CN102999716B - 虚拟机器监控***及方法 - Google Patents
虚拟机器监控***及方法 Download PDFInfo
- Publication number
- CN102999716B CN102999716B CN201110327132.1A CN201110327132A CN102999716B CN 102999716 B CN102999716 B CN 102999716B CN 201110327132 A CN201110327132 A CN 201110327132A CN 102999716 B CN102999716 B CN 102999716B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- passage
- central management
- control
- machine code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 50
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000005516 engineering process Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3089—Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
- G06F11/3093—Configuration details thereof, e.g. installation, enabling, spatial arrangement of the probes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/815—Virtual
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/865—Monitoring of software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种虚拟机器监控***及方法,虚拟机器监控方法应用于虚拟机器监控***中。虚拟机器监控方法包含下列步骤:于虚拟机器监控***的虚拟层中撷取多个虚拟机器其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道。撷取虚拟层中的中央管控虚拟机器代码信息。依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型。当通道为不透过虚拟机器中的中央管控虚拟机器所建立的私有通道时,使安全监控模块监控私有通道。
Description
技术领域
本发明是有关于一种信息监控技术,且特别是有关于一种虚拟机器监控方法及***。
背景技术
在现代计算机技术的进步下,软件常常无法对过多的硬件资源做有效的利用。通过在硬件上建立虚拟环境以执行数个虚拟机器,将可以使硬件资源获得最有效的利用。
在虚拟环境的虚拟机器中,常会设置一个中央管控的虚拟机器,以将虚拟机器资源进行集中管理。虚拟机器间的沟通需要经过中央管控的虚拟机器进行。因此,在已知的技术中,要判断***是否有异常的数据传输,只需要对中央管控的虚拟机器进行监控即可。然而为了加速虚拟机器间的沟通,在新近的技术中也允许虚拟机器间在不透过中央管控的虚拟机器的情形下,直接建立私有的通道。因此,已知的监控技术,将难以对这样的私有通道进行监控,容易产生信息安全上的漏洞。
因此,如何设计一个新的虚拟机器监控方法及***,以克服上述的问题,乃为此一业界亟待解决的问题。
发明内容
本发明的目的在于提供一种虚拟机器监控***及方法。
因此,本发明的一方面是在提供一种虚拟机器监控***,包含:虚拟层(hypervisor)、多个虚拟机器、安全监控模块以及超级呼叫(hypercall)拦截模块。虚拟机器通过虚拟层存取至少一实体运算装置的硬件资源,其中虚拟机器包含中央管控虚拟机器,以对虚拟机器进行管控。超级呼叫拦截模块位于虚拟层中,以撷取虚拟层中的中央管控虚拟机器代码信息以及撷取虚拟机器其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道,超级呼叫拦截模块进一步依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型,以于通道为不透过中央管控虚拟机器所建立的私有通道时,使安全监控模块监控私有通道。
依据本发明一实施例,其中通道建立信息包含对应来源虚拟机器的来源虚拟机器代码以及对应目的虚拟机器的目的虚拟机器代码。中央管控虚拟机器代码信息包含中央管控虚拟机器的中央管控虚拟机器代码,超级呼叫拦截模块撷取中央管控虚拟机器代码信息,以判断来源虚拟机器代码以及目的虚拟机器代码是否包含中央管控虚拟机器代码,以判断通道的类型。当来源虚拟机器代码以及目的虚拟机器代码不包含中央管控虚拟机器代码,超级呼叫拦截模块判断通道的类型为私有通道。当来源虚拟机器代码以及目的虚拟机器代码其中之一为中央管控虚拟机器代码,超级呼叫拦截模块判断通道的类型为中央管控通道。
