公开的一种具体的虚拟机安全防护方法流程图；

图3为本发明实施例公开的一种虚拟机安全防护系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种虚拟机安全防护方法，参见图1所示，该方法包括：

步骤S11：对目标虚拟机的数据流进行拦截，得到相应的拦截数据.

其中，上述目标虚拟机是虚拟化平台上的任一虚拟机。

步骤S12：将拦截数据发送至安全设备。

步骤S13：从安全设备包含的多个安全代理中筛选出与目标虚拟机对应的安全代理，得到目标安全代理。

本实施例中，上述安全设备中包含多个安全代理，其中，不同的安全代理对应于不同的虚拟机。在将与目标虚拟机对应的拦截数据发送至安全设备之后，将会从安全设备中筛选出与目标虚拟机对应的安全代理，后续便可利用该安全代理对上述拦截数据进行安全性分析。

步骤S14：利用目标安全代理，对拦截数据进行病毒检测，以确定拦截数据是否为安全数据。

步骤S15：若拦截数据为安全数据，则通过安全设备对拦截数据展开后续相应的数据路由处理。

也即，在确定出与目标虚拟机对应的拦截数据为安全数据的情况下，将利用安全设备将拦截数据路由至相应的数据接收方。可以理解的是，在拦截数据不是安全数据的情况下，将禁止对上述拦截数据进行数据路由处理。

可见，本发明实施例将与虚拟机对应的安全代理放置在安全设备中，当需要对目标虚拟机展开安全防护时，本发明实施例先对目标虚拟机进行数据拦截，然后将拦截数据发送至上述安全设备，接着从安全设备中的多个安全代理中筛选出与目标虚拟机对应的安全代理，从而利用这个筛选出来的安全代理对拦截数据进行安全分析，在确定拦截数据是安全数据的情况下，将通过安全设备对拦截数据展开后续相应的路由处理，由此可见，本发明实施例通过将多台虚拟机对应的安全代理均放置在安全设备中，当需要对某台虚拟机进行安全防护时，便可以利用安全设备中保存的相应的安全代理来进行安全防护操作，这样便无需每台虚拟机中均安装相应的安全代理，从而避免对主机的计算机资源占用较大的情况出现，也即，实现了节约计算机资源的目的，并且，由于本发明实施例将多台虚拟机对应的安全代理集中放置在安全设备中，这样能够方便对多台虚拟机对应的多个安全代理进行集中管理，也即，本发明实施例还降低了安全代理的管理成本。

参见图2所示，本发明实施例还公开了一种具体的虚拟机安全防护方法，包括如下步骤：

步骤S21：利用虚拟化平台上的网络驱动程序，对目标虚拟机的数据流进行拦截，得到拦截数据。

优选的，本实施例中，上述网络驱动程序具体可以为包含防火墙的网络驱动程序。进一步的，本实施例中的网络驱动程序具体可以包括用于进行快速路径处理的快速路径驱动单元和用于进行慢速路径处理的慢速路径驱动单元。

步骤S22：将拦截数据发送至安全虚拟机。

也即，上一实施例中的安全设备的设备类型具体可以是虚拟机。需要指出的是，本实施例中，可以通过在普通的虚拟机上安装与多台虚拟机对应的多个安全代理后得到上述安全虚拟机。另外，本实施例中，安全虚拟机对应的物理宿主机与其他普通的虚拟机所对应的物理宿主机可以相同，也可以不相同。

步骤S23：从安全虚拟机包含的多个安全代理中筛选出与目标虚拟机对应的安全代理，得到目标安全代理。

步骤S24：利用目标安全代理，对拦截数据进行病毒检测，以确定拦截数据是否为安全数据。

步骤S25：若拦截数据为安全数据，则通过安全虚拟机对拦截数据展开后续相应的数据路由处理。

可以理解的是，当拦截数据不是安全数据，将禁止对上述拦截数据进行数据路由处理。

进一步的，本发明实施例中的虚拟机安全防护方法，还可以包括：当获取到针对安全代理的升级补丁，则利用升级补丁，对安全设备中的所有安全代理进行升级处理。

相应的，本发明实施例还公开了一种虚拟机安全防护系统，参见图3所示，该系统包括：

数据拦截模块11，用于对目标虚拟机的数据流进行拦截，得到相应的拦截数据；

数据发送模块12，用于将拦截数据发送至安全设备；

代理筛选模块13，用于从安全设备包含的多个安全代理中筛选出与目标虚拟机对应的安全代理，得到目标安全代理；

数据检测模块14，用于利用目标安全代理，对拦截数据进行病毒检测，以确定拦截数据是否为安全数据；

数据路由模块15，用于当拦截数据为安全数据，则通过安全设备对拦截数据展开后续相应的数据路由处理。

其中，上述数据拦截模块，具体可以用于利用虚拟化平台上的网络驱动程序，对目标虚拟机的数据流进行拦截，得到拦截数据。

本实施例中，上述网络驱动程序具体可以为包含防火墙的网络驱动程序。

另外，上述安全设备的设备类型具体可以是虚拟机。

进一步的，本实施例中的虚拟机安全防护系统，还可以包括：

代理升级模块，用于当获取到针对安全代理的升级补丁，则利用升级补丁，对安全设备中的所有安全代理进行升级处理。

可见，本发明实施例通过将多台虚拟机对应的安全代理均放置在安全设备中，当需要对某台虚拟机进行安全防护时，便可以利用安全设备中保存的相应的安全代理来进行安全防护操作，这样便无需每台虚拟机中均安装相应的安全代理，从而避免对主机的计算机资源占用较大的情况出现，也即，实现了节约计算机资源的目的，并且，由于本发明实施例将多台虚拟机对应的安全代理集中放置在安全设备中，这样能够方便对多台虚拟机对应的多个安全代理进行集中管理，也即，本发明实施例还降低了安全代理的管理成本。

进一步的，本发明实施例还公开了一种安全设备，包括多个安全代理，还包括：

数据获取模块，用于获取在对目标虚拟机的数据流进行拦截后得到的拦截数据；

代理筛选模块，用于从多个安全代理中筛选出与目标虚拟机对应的安全代理，得到目标安全代理；

数据检测模块，用于利用目标安全代理，对拦截数据进行病毒检测，以确定拦截数据是否为安全数据；

数据路由模块，用于当拦截数据为安全数据，则对拦截数据展开后续相应的数据路由处理。

其中，上述安全设备的设备类型具体可以为虚拟机。

本发明实施例通过将多台虚拟机对应的安全代理均放置在安全设备中，当需要对某台虚拟机进行安全防护时，便可以利用安全设备中保存的相应的安全代理来进行安全防护操作，这样便无需每台虚拟机中均安装相应的安全代理，从而避免对主机的计算机资源占用较大的情况出现，也即，实现了节约计算机资源的目的，并且，由于本发明实施例将多台虚拟机对应的安全代理集中放置在安全设备中，这样能够方便对多台虚拟机对应的多个安全代理进行集中管理，也即，本发明实施例还降低了安全代理的管理成本。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种虚拟机安全防护方法、系统及安全设备进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。