CN106548066A - 一种保护虚拟机的方法及装置 - Google Patents
一种保护虚拟机的方法及装置 Download PDFInfo
- Publication number
- CN106548066A CN106548066A CN201610942538.3A CN201610942538A CN106548066A CN 106548066 A CN106548066 A CN 106548066A CN 201610942538 A CN201610942538 A CN 201610942538A CN 106548066 A CN106548066 A CN 106548066A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- target
- operation behavior
- preservation tactics
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 230000004224 protection Effects 0.000 title claims abstract description 31
- 238000004321 preservation Methods 0.000 claims abstract description 105
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 15
- 230000006399 behavior Effects 0.000 description 77
- 238000010586 diagram Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 210000004247 hand Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种保护虚拟机的方法及装置,该方法,应用于目标虚拟机的宿主机中,包括:预先设置至少一个用于保护所述目标虚拟机的保护策略;预先确定至少一个待保护的虚拟机操作目标;实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则允许执行所述操作行为,否则,禁止执行所述操作行为。本发明提供了一种保护虚拟机的方法及装置,能够提高虚拟机的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种保护虚拟机的方法及装置。
背景技术
随着云计算、虚拟化技术的发展,虚拟机的应用越来越广泛。随之而来的虚拟机的安全问题也越来越受到重视。
现有技术中,对于虚拟机的保护技术非常有限,对于攻击虚拟机的行为也往往束手无策,例如:虚拟机被异常关闭导致虚拟机数据丢失等。
通过上述描述可见,现有技术中虚拟机的安全性较低。
发明内容
本发明实施例提供了一种保护虚拟机的方法及装置,能够提高虚拟机的安全性。
一方面,本发明实施例提供了一种保护虚拟机的方法,应用于目标虚拟机的宿主机中,包括:
预先设置至少一个用于保护所述目标虚拟机的保护策略;
预先确定至少一个待保护的虚拟机操作目标;
实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则允许执行所述操作行为,否则,禁止执行所述操作行为。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在所述目标虚拟化软件上;
所述至少一个待保护的虚拟机操作目标,包括:所述目标虚拟化软件。
进一步地,所述判断所述至少一个保护策略是否允许执行所述操作行为,包括:
将所述操作行为与所述至少一个保护策略进行匹配,判断是否存在禁止执行所述操作行为的保护策略,如果是,则禁止执行所述操作行为,否则,允许执行所述操作行为。
进一步地,在所述预先设置至少一个用于保护所述目标虚拟机的保护策略之后,在所述实时监测所述目标虚拟机的所述宿主机中的操作行为之前,进一步包括:
将所述至少一个保护策略添加到所述宿主机的***内核模块中。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止修改或删除在所述宿主机中的所述目标虚拟机的文件;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的文件。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止在所述宿主机中的所述目标虚拟机的进程;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的进程。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止vmware-vmx.exe进程;
所述至少一个待保护的虚拟机操作目标,包括:所述vmware-vmx.exe进程。
另一方面,本发明实施例提供了一种保护虚拟机的装置,包括:
策略库,用于保存至少一个用于保护所述目标虚拟机的保护策略;
确定单元,用于确定至少一个待保护的虚拟机操作目标;
监测单元,用于实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则触发判断单元;
所述判断单元,用于判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则允许执行所述操作行为,否则,禁止执行所述操作行为。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在所述目标虚拟化软件上;
所述至少一个待保护的虚拟机操作目标,包括:所述目标虚拟化软件。
进一步地,所述判断单元,用于将所述操作行为与所述至少一个保护策略进行匹配,判断是否存在禁止执行所述操作行为的保护策略,如果是,则禁止执行所述操作行为,否则,允许执行所述操作行为。
进一步地,该装置进一步包括:
添加单元,用于将所述至少一个保护策略添加到所述宿主机的***内核模块中。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止修改或删除在所述宿主机中的所述目标虚拟机的文件;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的文件。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止在所述宿主机中的所述目标虚拟机的进程;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的进程。
进一步地,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止vmware-vmx.exe进程;
所述至少一个待保护的虚拟机操作目标,包括:所述vmware-vmx.exe进程。
在本发明实施例中,在目标虚拟机的宿主机上,设置至少一个用于保护目标虚拟机的保护策略,确定至少一个待保护的虚拟机操作目标,当判断出操作行为的操作目标是否在至少一个待保护的虚拟机操作目标中时,利用保护策略对操作行为进行处理,允许执行该至少一个保护策略允许的操作行为,禁止执行该至少一个保护策略禁止的操作行为,在宿主机的层面上实现对目标虚拟机的保护,提高了目标虚拟机的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种保护虚拟机的方法的流程图;
图2是本发明一实施例提供的另一种保护虚拟机的方法的流程图;
图3是本发明一实施例提供的一种保护虚拟机的装置的示意图;
图4是本发明一实施例提供的另一种保护虚拟机的装置的示意图;
图5是本发明一实施例提供的又一种保护虚拟机的装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种保护虚拟机的方法,应用于目标虚拟机的宿主机中,该方法可以包括以下步骤:
步骤101:预先设置至少一个用于保护所述目标虚拟机的保护策略;
步骤102:预先确定至少一个待保护的虚拟机操作目标;
步骤103:实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则执行步骤104;
步骤104:判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则执行步骤105;否则,执行步骤106;
步骤105:允许执行所述操作行为;
步骤106:禁止执行所述操作行为。
在本发明实施例中,在目标虚拟机的宿主机上,设置至少一个用于保护目标虚拟机的保护策略,确定至少一个待保护的虚拟机操作目标,当判断出操作行为的操作目标是否在至少一个待保护的虚拟机操作目标中时,利用保护策略对操作行为进行处理,允许执行该至少一个保护策略允许的操作行为,禁止执行该至少一个保护策略禁止的操作行为,在宿主机的层面上实现对目标虚拟机的保护,提高了目标虚拟机的安全性。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在所述目标虚拟化软件上;
所述至少一个待保护的虚拟机操作目标,包括:所述目标虚拟化软件。
由于目标虚拟化软件是用来实现虚拟机的,目标虚拟化软件安装在宿主机上,当关闭目标虚拟化软件后,目标虚拟化软件上的目标虚拟机也会关闭,因此,为了保护目标虚拟机,设置该保护策略。
在本发明一实施例中,所述判断所述至少一个保护策略是否允许执行所述操作行为,包括:
将所述操作行为与所述至少一个保护策略进行匹配,判断是否存在禁止执行所述操作行为的保护策略,如果是,则禁止执行所述操作行为,否则,允许执行所述操作行为。
在本实施例中,将操作行为与各个保护策略进行匹配,针对当前保护策略,确定当前保护策略是否禁止执行该操作行为,当确定出当前保护策略禁止执行该操作行为时,可以停止匹配剩余的保护策略,确定出存在禁止执行该操作行为的保护策略,当确定出当前保护策略允许执行该操作行为时,继续匹配剩余的保护策略,直到匹配到禁止该操作行为的保护策略,或与所有的保护策略都匹配完成。如果所有的保护策略都允许执行该操作行为,则说明该操作行为是安全的。
在本发明一实施例中,在所述预先设置至少一个用于保护所述目标虚拟机的保护策略之后,在所述实时监测所述目标虚拟机的所述宿主机中的操作行为之前,进一步包括:
将所述至少一个保护策略添加到所述宿主机的***内核模块中。
在本发明实施例中,通过将保护策略添加到宿主机的***内核模块中,可以使得宿主机的每个操作行为均需要通过保护策略的处理才能继续后续处理。通过该实施例可以实现对每个操作行为的强制访问控制。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止修改或删除在所述宿主机中的所述目标虚拟机的文件;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的文件。
在本发明实施例中,目标虚拟机的文件是目标虚拟机正常运行所需要的文件,例如:.vmdk文件,目标虚拟机的文件在宿主机中。该保护策略禁止修改目标虚拟机的文件,也禁止删除目标虚拟机的文件。具体地,该保护策略中可以包括:目标虚拟机的文件的标识,例如:目标虚拟机的文件的名称等。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止在所述宿主机中的所述目标虚拟机的进程;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的进程。
在本发明实施例中,目标虚拟机的进程是目标虚拟机正常运行过程中的进程,目标虚拟机的进程在宿主机中。具体地,该保护策略中可以包括:目标虚拟机的进程的标识,例如:目标虚拟机的文件的名称等。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止vmware-vmx.exe进程;
所述至少一个待保护的虚拟机操作目标,包括:所述vmware-vmx.exe进程。
在本实施例中,vmware-vmx.exe进程是用于启动虚拟机的进程,如果该进程被关闭,则虚拟机也会被关闭,因此,该保护策略禁止停止vmware-vmx.exe进程。具体地,只允许该进程本身停止该进程,禁止所有其他程序对该进程进行停止。
如图2所示,本发明实施例提供了一种保护虚拟机的方法,应用于目标虚拟机的宿主机中,举例来说,目标虚拟机A运行在宿主机A上,为了保护目标虚拟机A,可以在宿主机A上实现该方法,该方法可以包括以下步骤:
步骤201:预先设置至少一个用于保护目标虚拟机的保护策略。
步骤202:预先确定至少一个待保护的虚拟机操作目标。
具体地,保护策略,可以包括:禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在目标虚拟化软件上;待保护的虚拟机操作目标,可以包括:目标虚拟化软件。
保护策略,可以包括:禁止修改或删除在宿主机中的目标虚拟机的文件;待保护的虚拟机操作目标,可以包括:在宿主机中的目标虚拟机的文件;
保护策略,可以包括:禁止停止在宿主机中的目标虚拟机的进程;待保护的虚拟机操作目标,可以包括:在宿主机中的目标虚拟机的进程。
保护策略,可以包括:禁止停止vmware-vmx.exe进程;
待保护的虚拟机操作目标,可以包括:vmware-vmx.exe进程。
另外,在保护策略中可以规定,具体的执行主体,例如:允许程序A修改或删除在宿主机中的目标虚拟机的文件,则该程序A之外的程序都是不被允许的。允许用户A停止在宿主机中的目标虚拟机的进程,则该用户A之外的用户都是不被允许的。
步骤203:实时监测目标虚拟机的宿主机中的操作行为,判断操作行为的操作目标是否在至少一个待保护的虚拟机操作目标中,如果是,则执行步骤204。
具体地,可以将至少一个待保护的虚拟机操作目标的标识保存到预设表中,将当前操作行为的操作目标与预设表中每个虚拟机操作目标的标识进行匹配,确定当前操作行为的操作目标是否在至少一个待保护的虚拟机操作目标中。
具体地,实时监测宿主机中的每个操作行为,针对每个操作行为执行后续的判断。
具体地,还可以包括识别操作行为,例如:可以通过操作行为的名称对操作行为进行识别,进而确定操作行为的目的。
步骤204:将操作行为与至少一个保护策略进行匹配,判断是否存在禁止执行操作行为的保护策略,如果是,则执行步骤205,否则,执行步骤206。
具体地,当该至少一个保护策略中存在禁止执行该操作行为的保护策略时,判定该至少一个保护策略禁止执行该操作行为;当该至少一个保护策略中不存在禁止执行该操作行为的保护策略时,判定该至少一个保护策略允许执行该操作行为。
步骤205:禁止执行操作行为。
步骤206:允许执行操作行为。
本发明实施例提供的方法可以通过强制访问控制来实现。举例来说,可以将保护策略保存到宿主机的***内核模块中。
在本发明实施例中,在宿主机层面,对虚拟机的文件、虚拟机的进程进行细粒度的规则配置,通过保护策略对虚拟机进行保护,防止虚拟机被恶意的关闭破坏。
在本发明实施例中,整个保护都是通过对虚拟机相关的最根本的元素文件、进程进行保护从最细粒度的角度对虚拟机保护,提高了虚拟机的安全性。
如图3、图4所示,本发明实施例提供了一种保护虚拟机的装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种保护虚拟机的装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种保护虚拟机的装置,包括:
策略库401,用于保存至少一个用于保护所述目标虚拟机的保护策略;
确定单元402,用于确定至少一个待保护的虚拟机操作目标;
监测单元403,用于实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则触发判断单元;
所述判断单元404,用于判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则允许执行所述操作行为,否则,禁止执行所述操作行为。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在所述目标虚拟化软件上;
所述至少一个待保护的虚拟机操作目标,包括:所述目标虚拟化软件。
在本发明一实施例中,所述判断单元,用于将所述操作行为与所述至少一个保护策略进行匹配,判断是否存在禁止执行所述操作行为的保护策略,如果是,则禁止执行所述操作行为,否则,允许执行所述操作行为。
如图5所示,在本发明一实施例中,该装置进一步包括:
添加单元501,用于将所述至少一个保护策略添加到所述宿主机的***内核模块中。
其中,添加单元501与策略库相连。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止修改或删除在所述宿主机中的所述目标虚拟机的文件;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的文件。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止在所述宿主机中的所述目标虚拟机的进程;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的进程。
在本发明一实施例中,所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止vmware-vmx.exe进程;
所述至少一个待保护的虚拟机操作目标,包括:所述vmware-vmx.exe进程。
本发明实施例提供的装置可以是目标虚拟机的宿主机,也可以在目标虚拟机的宿主机上实现。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明各个实施例至少具有如下有益效果:
1、在本发明实施例中,在目标虚拟机的宿主机上,设置至少一个用于保护目标虚拟机的保护策略,确定至少一个待保护的虚拟机操作目标,当判断出操作行为的操作目标是否在至少一个待保护的虚拟机操作目标中时,利用保护策略对操作行为进行处理,允许执行该至少一个保护策略允许的操作行为,禁止执行该至少一个保护策略禁止的操作行为,在宿主机的层面上实现对目标虚拟机的保护,提高了目标虚拟机的安全性。
2、在本发明实施例中,在宿主机层面,对虚拟机的文件、虚拟机的进程进行细粒度的规则配置,通过保护策略对虚拟机进行保护,防止虚拟机被恶意的关闭破坏。
3、在本发明实施例中,整个保护都是通过对虚拟机相关的最根本的元素文件、进程进行保护从最细粒度的角度对虚拟机保护,提高了虚拟机的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种保护虚拟机的方法,其特征在于,应用于目标虚拟机的宿主机中,包括:
预先设置至少一个用于保护所述目标虚拟机的保护策略;
预先确定至少一个待保护的虚拟机操作目标;
实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则允许执行所述操作行为,否则,禁止执行所述操作行为。
2.根据权利要求1所述的方法,其特征在于,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在所述目标虚拟化软件上;
所述至少一个待保护的虚拟机操作目标,包括:所述目标虚拟化软件。
3.根据权利要求1所述的方法,其特征在于,
所述判断所述至少一个保护策略是否允许执行所述操作行为,包括:
将所述操作行为与所述至少一个保护策略进行匹配,判断是否存在禁止执行所述操作行为的保护策略,如果是,则禁止执行所述操作行为,否则,允许执行所述操作行为。
4.根据权利要求1所述的方法,其特征在于,
在所述预先设置至少一个用于保护所述目标虚拟机的保护策略之后,在所述实时监测所述目标虚拟机的所述宿主机中的操作行为之前,进一步包括:
将所述至少一个保护策略添加到所述宿主机的***内核模块中。
5.根据权利要求1-4中任一所述的方法,其特征在于,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止修改或删除在所述宿主机中的所述目标虚拟机的文件;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的文件;
和/或,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止在所述宿主机中的所述目标虚拟机的进程;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的进程;
和/或,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止vmware-vmx.exe进程;
所述至少一个待保护的虚拟机操作目标,包括:所述vmware-vmx.exe进程。
6.一种保护虚拟机的装置,其特征在于,包括:
策略库,用于保存至少一个用于保护所述目标虚拟机的保护策略;
确定单元,用于确定至少一个待保护的虚拟机操作目标;
监测单元,用于实时监测所述目标虚拟机的所述宿主机中的操作行为,判断所述操作行为的操作目标是否在所述至少一个待保护的虚拟机操作目标中,如果是,则触发判断单元;
所述判断单元,用于判断所述至少一个保护策略是否允许执行所述操作行为,如果是,则允许执行所述操作行为,否则,禁止执行所述操作行为。
7.根据权利要求6所述的装置,其特征在于,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止关闭所述目标虚拟机对应的目标虚拟化软件,其中,所述目标虚拟机运行在所述目标虚拟化软件上;
所述至少一个待保护的虚拟机操作目标,包括:所述目标虚拟化软件。
8.根据权利要求6所述的装置,其特征在于,
所述判断单元,用于将所述操作行为与所述至少一个保护策略进行匹配,判断是否存在禁止执行所述操作行为的保护策略,如果是,则禁止执行所述操作行为,否则,允许执行所述操作行为。
9.根据权利要求6所述的装置,其特征在于,
进一步包括:
添加单元,用于将所述至少一个保护策略添加到所述宿主机的***内核模块中。
10.根据权利要求6-9中任一所述的装置,其特征在于,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止修改或删除在所述宿主机中的所述目标虚拟机的文件;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的文件;
和/或,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止在所述宿主机中的所述目标虚拟机的进程;
所述至少一个待保护的虚拟机操作目标,包括:在所述宿主机中的所述目标虚拟机的进程;
和/或,
所述至少一个用于保护所述目标虚拟机的保护策略,包括:
禁止停止vmware-vmx.exe进程;
所述至少一个待保护的虚拟机操作目标,包括:所述vmware-vmx.exe进程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610942538.3A CN106548066A (zh) | 2016-11-01 | 2016-11-01 | 一种保护虚拟机的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610942538.3A CN106548066A (zh) | 2016-11-01 | 2016-11-01 | 一种保护虚拟机的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106548066A true CN106548066A (zh) | 2017-03-29 |
Family
ID=58392288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610942538.3A Pending CN106548066A (zh) | 2016-11-01 | 2016-11-01 | 一种保护虚拟机的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106548066A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090044274A1 (en) * | 2007-08-08 | 2009-02-12 | Vmware, Inc. | Impeding Progress of Malicious Guest Software |
| CN103544090A (zh) * | 2013-10-16 | 2014-01-29 | 北京航空航天大学 | 虚拟机进程监控方法和装置 |
| CN104866392A (zh) * | 2015-05-20 | 2015-08-26 | 浪潮电子信息产业股份有限公司 | 一种保护虚拟机安全的方法及装置 |
| CN105120010A (zh) * | 2015-09-18 | 2015-12-02 | 华北电力科学研究院有限责任公司 | 一种云环境下虚拟机防窃取方法 |
-
2016
- 2016-11-01 CN CN201610942538.3A patent/CN106548066A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090044274A1 (en) * | 2007-08-08 | 2009-02-12 | Vmware, Inc. | Impeding Progress of Malicious Guest Software |
| CN103544090A (zh) * | 2013-10-16 | 2014-01-29 | 北京航空航天大学 | 虚拟机进程监控方法和装置 |
| CN104866392A (zh) * | 2015-05-20 | 2015-08-26 | 浪潮电子信息产业股份有限公司 | 一种保护虚拟机安全的方法及装置 |
| CN105120010A (zh) * | 2015-09-18 | 2015-12-02 | 华北电力科学研究院有限责任公司 | 一种云环境下虚拟机防窃取方法 |
Non-Patent Citations (1)
| Title |
|---|
| 易涛: "云计算虚拟化安全技术研究", 《ACADEMIC RESEARCH 学术研究》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3779745B1 (en) | Code pointer authentication for hardware flow control | |
| CN101351774B (zh) | 将存储页面与程序相关联的页面着色的方法、装置和*** | |
| KR102189296B1 (ko) | 가상 머신 보안 어플리케이션을 위한 이벤트 필터링 | |
| CN107066311B (zh) | 一种内核数据访问控制方法与*** | |
| CN105122260B (zh) | 到安全操作***环境的基于上下文的切换 | |
| US20120216281A1 (en) | Systems and Methods for Providing a Computing Device Having a Secure Operating System Kernel | |
| US20160232347A1 (en) | Mitigating malware code injections using stack unwinding | |
| CN108292272A (zh) | 用于管理有界指针的装置和方法 | |
| CN103842971A (zh) | 用于间接接口监视和垂线探测的***和方法 | |
| CN108154032B (zh) | 具有内存完整性保障功能的计算机***信任根构建方法 | |
| US8024798B2 (en) | Method and apparatus for protecting against buffer overrun attacks | |
| CN106055385A (zh) | 监控虚拟机进程的***和方法、过滤page fault异常的方法 | |
| CN102521531B (zh) | 基于硬件虚拟化的密码保护*** | |
| CN105264540A (zh) | 数据处理设备中的软件库的安全保护 | |
| CN102667794A (zh) | 用于保护操作***免于非授权修改的方法和*** | |
| CN107563192A (zh) | 一种勒索软件的防护方法、装置、电子设备及存储介质 | |
| CN106203093A (zh) | 进程保护方法、装置以及终端 | |
| CN108197503A (zh) | 一种为间接访问存储控制器增加保护功能的装置 | |
| CN101477600B (zh) | 一种用于软件自动防护***的方法及安全卡 | |
| Piromsopa et al. | Survey of protections from buffer-overflow attacks | |
| CN107818034B (zh) | 监测计算机设备中的进程的运行空间的方法以及装置 | |
| CN102819703B (zh) | 用于防护网页攻击的方法和设备 | |
| CN106548066A (zh) | 一种保护虚拟机的方法及装置 | |
| CN103679024A (zh) | 病毒的处理方法及设备 | |
| CN106250764A (zh) | 一种计算机终端控制*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170329 |
|
| RJ01 | Rejection of invention patent application after publication |