依据本发明另一实施例,通道为虚拟层的共享内存(sharememory)。
依据本发明又一实施例,中央管控虚拟机器代码信息是通过核心地图(kernelmap)查询。
依据本发明再一实施例,当通道的类型为私有通道时,超级呼叫拦截模块将超级呼叫发布至目的虚拟机器以及安全监控模块,俾使安全监控模块存取私有通道的信息。超级呼叫拦截模块更用以于接收到目的虚拟机器以及安全监控模块分别传送的清除信号后,使来源虚拟机器关闭私有通道。
本发明的一方面是在提供一种虚拟机器监控方法,应用于虚拟机器监控***中。虚拟机器监控方法包含下列步骤:于虚拟机器监控***的虚拟层中撷取多个虚拟机器其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道。撷取虚拟层中的中央管控虚拟机器代码信息。依据中央管控虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道的类型。当通道为不透过虚拟机器中的中央管控虚拟机器所建立的私有通道时,使安全监控模块监控私有通道。
依据本发明一实施例,其中通道建立信息包含对应来源虚拟机器的来源虚拟机器代码以及对应目的虚拟机器的目的虚拟机器代码。中央管控虚拟机器代码信息包含中央管控虚拟机器的中央管控虚拟机器代码,依据中央管控虚拟机器代码信息判断通道的类型的步骤还包含判断来源虚拟机器代码以及目的虚拟机器代码是否包含中央管控虚拟机器代码,以判断通道的类型。当来源虚拟机器代码以及目的虚拟机器代码不包含中央管控虚拟机器代码,通道的类型为私有通道。当来源虚拟机器代码以及目的虚拟机器代码其中之一为中央管控虚拟机器代码,通道的类型为中央管控通道。
依据本发明另一实施例,通道为虚拟层的共享内存。
依据本发明又一实施例,中央管控虚拟机器代码信息是通过核心地图查询。
依据本发明再一实施例,当通道的类型为私有通道时,使安全监控模块监控私有通道的步骤还包含:将超级呼叫发布至目的虚拟机器以及安全监控模块以及使安全监控模块存取私有通道的信息。
依据本发明更具有的一实施例,虚拟机器监控方法还包含:判断目的虚拟机器以及安全监控模块是否分别传送清除信号以及当目的虚拟机器以及安全监控模块分别传送清除信号,使来源虚拟机器关闭私有通道。
应用本发明的优点在于通过撷取用以建立来源虚拟机器以及目的虚拟机器间的通道的超级呼叫,并于判断为此通道为一私有通道时进行监控,可以侦测虚拟机器间未经过中央控管虚拟机器的沟通行为,避免资安漏洞,而轻易地达到上述的目的。
附图说明
为让本发明的上述和其它目的、特征、优点与实施例能更明显易懂,所附附图的说明如下:
图1为本发明一实施例中,虚拟机器监控***的方块图;以及
图2为本发明一实施例中,一种虚拟机器监控方法的流程图。
【主要组件符号说明】
1:虚拟机器监控***10:虚拟层
100:共享内存120、122、124:虚拟机器
14:安全监控模块16:超级呼叫拦截模块
18:实体运算装置200:虚拟机器监控方法
201-207:步骤
具体实施方式
请参照图1。图1为本发明一实施例中,虚拟机器监控***1的方块图。虚拟机器监控***1包含:虚拟层(hypervisor)10、多个虚拟机器120、122及124、安全监控模块14以及超级呼叫(hypercall)拦截模块16。
虚拟机器监控***1是建立于实体运算装置18上的虚拟环境,以通过虚拟环境技术在虚拟层10上虚拟出数个虚拟机器,可以达到同时对实体运算装置18的硬件资源进行存取的功效。举例来说,虚拟机器监控***1可建立于一个个人计算机中,并通过虚拟环境技术在虚拟层10上虚拟出各执行不同的操作***的数个虚拟机器。因此,在现代计算机硬件技术愈来愈进步的情形下,虚拟机器将可使硬件资源获得最大的使用率。于不同实施例中,虚拟机器的数目可依需求调整,不为图1中绘示所限。
虚拟机器各包含一个虚拟机器代码。于一实施例中,虚拟机器代码是以网域(domain)编码表示。举例来说,虚拟机器122的虚拟机器代码可为网域1(domain1),而虚拟机器124的虚拟机器代码可为网域2(domain2)。于本实施例中,虚拟机器120为一个中央管控虚拟机器。中央管控虚拟机器在不同的实施例中,可以是虚拟机器代码为网域0(domain0)的管控虚拟机器,或是具有其它虚拟机器代码的一驱动网域(driverdomain)虚拟机器,以对其他虚拟机器122、124间的沟通进行管控。
虚拟机器122、124间常见的沟通方式,是透过中央管控虚拟机器120所进行。亦即,虚拟机器122、124间进行沟通时,是在虚拟层10中建立一个共享内存,并经由中央管控虚拟机器120来对共享内存进行数据的传输。因此,通过这样的中央管控通道,其传输的数据均会经由中央管控虚拟机器120的转发。在这样的情形下,安全监控模块14可直接在中央管控虚拟机器120进行数据的拦截,以监控是否有危及信息安全的事情发生。需注意的是,上述的安全监控模块14于一实施例中,可为一独立于中央管控虚拟机器120的安全监控虚拟机器。于其它实施例中,安全监控模块14亦可设置于中央管控虚拟机器120之中,而不需独立设置。
