[发明专利]一种防止基于虚拟机进行网络攻击的方法

权利要求书

1.一种防止基于虚拟机进行网络攻击的方法，其特征在于，当一个虚拟机进程发出一个数据包，客户操作系统会将它写入虚拟网卡，这时VMM会捕获这个事件并将其传递给VMI攻击过滤器，VMI攻击过滤器通过VMI技术获得进程ID和用户ID，如果数据包的目的地和发送源匹配某一条过滤策略，VMI攻击过滤器会将这个数据包丢弃，相反，就会发出这个数据包。

2.根据权利要求1所述的方法，其特征在于，VMI攻击过滤器是一个运行在VMM中的包过滤器，由于所有虚拟机发出的包都需要经过VMM，所以VMI攻击过滤器能够拦截该宿主机内部发出所有的网络数据包。

3.根据权利要求1所述的方法，其特征在于，对于每一个数据包，VMI攻击过滤器基于IP地址和端口号去寻找发送该数据包的网络套接字，而创建这个套接字的进程就是发包进程，该进程的所有者就是发包者。

4.根据权利要求1所述的方法，其特征在于，VMI攻击过滤器由过滤器内核、过滤器检查器、过滤器探测器三个模块组成。

5.根据权利要求1或4所述的方法，其特征在于，当一个DomU中的进程发出一个“发送”的系统调用指令，其操作系统内核发出一个数据包给前端网络驱动，前端网络驱动将这个数据包传递给位于Dom0内核中的后端网络驱动，这时后端网络驱动唤起过滤器内核，而不是去唤起一个真实的网络驱动；如果过滤器内核决定拒绝这个数据包就会丢弃这个包，否则会将这个包传递给过滤器探测器，如果过滤器探测器判断这个数据包是个攻击包，就会生成一条新的过滤策略并丢弃这个包，如果过滤器探测器判断这个包不是攻击包，就会将其传递给真实的网络驱动并发送到网络上。

6.根据权利要求5所述的方法，其特征在于，当过滤器内核需要发包者的信息用以判断这个数据包是否该丢弃的时候，它就会去唤起位于VMM中的过滤器检查器，过滤器检查器会发出一个管理程序调用指令给VMM，这个管理程序调用指令是以源DomU的ID和数据包头的ID作为其参数，过滤器检查器会检查DomU，去寻找发包者并根据发包者信息决定是否过滤，之后管理程序调用指令将这个决定返回给过滤器内核。