CN105653938A - 一种用于虚拟机的沙箱保护***及方法 - Google Patents
一种用于虚拟机的沙箱保护***及方法 Download PDFInfo
- Publication number
- CN105653938A CN105653938A CN201511026762.XA CN201511026762A CN105653938A CN 105653938 A CN105653938 A CN 105653938A CN 201511026762 A CN201511026762 A CN 201511026762A CN 105653938 A CN105653938 A CN 105653938A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- module
- authority
- sandbox
- definition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Catching Or Destruction (AREA)
Abstract
一种用于虚拟机的沙箱保护***,所述用于虚拟机的沙箱保护***用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的***调用的数据收集模块、对所述数据收集模块收集的虚拟机的***调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。本发明还公开了一种用于虚拟机的沙箱保护方法。本发明的对虚拟机权限进行控制,可以保证在虚拟机进程出现权限漏洞并被利用的情况下限制用户在宿主机上的权限,有效的保证***安全。<!-- 2 -->
Description
技术领域
本发明涉及虚拟机领域,具体地说,涉及一种用于虚拟机的沙箱保护***及方法。
背景技术
虚拟机的出现,极大的提高了***资源的利用率,降低了成本。由于虚拟机拥有了完整的操作***,拥有对***的调用权限,因此为了保证***的稳定性和安全,需要对虚拟机的权限进行一定的限制。在现有的虚拟化权限控制***中,都是采用虚拟设备进行控制,并与硬件辅助虚拟化进行整合进行控制,尽力防止虚拟机获取更高的权限。随着技术的更新,在虚拟机监视器程序的漏洞越来越多的被暴露,导致虚拟机在进程中获取到更高的权限之后却没有受到任何限制,可以进行任何操作以达到破坏目的。
发明内容
为了解决上述问题,本发明提供一种可以防止虚拟机进行提权并且限制虚拟机调用权限的用于虚拟机的沙箱保护***及方法。
本发明的一种用于虚拟机的沙箱保护***,所述用于虚拟机的沙箱保护***用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的***调用的数据收集模块、对所述数据收集模块收集的虚拟机的***调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。
本发明的一种用于虚拟机的沙箱保护方法,其特征在于,通过采用用于虚拟机的沙箱保护***来实现,包括如下步骤:
s1、在拥有虚拟机监视模块的宿主机上安装用于运行虚拟机并定义限制虚拟机权限的包括虚拟机权限定义模块、数据收集模块和数据过滤模块的沙箱模块,进入步骤s2;
s2、通过所述沙箱模块中的虚拟机权限定义模块在虚拟机监视模块中定义允许虚拟机拥有的权限,进入步骤s3;
s3、在所述沙箱模块中启动虚拟机,进入步骤s4;
s4、启动的虚拟机发出***调用请求,进入步骤s5;
s5、通过所述沙箱模块中的数据收集模块收集虚拟机发起的所有***调用请求,进入步骤s6;
s6、通过所述沙箱模块中的数据过滤模块过滤所述步骤s5中由所述数据收集模块收集到的虚拟机的所有***调用请求,判断虚拟机的调用是否超越由所述虚拟机权限定义模块定义的权限,若是,进入步骤s7;若否,进入步骤s8;
s7、拒绝执行虚拟机超越权限的调用;
s8、执行虚拟机请求的***调用。
采用本发明的沙箱保护***及方法,对虚拟机权限进行控制,可以保证在虚拟机进程出现权限漏洞并被利用的情况下限制用户在宿主机上的权限,即使虚拟机对权限进行了提权操作,仍然不能超越权限进行调用,有效的保证***安全。
附图说明
图1是本发明的用于虚拟机的沙箱保护***结构示意图;
图2是本发明的用于虚拟机的沙箱保护方法流程示意图。
具体实施方式
为了更好的理解本发明,下面结合附图详细说明本发明。
如图1所示,本发明的一种用于虚拟机的沙箱保护***,所述用于虚拟机的沙箱保护***用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的***调用的数据收集模块、对所述数据收集模块收集的虚拟机的***调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。
优选地,所述虚拟机权限定义模块在所述虚拟机监视模块控制的虚拟机权限范围内定义虚拟机具体的调用权限。所述数据过滤模块禁止执行虚拟机超过所述虚拟机权限定义模块定义的权限之外的调用。
本发明的一种用于虚拟机的沙箱保护方法,其特征在于,通过采用用于虚拟机的沙箱保护***来实现,包括如下步骤:
s1、在拥有虚拟机监视模块的宿主机上安装用于运行虚拟机并定义限制虚拟机权限的包括虚拟机权限定义模块、数据收集模块和数据过滤模块的沙箱模块,进入步骤s2;
s2、通过所述沙箱模块中的虚拟机权限定义模块在虚拟机监视模块中定义允许虚拟机拥有的权限,进入步骤s3;
s3、在所述沙箱模块中启动虚拟机,进入步骤s4;
s4、启动的虚拟机发出***调用请求,进入步骤s5;