然而,不透过中央管控虚拟机器120而直接通过超级呼叫所建立在虚拟机器122、124间的私有通道,虽然可以加快虚拟机器122、124间的数据传递,但也使得安全监控模块14无法通过在中央管控虚拟机器120进行数据拦截的方式来监控,因此容易造成信息安全上的漏洞。
本发明的虚拟机器监控***1中的超级呼叫拦截模块16位于虚拟层10,可用以撷取虚拟机器其中之一所传送的超级呼叫。举例来说,虚拟机器122在欲与虚拟机器124进行沟通时,将通过图1中所绘示的实线路径传送超级呼叫至虚拟层10中。于本实施例中,超级呼叫的来源为虚拟机器122,而目的则是虚拟机器124。在虚拟层10中,将产生对应此超级呼叫的通道建立信息(未绘示)。于一实施例中,通道建立信息包含事件(event)相关数据结构及网域相关数据结构,分别记录有来源虚拟机器代码及目的虚拟机器代码。
表1
请参照表1。表1为本发明一实施例中,通道建立信息中的事件相关数据结构及网域相关数据结构的内容。其中,参数「domain*remote_dom」即对应至来源虚拟机器代码,而参数「current->domain」即对应至目的虚拟机器代码。因此,位于虚拟层10中的超级呼叫拦截模块16将可根据通道建立信息撷取来源虚拟机器代码以及目的虚拟机器代码。于本实施例中,来源虚拟机器代码即为网域1,而目的虚拟机器代码即为网域2。
需注意的是,于其它实施例中,来源虚拟机器代码及目的虚拟机器代码亦可能以其它的型式储存,不为本实施例中的实施方式所限。
超级呼叫拦截模块16进一步可撷取虚拟层10中的中央管控虚拟机器代码信息(未绘示)。于一实施例中,中央管控虚拟机器代码信息是记录于核心地图(kernelmap)中,因此可通过查询核心地图得知虚拟机器代码信息。于一实施例中,中央管控虚拟机器代码信息即为中央管控虚拟机器的虚拟机器代码(于本实施例中为网域0)。因此,在将来源虚拟机器代码及目的虚拟机器代码与虚拟机器代码信息中的中央管控虚拟机器代码相比对后,可以得知来源虚拟机器与目的虚拟机器是否其中一者为中央管控虚拟机器120。
如其中一者为中央管控虚拟机器120,超级呼叫拦截模块16将判断据此超级呼叫所建立的通道为中央管控通道。根据前述,由于来源虚拟机器代码为网域1,而目的虚拟机器代码为网域2,均非中央管控虚拟机器120的中央管控虚拟机器代码。因此,超级呼叫拦截模块16将判断据此超级呼叫所建立的通道为不透过中央管控虚拟机器120所建立的私有通道。
超级呼叫拦截模块16进一步将超级呼叫发布至目的虚拟机器124及安全监控模块14。超级呼叫将接着于虚拟层10中建立共享内存100,以建立虚拟机器122与虚拟机器124沟通的通道。此时,目的虚拟机器124及安全监控模块14将均具有对共享内存100进行存取的权限。安全监控模块14将可对虚拟机器122与虚拟机器124经由私有通道所传输的数据,即图1中以虚线绘示的部分进行监控。
于一实施例中,超级呼叫拦截模块16将撷取目的虚拟机器124在处理完来源虚拟机器122的要求后,传送至虚拟层10中欲关闭私有通道的清除信号(未绘示)。而安全监控模块14在读取完共享内存100的数据后,也将传送其对应的清除信号至超级呼叫拦截模块16。超级呼叫拦截模块16将在均接收到来自目的虚拟机器124及安全监控模块14的清除信号后,才将清除信号传送至来源虚拟机器122,使来源虚拟机器122将共享内存100移除以关闭私有通道,以避免此私有通道在安全监控模块14尚未存取完即为目的虚拟机器124的清除信号所清除。
因此,本发明的虚拟机器监控***1通过超级呼叫拦截模块16的设置,可以在撷取虚拟机器代码信息以及用以建立通道的超级呼叫后进一步根据其对应的通道建立信息判断此通道是否为私有通道,并在判断为私有通道后,使安全监控模块14具有存取通道的权限,以进行资安监控。
请参照图2。图2为本发明一实施例中,一种虚拟机器监控方法200的流程图。虚拟机器监控方法可应用于如图1所示的虚拟机器监控***1中。此虚拟机器监控方法可实作为一计算机程序,并储存于一计算机可读取记录媒体中,而使计算机读取此记录媒体后执行实时地点推荐方法。计算机可读取记录媒体可为只读存储器、闪存、软盘、硬盘、光盘、随身碟、磁带、可由网络存取的数据库或熟悉此技艺者可轻易思及具有相同功能的计算机可读取纪录媒体。
虚拟机器监控方法200包含下列步骤:
于步骤201,通过虚拟机器监控***1的超级呼叫拦截模块16,在虚拟层10中撷取多个虚拟机器120、122及124其中之一所传送的超级呼叫,其中超级呼叫用以建立来源虚拟机器以及目的虚拟机器间的通道。
于步骤202,超级呼叫拦截模块16撷取虚拟层10中的虚拟机器代码信息。接着于步骤203,超级呼叫拦截模块16依据虚拟机器代码信息及对应超级呼叫的通道建立信息判断通道是否为私有通道。举例来说,上述的虚拟机器中,虚拟机器120为一个中央管控虚拟机器120。在通道建立信息中将记录有来源虚拟机器代码以及目的虚拟机器代码,而透过前述的核心地图,则可得知中央管控虚拟机器120的代码。因此,超级呼叫拦截模块16可据以判断来源虚拟机器代码以及目的虚拟机器代码是否其中一者为中央管控虚拟机器120的代码。
