基于虚拟化环境下的安全防护方法及装置

摘要

本发明提供一种基于虚拟化环境下的安全防护方法及装置。其中方法包括：安全虚拟机接收客户虚拟机的文件检测请求；根据文件检测请求获取文件标识；根据所述文件标识，在可信文件库中查找与所述文件标识对应的可信项，所述可信项包括客户虚拟机中系统文件的标识；若查找到所述可信项，所述安全虚拟机确认该文件为系统文件，且该文件为安全文件。该安全防护方法及装置，通过先判断文件是否为安全的系统文件，再进行查杀，能够避免安全虚拟机频繁的对各个客户虚拟机中的系统文件进行检测查杀，降低查杀频率，提高了安全虚拟机及客户虚拟机的运行速度。

说明书

技术领域

本发明涉及虚拟化技术领域，特别是涉及一种基于虚拟化环境下的安全防护方法及装置。

背景技术

随着硬件虚拟化技术的广泛应用，在一台物理主机上可以同时运行多个虚拟操作系统，各虚拟操作系统之间相互隔离，使得对硬件设施的管理更加有效、灵活和节约。但基于虚拟化技术的操作系统部署中面临安全威胁问题。

为了解决虚拟化环境下虚拟机安全的问题，传统的解决办法需要在每台物理主机上的各个虚拟机中部署一套安全防护软件，从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。

然而，在同一物理主机上的多个虚拟机中都部署一套安全防护产品时，会造成对计算资源和存储资源的占用，并且安全防护软件在对各自系统内的文件进行监控或查杀时，会对各个虚拟机中的所有文件均进行监控或查杀，造成各个虚拟机中的文件处理速率变慢。

发明内容

基于此，确有必要提供一种能够提高虚拟机中的文件处理速率的安全防护方法及装置。

一种基于虚拟化环境下的安全防护方法，其中，物理主机上部署有多个客户虚拟机及安全虚拟机；所述方法包括：

所述安全虚拟机接收客户虚拟机的文件检测请求；

所述安全虚拟机根据文件检测请求获取文件标识；

所述安全虚拟机根据所述文件标识，在可信文件库中查找与所述文件标识对应的可信项，所述可信项包括客户虚拟机中系统文件的标识；

若查找到所述可信项，所述安全虚拟机确认该文件为系统文件，且该文件为安全文件。

在其中一个实施例中，所述系统文件的标识包括各客户虚拟机安装的初始操作系统中系统文件的哈希值。

在其中一个实施例中，在根据所述文件标识，查找可信文件库中与所述文件标识对应的可信项之前还包括：

获取任一客户虚拟机的初始操作系统中，各系统文件的路径及大小；

计算所述系统文件的哈希值，并将所述哈希值存入可信项。

在其中一个实施例中，所述获取任一客户虚拟机的初始操作系统中，各系统文件的路径及大小包括：

获取任一客户虚拟机的初始做操系统中，各系统文件的绝对路径。

在其中一个实施例中，所述安全虚拟机根据所述文件标识，查找所述可信文件库中所述系统文件的标识的步骤包括：

获取文件的文件名及大小；

根据文件的文件名及大小计算文件的哈希值；

将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对，查找所述可信文件库中是否存在与文件的哈希值对应的可信项。

一种基于虚拟化环境下的安全防护装置，其中，物理主机部署有多个客户虚拟机及安全虚拟机，所述安全防护装置配置于安全虚拟机中，所述安全防护装置包括：

文件检测请求接收模块，用于接收客户虚拟机的文件检测请求；

文件标识获取模块，用于根据文件检测请求获取文件的文件标识；

标识查询模块，用于根据所述文件标识，在可信文件库中查找与所述文件标识对应的可信项，所述可信文件库包括客户虚拟机中的系统文件的标识；

可信文件判断模块，用于在查找到所述可信项时，确认该文件为系统文件，且该文件为安全文件。

在其中一个实施例中，所述系统文件的标识包括各客户虚拟机安装的初始操作系统中系统文件的哈希值。

在其中一个实施例中，所述安全防护装置还包括文件库加载模块，所述文件库加载模块包括：

文件信息获取单元，用于获取任一客户虚拟机的初始操作系统中，各系统文件的路径及大小；

文件库存储单元，用于计算所述系统文件的哈希值，并将所述哈希值存入可信项。

在其中一个实施例中，所述各系统文件的路径，为各系统文件所在客户虚拟机中的绝对路径。

在其中一个实施例中，所述可信文件判断模块还包括：

文件信息监测单元，用于获取文件的文件名及大小；

哈希值计算单元，用于根据文件的文件名及大小计算文件的哈希值；

哈希值比对单元，用于将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对，查找所述可信文件库中是否存在与文件的哈希值对应的可信项。

