[发明专利]一种防止基于虚拟机进行网络攻击的方法

说明书

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种防止基于虚拟机进行网络攻击的方法。

背景技术

对于IaaS云计算服务提供商（比如Amazon EC2）来说，用户可以租用其计算资源，在虚拟机内部安装设置操作系统和应用程序。云计算带来的强大的弹性计算能力不仅帮助我们解决海量的数据计算，同时也带来了安全威胁，一些云计算资源的恶意使用者可以借助云计算实施更大规模的网络攻击。另一方面，由于服务提供商无权在用户虚拟机上安装防火墙并设置相应策略，因此对虚拟机如何使用基本无法控制，进而为这些恶意使用者提供了更大的空间。这使得从某种程度上来说，云服务提供商也成为了攻击者，需要为某些恶意使用者的非法攻击承担相应责任。因此，对于云服务提供商来说，急需一种可以在虚拟机外部检测利用虚拟机进行网络攻击的手段，避免其云计算资源被恶意利用。

现在的IaaS云服务商往往利用边界防火墙的包过滤方式去检测云中虚拟机的恶意行为，边界防火墙可以利用源IP地址、端口号等信息，过滤掉该虚拟机发往该主机之外的数据包。

对于IaaS的边界防火墙来说，添加一条策略的确可以阻断某虚拟机发出的恶意数据包，但同时也阻断了来自该虚拟机的合法应用程序的网络数据包。对于某完全被恶意使用的虚拟机，这个方案可以采用。但对于部分恶意使用的虚拟机，这个方案会造成其内部合法应用程序的中断服务。例如，某虚拟机内部的Web服务器软件由于其漏洞被恶意使用者所利用，这时只有网站数据被恶意使用者控制。而其他的应用程序比如邮件服务器还可以正常提供服务并不会受到影响。这时如果云服务提供商因其web服务器被检测到被恶意使用，而中断其邮件服务器的合法通信，显然是不合适的。

在用户虚拟机内部安装防火墙并设置相应的过滤策略，由于这些防火墙位于操作系统内核中，可以利用发送进程的信息实施精确过滤。通过进程ID或用户ID的形式将由入侵者控制的特定进程或用户向外发送的数据包阻隔。而合法的应用程序依然可以与外部主机正常通信。

对于IaaS云服务提供商来说，通常没有权利在全部客户虚拟机中安装防火墙并设置相应规则。这个行为需要用户的虚拟机管理员进行配合，但由于这个行为缩小了IaaS用户的操作权利范围，用户往往不愿配合。因此，这个方案在实际操作中很难开展。

发明内容

本发明的目的是为了克服现有技术的缺陷，提供一种防止基于虚拟机进行网络攻击的方法，通过该方法可将过滤策略精细化到进程级别或者用户级别，同时将过滤器检查器放在VMM中可以提高整体效率。

为了实现上述目的，本发明提供了一种防止基于虚拟机进行网络攻击的方法，该方法具体为：当一个虚拟机进程发出一个数据包，客户操作系统会将它写入虚拟网卡，这时VMM会捕获这个事件并将其传递给VMI攻击过滤器，VMI攻击过滤器通过VMI技术获得进程ID和用户ID，如果数据包的目的地和发送源匹配某一条过滤策略，VMI攻击过滤器会将这个数据包丢弃，相反，就会发出这个数据包。

优选地，上述方法中，VMI攻击过滤器是一个运行在VMM中的包过滤器，由于所有虚拟机发出的包都需要经过VMM，所以VMI攻击过滤器能够拦截该宿主机内部发出所有的网络数据包。

优选地，上述方法中，对于每一个数据包，VMI攻击过滤器基于IP地址和端口号去寻找发送该数据包的网络套接字，而创建这个套接字的进程就是发包进程，该进程的所有者就是发包者。

优选地，上述方法中，VMI攻击过滤器由过滤器内核、过滤器检查器、过滤器探测器三个模块组成。

优选地，上述方法中，当一个DomU中的进程发出一个“发送”的系统调用指令，其操作系统内核发出一个数据包给前端网络驱动，前端网络驱动将这个数据包传递给位于Dom0内核中的后端网络驱动，这时后端网络驱动唤起过滤器内核，而不是去唤起一个真实的网络驱动；如果过滤器内核决定拒绝这个数据包就会丢弃这个包，否则会将这个包传递给过滤器探测器，如果过滤器探测器判断这个数据包是个攻击包，就会生成一条新的过滤策略并丢弃这个包，如果过滤器探测器判断这个包不是攻击包，就会将其传递给真实的网络驱动并发送到网络上。