s5、通过所述沙箱模块中的数据收集模块收集虚拟机发起的所有***调用请求,进入步骤s6;
s6、通过所述沙箱模块中的数据过滤模块过滤所述步骤s5中由所述数据收集模块收集到的虚拟机的所有***调用请求,判断虚拟机的调用是否超越由所述虚拟机权限定义模块定义的权限,若是,进入步骤s7;若否,进入步骤s8;
s7、拒绝执行虚拟机超越权限的调用;
s8、执行虚拟机请求的***调用。
优选地,所述虚拟机监视模块为虚拟机提供设备虚拟化并控制虚拟机权限;所述虚拟机权限定义模块定义虚拟机的权限不超过所述虚拟机监视模块控制的权限。
采用本发明的沙箱保护***及方法,对虚拟机权限进行控制,可以保证在虚拟机进程出现权限漏洞并被利用的情况下限制用户在宿主机上的权限,即使虚拟机对权限进行了提权操作,仍然不能超越权限进行调用,有效的保证***安全。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种用于虚拟机的沙箱保护***,所述用于虚拟机的沙箱保护***用于宿主机,所述宿主机包括为虚拟机提供设备虚拟化并控制虚拟机权限的虚拟机监视模块,其特征在于,所述宿主机包括用于运行虚拟机并定义限制虚拟机权限的沙箱模块;
所述沙箱模块包括启动虚拟机之前定义虚拟机权限的虚拟机权限定义模块、收集虚拟机所有的***调用的数据收集模块、对所述数据收集模块收集的虚拟机的***调用以所述虚拟机权限定义模块定义的虚拟机权限为标准进行过滤的数据过滤模块。
2.根据权利要求1所述的用于虚拟机的沙箱保护***,其特征在于,所述虚拟机权限定义模块在所述虚拟机监视模块控制的虚拟机权限范围内定义虚拟机具体的调用权限。
3.根据权利要求2所述的用于虚拟机的沙箱保护***,其特征在于,所述数据过滤模块禁止执行虚拟机超过所述虚拟机权限定义模块定义的权限之外的调用。
4.一种用于虚拟机的沙箱保护方法,其特征在于,所述用于虚拟机的沙箱保护方法通过采用用于虚拟机的沙箱保护***来实现,包括如下步骤:
s1、在拥有虚拟机监视模块的宿主机上安装用于运行虚拟机并定义限制虚拟机权限的包括虚拟机权限定义模块、数据收集模块和数据过滤模块的沙箱模块,进入步骤s2;
s2、通过所述沙箱模块中的虚拟机权限定义模块在虚拟机监视模块中定义允许虚拟机拥有的权限,进入步骤s3;
s3、在所述沙箱模块中启动虚拟机,进入步骤s4;
s4、启动的虚拟机发出***调用请求,进入步骤s5;
s5、通过所述沙箱模块中的数据收集模块收集虚拟机发起的所有***调用请求,进入步骤s6;
s6、通过所述沙箱模块中的数据过滤模块过滤所述步骤s5中由所述数据收集模块收集到的虚拟机的所有***调用请求,判断虚拟机的调用是否超越由所述虚拟机权限定义模块定义的权限,若是,进入步骤s7;若否,进入步骤s8;
s7、拒绝执行虚拟机超越权限的调用;
s8、执行虚拟机请求的***调用。
5.根据权利要求4所述的用于虚拟机的沙箱保护方法,其特征在于,所述虚拟机监视模块为虚拟机提供设备虚拟化并控制虚拟机权限;所述虚拟机权限定义模块定义虚拟机的权限不超过所述虚拟机监视模块控制的权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511026762.XA CN105653938A (zh) | 2015-12-31 | 2015-12-31 | 一种用于虚拟机的沙箱保护***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511026762.XA CN105653938A (zh) | 2015-12-31 | 2015-12-31 | 一种用于虚拟机的沙箱保护***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105653938A true CN105653938A (zh) | 2016-06-08 |
Family
ID=56490946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511026762.XA Pending CN105653938A (zh) | 2015-12-31 | 2015-12-31 | 一种用于虚拟机的沙箱保护***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105653938A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472133A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种沙箱监控方法和装置 |
| CN112528273A (zh) * | 2020-12-29 | 2021-03-19 | 天津开心生活科技有限公司 | 医疗数据的探测方法、装置、介质及电子设备 |
| CN114124558A (zh) * | 2021-11-30 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 操作响应方法、装置、电子设备及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060248527A1 (en) * | 2005-04-28 | 2006-11-02 | Hansjoerg Jaeckel | Platform independent replication |
| CN1961272A (zh) * | 2004-06-29 | 2007-05-09 | 英特尔公司 | 通过沙箱技术改进计算机安全性的方法 |