上述基于虚拟化环境下的安全防护方法及装置，在安全虚拟机对待检测的文件进行检测之前，通过先判断该文件是否为安全的系统文件，能够避免安全虚拟机频繁的对各个客户虚拟机中的系统文件进行检测查杀，降低了查杀频率，从而提高了安全虚拟机及客户虚拟机的运行速度。

附图说明

图1为一个实施例中的部署有安全虚拟机的物理主机的结构示意图；

图2为一个实施例中的基于虚拟化环境下的安全防护方法的流程示意图；

图3为一个实施例中加载可信文件库的步骤的流程示意图；

图4为一个实施例中查找可信文件库的步骤的流程示意图；

图5为一个实施例中的基于虚拟化环境下的安全防护装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明基于虚拟化环境下的安全防护方法及装置进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明实施例提供的基于虚拟化环境下的安全防护方法，可应用于图1所示的安全防护系统中，安全防护系统运行于物理主机中。该物理主机包括通过系统总线连接的处理器、非易失性存储介质、内存、网络接口、显示屏和输入系统。该物理主机上部署有多个客户虚拟机及安全虚拟机，该安全虚拟机配置有安全防护装置，用于处理监控下的文件事件，例如对客户虚拟机中的文件进行监控及处理；以及处理主动扫描下的文件事件，例如主动启动对客户虚拟机的病毒查杀。该处理器用于提供计算和控制能力，支撑整个物理主机的运行。该方法基于“无代理安全防护机制”，一个物理主机上部署有多个虚拟机，多个虚拟机中有预设个数的虚拟机为安全虚拟机，其余的为没有配置安全防护软件的客户虚拟机。该无代理安全防护机制由于每个虚拟机的虚拟内存对应同一物理内存空间，即相当于各个虚拟机共享一个物理内存空间，这样多个虚拟机之间便可通过该物理内存空间实现相互之间的直接通信。其中，事件管理器相当于是运行在VMM(Virtual Machine Monitor，虚拟机监管器)层的一个软件，用于实现同一物理主机内各个虚拟机之间的安全防护事件及数据的传输，其相当于各个虚拟机之间的通信管道。虚拟内存利用传统的仿真软件将VMM层中的一段存储空间仿真得到。VMM用于对各个虚拟机进行规划、部署、管路和优化。

本领域技术人员可以理解，图1中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的物理主机的限定，具体的物理主机可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，请一并参阅图1及图2，提供了一种基于虚拟化环境下的安全防护方法，利用安全虚拟机对客户虚拟机中的文件进行检测，该方法包括以下步骤：

S10，接收客户虚拟机的文件检测请求；

S20，根据文件检测请求获取待检测文件的文件标识；

S30，根据文件标识，在可信文件库中查找与文件标识对应的可信项，该可信项包括各客户虚拟机中系统文件的标识；

S40，若查找到该可信项，安全虚拟机确认该文件为系统文件，且该文件为安全文件。

在步骤S10中，在需要对客户虚拟机的文件进行监控或查杀时，安全虚拟机接收客户虚拟机发送的文件检测请求。

在步骤S20中，安全虚拟机在接收到文件检测请求之后，根据该文件检测请求，获取待检测文件的文件标识，该文件标识可用于对该文件进行标识，以与其他文件进行区分。

在步骤S30中，安全虚拟机将获取的文件标识与可信文件库中的可信项进行比对，查找可信文件库中，是否存在与该文件标识对应的可信项。其中，每一条可信项包括客户虚拟机中系统文件的标识，即每一条可信项中存储的标识，可用于对不同客户虚拟机中，相同路径下相同的系统文件进行标识；即每条可信项中的该标识对应标识了各个客户虚拟机中处于相同路径下的相同的系统文件。