如果两者其中之一为中央管控虚拟机器120的代码,则将于步骤204判断据此超级呼叫所建立者为中央管控通道,安全监控模块14将通过中央管控虚拟机器120监控。如果两者均不为中央管控虚拟机器120的代码,则将于步骤205判断据此超级呼叫所建立者为私有通道,且超级呼叫拦截模块16将使安全监控模块14监控私有通道。于一实施例中,超级呼叫拦截模块16是通过将超级呼叫发布至安全监控模块14及目的虚拟机器,以使安全监控模块14及目的虚拟机器均对于此私有通道具有存取的权限。因此安全监控模块14将可对于私有通道内的信息进行监控。
接着于步骤206,超级呼叫拦截模块16判断是否接收到目的虚拟机器及安全监控模块14的清除信号。如果至少其中之一的清除信号尚未接收到,则超级呼叫拦截模块16将回到步骤206继续等待。如果两者的清除信号均已接收到,则将于步骤207中使来源虚拟机器关闭此私有通道。
虽然本发明已以实施方式揭露如上,然其并非用以限定本发明,任何熟悉此技艺者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰,因此本发明的保护范围当视所附的权利要求书所界定的范围为准。
Claims (18)
1.一种虚拟机器监控***,其特征在于,包含:
一虚拟层;
多个虚拟机器,通过该虚拟层存取至少一实体运算装置的一硬件资源,其中所述多个虚拟机器包含一中央管控虚拟机器,以对所述多个虚拟机器进行管控;
一安全监控模块;以及
一超级呼叫拦截模块,位于该虚拟层中,以撷取该虚拟层中的一中央管控虚拟机器代码信息以及撷取所述多个虚拟机器其中之一所传送的一超级呼叫,其中该超级呼叫用以建立一来源虚拟机器以及一目的虚拟机器间的一通道,该超级呼叫拦截模块进一步依据该中央管控虚拟机器代码信息及对应该超级呼叫的一通道建立信息判断该通道的类型为一中央管控通道或一私有通道,以于该通道为不透过该中央管控虚拟机器所建立的该私有通道时,使该安全监控模块监控该私有通道。
2.根据权利要求1所述的虚拟机器监控***,其特征在于,该通道建立信息包含对应该来源虚拟机器的一来源虚拟机器代码以及对应该目的虚拟机器的一目的虚拟机器代码。
3.根据权利要求2所述的虚拟机器监控***,其特征在于,该中央管控虚拟机器代码信息包含该中央管控虚拟机器的一中央管控虚拟机器代码,该超级呼叫拦截模块撷取该中央管控虚拟机器代码信息,以判断该来源虚拟机器代码以及该目的虚拟机器代码是否包含该中央管控虚拟机器代码,以判断该通道的类型。
4.根据权利要求3所述的虚拟机器监控***,其特征在于,当该来源虚拟机器代码以及该目的虚拟机器代码不包含该中央管控虚拟机器代码,该超级呼叫拦截模块判断该通道的类型为该私有通道。
5.根据权利要求3所述的虚拟机器监控***,其特征在于,当该来源虚拟机器代码以及该目的虚拟机器代码其中之一为该中央管控虚拟机器代码,该超级呼叫拦截模块判断该通道的类型为该中央管控通道。
6.根据权利要求1所述的虚拟机器监控***,其特征在于,该通道为该虚拟层的一共享内存。
7.根据权利要求1所述的虚拟机器监控***,其特征在于,该虚拟机器代码信息是通过一核心地图查询。
8.根据权利要求1所述的虚拟机器监控***,其特征在于,当该通道的类型为该私有通道时,该超级呼叫拦截模块将该超级呼叫发布至该目的虚拟机器以及该安全监控模块,以使该安全监控模块存取该私有通道的信息。
9.根据权利要求8所述的虚拟机器监控***,其特征在于,该超级呼叫拦截模块还用以于接收到该目的虚拟机器以及该安全监控模块分别传送的一清除信号后,使该来源虚拟机器关闭该私有通道。
10.一种虚拟机器监控方法,其特征在于,应用于一虚拟机器监控***中,该虚拟机器监控方法包含下列步骤:
于该虚拟机器监控***的一虚拟层中撷取多个虚拟机器其中之一所传送的一超级呼叫,其中该超级呼叫用以建立一来源虚拟机器以及一目的虚拟机器间的一通道;
撷取该虚拟层中的一中央管控虚拟机器代码信息;
依据该中央管控虚拟机器代码信息及对应该超级呼叫的一通道建立信息判断该通道的类型为一中央管控通道或一私有通道;以及
当该通道为不透过所述多个虚拟机器中的一中央管控虚拟机器所建立的该私有通道时,使一安全监控模块监控该私有通道。
11.根据权利要求10所述的虚拟机器监控方法,其特征在于,该通道建立信息包含对应该来源虚拟机器的一来源虚拟机器代码以及对应该目的虚拟机器的一目的虚拟机器代码。
12.根据权利要求11所述的虚拟机器监控方法,其特征在于,该中央管控虚拟机器代码信息包含该中央管控虚拟机器的一中央管控虚拟机器代码,依据该中央管控虚拟机器代码信息及该超级呼叫的该通道建立信息判断该通道的类型的步骤还包含判断该来源虚拟机器代码以及该目的虚拟机器代码是否包含该中央管控虚拟机器代码,以判断该通道的类型。
13.根据权利要求12所述的虚拟机器监控方法,其特征在于,当该来源虚拟机器代码以及该目的虚拟机器代码不包含该中央管控虚拟机器代码,该通道的类型为该私有通道。