| CN102891854A (zh) * | 2012-10-15 | 2013-01-23 | 广州亦云信息技术有限公司 | 一种云端服务器安全控制方法 |
| CN103885725A (zh) * | 2014-03-19 | 2014-06-25 | 华存数据信息技术有限公司 | 一种基于云计算环境的虚拟机访问控制***及其控制方法 |
-
2015
- 2015-12-31 CN CN201511026762.XA patent/CN105653938A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1961272A (zh) * | 2004-06-29 | 2007-05-09 | 英特尔公司 | 通过沙箱技术改进计算机安全性的方法 |
| US20060248527A1 (en) * | 2005-04-28 | 2006-11-02 | Hansjoerg Jaeckel | Platform independent replication |
| CN102891854A (zh) * | 2012-10-15 | 2013-01-23 | 广州亦云信息技术有限公司 | 一种云端服务器安全控制方法 |
| CN103885725A (zh) * | 2014-03-19 | 2014-06-25 | 华存数据信息技术有限公司 | 一种基于云计算环境的虚拟机访问控制***及其控制方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472133A (zh) * | 2017-12-01 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种沙箱监控方法和装置 |
| CN112528273A (zh) * | 2020-12-29 | 2021-03-19 | 天津开心生活科技有限公司 | 医疗数据的探测方法、装置、介质及电子设备 |
| CN114124558A (zh) * | 2021-11-30 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 操作响应方法、装置、电子设备及计算机可读存储介质 |
| CN114124558B (zh) * | 2021-11-30 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 操作响应方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105653938A (zh) | 一种用于虚拟机的沙箱保护***及方法 | |
| WO2012135192A3 (en) | System and method for virtual machine monitor based anti-malware security | |
| WO2017215518A1 (en) | System and method for virtual hardware control | |
| CN101930515B (zh) | 一种对压缩文件进行安全解压缩的***及方法 | |
| CN103870749A (zh) | 一种实现虚拟机***的安全监控***及方法 | |
| CN104219211B (zh) | 一种云计算网络中网络安全的检测方法及装置 | |
| CN103617065A (zh) | 一种强力卸载移动终端***软件的***及方法 | |
| CN105138922A (zh) | 一种基于物理环境感知的计算机访问控制方法及*** | |
| CN105117223A (zh) | 输入事件的处理方法和*** | |
| CN104660554A (zh) | 一种虚拟机通信数据安全的实现方法 | |
| CN103353930B (zh) | 一种防范感染式病毒感染的方法和装置 | |
| CN105791311A (zh) | 云平台防火墙的安全防护方法和装置 | |
| KR101859796B1 (ko) | 이동 단말 상의 이동 무선 인터페이스를 모니터링하는 방법 및 장치 | |
| CN102663283A (zh) | 一种动态隔离计算机***的方法 | |
| CN105704087A (zh) | 一种基于虚拟化实现网络安全管理的装置及其管理方法 | |
| CN105068897A (zh) | 实现车载智能双***的方法及其双***和该双***平台 | |
| CN102611687A (zh) | 一种基于反馈的控制访问权限的***及方法 | |
| JP2007199829A5 (zh) | ||
| CN106557693A (zh) | 一种恶意Hook行为检测方法及*** | |
| CN103929413A (zh) | 一种云网络防止受到攻击的方法及装置 | |
| CN104318180A (zh) | 基于智能终端的***安全权限处理状态机模型 | |
| CN102737198A (zh) | 对象保护方法及装置 | |
| CN103516864A (zh) | 在移动终端中监控预设操作的方法和装置 | |
| CN206707896U (zh) | 一种自动排气过滤器*** | |
| CN106203094A (zh) | 窗口内容处理方法、装置及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160608 |