在步骤S40中，如果安全虚拟机在可信文件库中，查找到与文件的文件标识对应的可信项，则证明该文件为系统文件，并且为安全的可信文件，而无需对该系统文件进行病毒检测。在查找过程中，安全虚拟机只要在可信文件库中查找到与该文件的文件标识对应的可信项，则可判断该文件为安全的系统文件。

上述实施例中，安全虚拟机通过在可信文件库中，查找是否存在与待检测文件的文件标识对应的可信项，判断待检测的文件是否属于安全的系统文件，使得安全虚拟机上的查杀引擎在检测时，无需再对这些系统文件进行检测，减少重复检测过程，也减少了客户虚拟机的等待检测的时间，从而加速客户虚拟机的运行速度。

在一个实施例中，该客户虚拟机中的系统文件，可为任意客户虚拟机中安装的初始操作系统中的系统文件，该系统文件的标识可包括文件的哈希值。具体的，由于各客户虚拟机中安装的初始操作系统中，包括多个相同的系统文件，且该系统文件均为安全的文件。另外，在这些相同的系统文件中，各个系统文件在各自的客户虚拟机中的绝对路径、文件名及大小均相同，因此获得的哈希值也相同。

在一个实施例中，请一并参阅图3，在安全虚拟机根据所述文件标识，查找可信文件库中与所述文件标识对应的可信项之前还包括建立可信文件库的步骤：

S30a，获取任一客户虚拟机的初始操作系统中，各系统文件的路径及大小；

S30b，计算所述系统文件的哈希值，并将所述哈希值存入可信项。

具体的，对于不同客户虚拟机存储的这些相同的系统文件中，可通过获取任意一个系统文件所在的虚拟客户机的系统目录，获得该系统目录中的系统文件的路径和大小；然后将该系统文件的路径和大小拼接成字符串，并对该字符串进行哈希运算，获得哈希值，作为该系统文件的标识，存入可信文件库的可信项中，从而建立可信文件库。进一步，该系统文件的标识也用于标识其他客户虚拟机中，与该系统文件相同的系统文件。

例如，作为具体的例子，对于各个虚拟客户机中的系统文件c:windows askman.exe，该系统文件的大小为15360byte，则通过将文件路径和文件大小拼接成字符串，求取获得的哈希值为A0DCEBEB329E9A64371AD7A8229D474，该哈希值可作为任意一个客户虚拟机中对应于该系统文件的文件标识，并存入可信文件库中。由于各客户虚拟机中，包括多个相同的系统文件，因此可对多个相同的系统文件建立同一标识，存入可信项中。

安全虚拟机在查找可信文件库中与所述文件标识对应的可信项之前，可预先加载可信文件库至缓存中。具体的，该可信文件库中包括多条可信项以key-value的形式存储在缓存中，其中，key代表可信文件库中可信文件的哈希值，value可代表该可信文件的文件信息，包括路径、文件名、文件大小等。该可信项对应的文件为安全的可信文件，安全虚拟机无需对可信文件进行病毒检测。

在一个实施例中，该系统文件的路径为该系统文件在客户虚拟机中的绝对路径，该绝对路径包含该系统文件所在磁盘的盘符。

在一个实施例中，请一并参阅图4，步骤S30中所述的安全虚拟机根据所述文件标识，查找可信文件库中与文件标识对应的可信项的步骤还包括：

S31，获取文件的文件名及大小；

S32，根据文件的文件名及大小计算文件的哈希值；

S33，将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对，查找所述可信文件库中是否存在与文件的哈希值对应的可信项。

在步骤S31中，安全虚拟机根据接收到的文件检测请求，获取文件的文件信息，包括文件名及大小。

在步骤S32中，安全虚拟机根据文件的文件名以及大小，通过哈希计算，获得该文件的哈希值。

在步骤S33中，安全虚拟机在获取到文件的哈希值之后，可与可信文件库中各可信项中存储的哈希值进行比对，以检索各可信项中是否存在与文件的哈希值一致的哈希值，以判断该文件是否系统文件，且该系统文件是否为安全文件。

在一个实施例中，如果在可信文件库中，检索到与文件的哈希值相同的哈希值对应的可信项，则可判断该文件即为安全的系统文件。如果未检索到与该文件的哈希值相同的哈希值，则安全虚拟机将对该文件进行进一步检测，以判断该文件是否安全。

上述实施例中，通过先判断文件是否为客户虚拟机中的系统文件，再判断是否需要对该文件进行检测，从而避免对系统文件进行重复的检测，减轻了安全虚拟机中安全防护引擎的查杀压力，使得安全虚拟机能够及时将检测结果反馈至客户虚拟机，从而加快了客户虚拟机中操作系统响应速度。

请一并参阅图5，还提供一种基于虚拟化环境下的安全防护装置，该安全防护装置配置于安全虚拟机中，对客户虚拟机进行安全防护，该安全防护装置包括：

检测请求接收模块100，用于接收客户虚拟机的文件检测请求；

文件标识获取模块200，用于根据文件检测请求获取文件的文件标识；

标识查询模块300，用于根据所述文件标识，在可信文件库中查询与所述文件标识对应的可信项，所述可信文件库包括客户虚拟机中的系统文件的标识；

可信文件判断模块400，用于在查找到所述可信项时，确认该文件为系统文件，且该系统文件为安全文件。

具体的，检测请求接收模块100用于在需要对客户虚拟机的文件进行监控或查杀时，接收客户虚拟机发送的文件检测请求。

文件标识获取模块200用于在接收到文件检测请求之后，根据该文件检测请求，获取文件的文件标识。

标识查询模块300用于将获取的文件标识与可信文件库中的可信项进行比对，在可信文件库中查找该文件的文件标识，以判断是否存在与该文件标识对应的可信项。

在可信文件库中，如果查找到与文件的文件标识对应的可信项，则可信文件判断模块400判断该文件为系统文件，并且为安全的可信文件，而无需对该系统文件进行病毒检测。

上述实施例中，上述实施例中，安全虚拟机中的安全防护装置通过在可信文件库中，查找是否存在与待检测文件的文件标识对应的可信项，判断待检测的文件是否属于安全的系统文件，使得安全虚拟机上的查杀引擎在检测时，无需再对这些系统文件进行检测，减少重复检测过程，也减少了客户虚拟机的等待检测的时间，从而加速客户虚拟机的运行速度。

在一个实施例中，所述系统文件的标识包括各客户虚拟机安装的初始操作系统中系统文件的哈希值，该哈希值可用于对该安全的系统文件进行标识。

该客户虚拟机中的系统文件，包括任意客户虚拟机安装的初始操作系统中的系统文件，并且这些系统文件的标识包括文件的哈希值。具体的，由于各客户虚拟机中安装的初始操作系统中，包括多个相同的系统文件，且该系统文件均为安全的文件。另外，在这些相同的系统文件中，各个系统文件在各自的客户虚拟机中的绝对路径、文件名及大小均相同，获得的哈希值也相同。

在其中一个实施例中，所述可信文件判断模块400还包括：

文件信息监测单元410，用于获取文件的文件名及大小；

哈希值计算单元420，用于根据文件的文件名及大小计算文件的哈希值；

哈希值查找单元430，用于将所述文件的哈希值与可信文件库中各可信项中的哈希值进行比对，查找所述可信文件库中是否存在与文件的哈希值对应的可信项。

文件信息监测单元410在获取到文件的文件名及大小之后，通过哈希值计算单元420获得该文件的哈希值。哈希值比对单元430将该文件的哈希值，与可信文件库中存储的可信项中的哈希值进行比较，以判断可信文件库中是否有与该文件的哈希值相同的可信项，作为判断该文件是否为安全的系统文件的参考。

在一个实施例中，该安全防护装置还包括文件库加载模块500，该文件库加载模块500包括：

文件信息获取单元510，用于获取任一客户虚拟机的初始操作系统中，各系统文件的路径及大小；

文件库存储单元520，用于计算所述系统文件的哈希值，并将所述哈希值存入可信项。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。