14.根据权利要求12所述的虚拟机器监控方法,其特征在于,当该来源虚拟机器代码以及该目的虚拟机器代码其中之一为该中央管控虚拟机器代码,该通道的类型为该中央管控通道。
15.根据权利要求10所述的虚拟机器监控方法,其特征在于,该通道为该虚拟层的一共享内存。
16.根据权利要求10所述的虚拟机器监控方法,其特征在于,该中央管控虚拟机器代码信息是通过一核心地图查询。
17.根据权利要求10所述的虚拟机器监控方法,其特征在于,当该通道的类型为该私有通道时,使该安全监控模块监控该私有通道的步骤还包含:
将该超级呼叫发布至该目的虚拟机器以及该安全监控模块;以及
使该安全监控模块存取该私有通道的信息。
18.根据权利要求17所述的虚拟机器监控方法,其特征在于,还包含:
判断该目的虚拟机器以及该安全监控模块是否分别传送一清除信号;以及
当该目的虚拟机器以及该安全监控模块分别传送该清除信号,使该来源虚拟机器关闭该私有通道。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW100133035 | 2011-09-14 | ||
TW100133035A TWI451245B (zh) | 2011-09-14 | 2011-09-14 | 虛擬機器監控方法、系統及儲存其之電腦可讀取紀錄媒體 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102999716A CN102999716A (zh) | 2013-03-27 |
CN102999716B true CN102999716B (zh) | 2016-01-06 |
Family
ID=47831052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110327132.1A Active CN102999716B (zh) | 2011-09-14 | 2011-10-19 | 虚拟机器监控***及方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8650567B2 (zh) |
CN (1) | CN102999716B (zh) |
TW (1) | TWI451245B (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013097117A1 (zh) * | 2011-12-28 | 2013-07-04 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
US8694781B1 (en) * | 2012-03-30 | 2014-04-08 | Emc Corporation | Techniques for providing hardware security module operability |
KR101448060B1 (ko) * | 2012-11-30 | 2014-10-15 | 한국전자통신연구원 | 가상 머신을 이용한 암호화 장치 및 방법 |
US8918868B2 (en) * | 2013-01-15 | 2014-12-23 | Netronome Systems, Incorporated | Compartmentalization of the user network interface to a device |
KR102033009B1 (ko) * | 2013-09-13 | 2019-10-16 | 한국전자통신연구원 | 가상 물리 시스템 및 그의 가상 머신 모니터링 방법 |
US9824225B1 (en) * | 2013-09-20 | 2017-11-21 | EMC IP Holding Company LLC | Protecting virtual machines processing sensitive information |
US9727357B2 (en) * | 2013-10-01 | 2017-08-08 | International Business Machines Corporation | Failover detection and treatment in checkpoint systems |
US20170269841A1 (en) * | 2013-12-20 | 2017-09-21 | Empire Technology Development Llc | Data storage in degraded solid state memory |
TWI515599B (zh) * | 2014-03-17 | 2016-01-01 | Chunghwa Telecom Co Ltd | Computer program products and methods for monitoring and defending security |
