[发明专利]基于虚拟化环境下的安全防护方法及系统

说明书

技术领域

本发明涉及虚拟化技术领域，特别是涉及基于虚拟化环境下的安全防护方法及系统。

背景技术

随着硬件虚拟化技术的广泛应用，在一台物理主机上可以同时运行多个操作系统，操作系统之间相互隔离，使得对硬件设施的管理更加有效、灵活和节约。例如：可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上，从而达到资源的合理分配；又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上，并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题，在虚拟化的部署过程中也会面临。

为了解决虚拟化环境下虚拟机安全的问题，传统的解决办法如图1所示，需要在每台物理主机上的各个虚拟机中部署一套安全防护软件，从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品，会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用，可采用一种轻代理的方式，轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理，虚拟机中只保留最低限度的安全引擎服务数据。但将安全防护软件中的数据移到云端服务器，虚拟机在进行安全引擎时，需要占用一定的网络带宽并对网络环境及其响应速度有一定的要求，这样当物理主机中的虚拟机捕获到安全防护事件而又无网络或网络环境较差的情况下，将无法实时地对捕获到的安全防护事件对应的数据进行安全防护。

发明内容

基于此，有必要针对传统轻代理的安全防护软件在无网络或网络环境较差的情况下无法实时地对虚拟机捕获到的安全防护事件对应的数据进行安全防护的问题，提供一种即使在无网络的情况下也能够实时对虚拟机捕获到的安全防护事件对应的数据进行安全防护的基于虚拟化环境下的安全防护方法及系统。

为达到发明目的，提供一种基于虚拟化环境下的安全防护方法，物理主机上部署有多个虚拟机，每个所述虚拟机均对应有各自的虚拟内存，各个所述虚拟内存对应同一物理内存空间，多个所述虚拟机中有预设个数的虚拟机被配置为安全虚拟机；所述方法包括：

当有虚拟机捕获到安全防护事件时，捕获到所述安全防护事件的虚拟机作为第一虚拟机获取所述安全防护事件对应的待检测数据；

所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间；

所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机。

在其中一个实施例中，在所述安全虚拟机根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机之后，还包括：

所述第一虚拟机接收所述检测结果，并由所述检测结果中提取所述待检测数据的安全信息；

所述第一虚拟机根据所述安全信息判断所述待检测数据是否为安全数据；

若是，则执行所述安全防护事件；

若否，则不执行所述安全防护事件。

在其中一个实施例中，所述第一虚拟机向所述安全虚拟机发送标识其身份的第一标记信息，并将捕获到的所述安全防护事件对应的待检测数据通过其自身的第一虚拟内存写入所述物理内存空间的步骤包括：

所述第一虚拟机将所述待检测数据缓存在所述第一虚拟内存中；

所述第一虚拟机向所述安全虚拟机发送所述第一标记信息，并在接收到所述安全虚拟机根据所述第一标记信息反馈的安全检测信号时，根据所述第一虚拟内存与所述物理内存空间的映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述物理内存空间。

在其中一个实施例中，所述安全虚拟机接收到所述第一标记信息后，对写入在所述物理内存空间的所述待检测数据进行安全检测，得到检测结果，并根据所述第一标记信息将所述检测结果反馈给所述第一虚拟机的步骤包括：

当捕获所述安全防护事件的第一虚拟机为多个时，所述安全虚拟机获取各个所述第一虚拟机将对应的待检测数据写入所述物理内存空间的写入优先顺序或各个所述第一虚拟机的预设优先级；

所述安全虚拟机按照所述写入优先顺序或所述预设优先级依次对写入在所述物理内存空间中的所述待检测数据进行安全检测，得到检测结果，并将各个所述检测结果反馈给相应的第一虚拟机。