[发明专利]一种宿主机安全防护方法和装置

权利要求书

1.一种宿主机安全防护方法，其特征在于，包括以下步骤：

获取宿主机中的虚拟化软件信息，所述虚拟化软件信息包括虚拟化软件的类型和版本；

根据所述虚拟化软件信息对宿主机下发相应的安全防护策略；

通过虚拟机监视器监控宿主机中虚拟机所发起的访问动作；

对违反所述安全防护策略的访问动作进行拦截。

2.根据权利要求1所述的宿主机安全防护方法，其特征在于，所述安全防护策略为安全行为白名单，所述安全行为白名单包括每个安全行为所对应的行为信息，所述行为信息包括行为主体、行为客体、行为所涉及的进程、行为所涉及的端口、行为所涉及的服务以及行为所涉及的驱动。

3.根据权利要求2所述的宿主机安全防护方法，其特征在于，所述对违反所述安全防护策略的访问动作进行拦截的方式为：

确定所述访问动作的动作信息，所述动作信息包括所述访问动作的主体、客体、读写属性、执行属性和控制属性；

根据所述动作信息得到所述访问动作的访问信息，所述访问信息包括该访问动作的主体、客体、所涉及进程、所涉及端口、所涉及服务以及所涉及驱动；

依据所述访问信息，通过遍历所述安全行为白名单的方式判断所述访问动作的合法性；

对不合法的访问动作进行拦截。

4.根据权利要求2所述的宿主机安全防护方法，其特征在于，在所述对违反所述安全防护策略的访问动作进行拦截的步骤之后还包括：

对合法访问动作进行响应，所述合法访问动作即为不违反所述安全防护策略的访问动作。

5.根据权利要求4所述的宿主机安全防护方法，其特征在于，所述对合法访问动作进行响应的方式为：

在所述安全行为白名单中找到合法访问动作所对应的安全行为；

将合法访问动作所对应的安全行为映射为一种状态变化，所述状态变化为以下十一种之一：(1)创建或迁入虚拟机、(2)删除或迁出虚拟机、(3)开启或关闭虚拟机、(4)虚拟机正常运行、(5)记录虚拟机日志、(6)查看虚拟机日志、(7)暂停或从暂停中恢复虚拟机、(8)挂起或从挂起中恢复虚拟机、(9)软重启虚拟机、(10)硬重启虚拟机、(11)修改虚拟机；

依据表1找到所述状态变化所对应的若干转换规则，

表1中各转换规则的含义如下表2所示：

依据所述若干转换规则执行动作；

将动作的执行结果反馈给所述合法访问动作的发起者。

6.一种宿主机安全防护装置，其特征在于，包括：

获取模块，用于获取宿主机中的虚拟化软件信息，所述虚拟化软件信息包括虚拟化软件的类型和版本；

下发模块，用于根据所述虚拟化软件信息对宿主机下发相应的安全防护策略；

监视模块，用于通过虚拟机监视器监控宿主机中虚拟机所发起的访问动作；

拦截模块，用于对违反所述安全防护策略的访问动作进行拦截。

7.根据权利要求6所述的宿主机安全防护装置，其特征在于，还包括：

安全基线模块，用于存储作为所述安全防护策略的安全行为白名单，所述安全行为白名单包括每个安全行为所对应的行为信息，所述行为信息包括行为主体、行为客体、行为所涉及的进程、行为所涉及的端口、行为所涉及的服务以及行为所涉及的驱动。

8.根据权利要求7所述的宿主机安全防护装置，其特征在于，所述拦截模块还包括：

动作信息子模块，用于确定所述访问动作的动作信息，所述动作信息包括所述访问动作的主体、客体、读写属性、执行属性和控制属性；

访问信息子模块，用于根据所述动作信息得到所述访问动作的访问信息，所述访问信息包括该访问动作的主体、客体、所涉及进程、所涉及端口、所涉及服务以及所涉及驱动；

判断子模块，用于依据所述访问信息，通过遍历所述安全行为白名单的方式判断所述访问动作的合法性；

执行拦截子模块，用于对不合法的访问动作进行拦截。

9.根据权利要求7所述的宿主机安全防护装置，其特征在于，还包括：

响应模块，用于对合法访问动作进行响应，所述合法访问动作即为不违反所述安全防护策略的访问动作。

10.根据权利要求9所述的宿主机安全防护装置，其特征在于，所述响应模块还包括：

安全行为子模块，用于在所述安全行为白名单中找到合法访问动作所对应的安全行为；

状态变化子模块，用于将合法访问动作所对应的安全行为映射为一种状态变化，所述状态变化为以下十一种之一：(1)创建或迁入虚拟机、(2)删除或迁出虚拟机、(3)开启或关闭虚拟机、(4)虚拟机正常运行、(5)记录虚拟机日志、(6)查看虚拟机日志、(7)暂停或从暂停中恢复虚拟机、(8)挂起或从挂起中恢复虚拟机、(9)软重启虚拟机、(10)硬重启虚拟机、(11)修改虚拟机；

转换规则子模块，用于依据表1找到所述状态变化所对应的若干转换规则，

表1中各转换规则的含义如下表2所示：

执行动作子模块，用于依据所述若干转换规则执行动作；

反馈子模块，用于将动作的执行结果反馈给所述合法访问动作的发起者。