RU2568282C2 (ru) * | 2014-04-18 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения отказоустойчивости антивирусной защиты, реализуемой в виртуальной среде |
RU2580030C2 (ru) | 2014-04-18 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети |
WO2016105232A1 (en) * | 2014-12-25 | 2016-06-30 | Siemens Aktiengesellschaft | Increasing the level of security for micro-hypervisor based virtualization platforms |
US10348500B2 (en) * | 2016-05-05 | 2019-07-09 | Adventium Enterprises, Llc | Key material management |
CN106020997B (zh) * | 2016-05-13 | 2019-07-16 | 北京红山世纪科技有限公司 | 一种用于虚拟机间数据传输的方法和*** |
CN109951527B (zh) * | 2019-02-20 | 2020-08-25 | 华东师范大学 | 面向虚拟化***的hypervisor完整性检测方法 |
CN111930467B (zh) * | 2020-07-02 | 2024-03-26 | 联想(北京)有限公司 | 虚拟机启动方法、装置、设备及计算机可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101290586A (zh) * | 2008-06-06 | 2008-10-22 | 华中科技大学 | 基于优先中国墙策略的虚拟机隐形流控制方法 |
CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
CN101923507A (zh) * | 2010-07-30 | 2010-12-22 | 华中科技大学 | 基于驱动的虚拟机通用监控*** |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7996836B1 (en) * | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
US8104083B1 (en) * | 2008-03-31 | 2012-01-24 | Symantec Corporation | Virtual machine file system content protection system and method |
US8429675B1 (en) * | 2008-06-13 | 2013-04-23 | Netapp, Inc. | Virtual machine communication |
US8387046B1 (en) * | 2009-03-26 | 2013-02-26 | Symantec Corporation | Security driver for hypervisors and operating systems of virtualized datacenters |
US8352941B1 (en) * | 2009-06-29 | 2013-01-08 | Emc Corporation | Scalable and secure high-level storage access for cloud computing platforms |
US20110113426A1 (en) * | 2009-11-09 | 2011-05-12 | Hsiang-Tsung Kung | Apparatuses for switching the running of a virtual machine between multiple computer devices belonging to the same computer platform and the associated switching methods |
US8650565B2 (en) * | 2009-12-14 | 2014-02-11 | Citrix Systems, Inc. | Servicing interrupts generated responsive to actuation of hardware, via dynamic incorporation of ACPI functionality into virtual firmware |
CN102971706B (zh) * | 2010-05-10 | 2016-08-10 | 思杰***有限公司 | 将信息从安全虚拟机重定向到不安全虚拟机 |
US9191454B2 (en) * | 2011-06-27 | 2015-11-17 | Microsoft Technology Licensing, Llc | Host enabled management channel |
-
2011
- 2011-09-14 TW TW100133035A patent/TWI451245B/zh active
- 2011-10-19 CN CN201110327132.1A patent/CN102999716B/zh active Active
- 2011-11-02 US US13/287,650 patent/US8650567B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101290586A (zh) * | 2008-06-06 | 2008-10-22 | 华中科技大学 | 基于优先中国墙策略的虚拟机隐形流控制方法 |
CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
CN101923507A (zh) * | 2010-07-30 | 2010-12-22 | 华中科技大学 | 基于驱动的虚拟机通用监控*** |
Also Published As
Publication number | Publication date |
---|---|
US8650567B2 (en) | 2014-02-11 |
TW201312346A (zh) | 2013-03-16 |
TWI451245B (zh) | 2014-09-01 |
CN102999716A (zh) | 2013-03-27 |
US20130067470A1 (en) | 2013-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102999716B (zh) | 虚拟机器监控***及方法 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN101309180B (zh) | 一种适用于虚拟机环境的安全网络入侵检测*** | |
US9166988B1 (en) | System and method for controlling virtual network including security function | |
CN102088379B (zh) | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 | |
CN109409087B (zh) | 防提权检测方法及设备 | |
EP3726796A1 (en) | System and method for providing secure in-vehicle network | |
CN107506289A (zh) | 一种金融终端的异常状态监控方法及金融终端 | |
CN107704360A (zh) | 监控数据的处理方法、设备、服务器及存储介质 | |
CN112385196B (zh) | 用于报告计算机安全事故的***和方法 | |
CN103701793A (zh) | 服务器肉鸡的识别方法和装置 | |
CN110516448A (zh) | 一种灰盒测试方法、装置、设备及可读存储介质 | |
CN104038466A (zh) | 用于云计算环境的入侵检测***、方法及设备 | |
KR102160950B1 (ko) | 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법 | |
CN102868699A (zh) | 一种提供数据交互服务的服务器的漏洞检测方法及工具 | |
CN107463839A (zh) | 一种管理应用程序的***和方法 | |
CN105589807A (zh) | 一种应用程序间组件能力泄露动态检测方法和*** | |
CN106961428A (zh) | 一种基于私有云平台的集中式入侵检测*** | |
CN113132318A (zh) | 面向配电自动化***主站信息安全的主动防御方法及*** | |
CN102469098B (zh) | 信息安全防护主机 | |
CN114625074A (zh) | 一种用于火电机组dcs***的安全防护***及方法 | |
CN114500039A (zh) | 基于安全管控的指令下发方法及*** | |
CN110099041A (zh) | 一种物联网防护方法及设备、*** | |
CN113971288A (zh) | 一种基于大数据技术智慧校园安全管控平台 | |
KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |