[发明专利]一种虚拟平台网络隔离下保护虚拟机安全的方法及系统

权利要求书

1.一种虚拟平台网络隔离下保护虚拟机安全的方法，其特征是，所述方法包括以下步骤：

获取在线威胁情报列表，形成威胁情报库；

虚拟机在接收到QGA监听模块下发的进程收集指令后，通过qemu-ga模块进行虚拟机当前运行进程信息的收集，形成进程列表，计算所述进程列表中每个进程文件的哈希值，并将哈希值返回给QGA监听模块；

查看所述哈希值是否存在于所述威胁情报库中，若存在，则将该进程信息添加至虚拟机漏洞信息表中；

安全管理中心根据所述虚拟机漏洞信息表，进行告警提示；

所述查看所述哈希值是否存在于所述威胁情报库中，若存在，则将该进程信息添加至虚拟机漏洞信息表中的具体过程为：

进行进程遍历，查看每个进程对应进程文件的哈希值是否威胁情报数据库中；

若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同，则继续遍历下一个进程；

若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同，则将该进程信息添加至虚拟机漏洞信息表中，然后继续遍历下一个进程。

2.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法，其特征是，所述威胁情报库内的数据包括威胁情报来源、威胁情报获取时间、威胁对象名称、对象特征值和威胁对象描述。

3.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法，其特征是，所述QGA监听模块基于监控策略下发进程指令，所述监控策略包括手动触发收集和周期性收集；

若为手动触发收集，则QGA监听模块立即发送指令至qemu-ga模块；

若为周期性收集，则QGA模块检测当前是否到周期检测时间，如果是，则发送指令至qemu-ga模块，如果否，则等待下一个周期时间。

4.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法，其特征是，所述虚拟机漏洞信息表中的数据包括威胁对象名称、威胁情报获取来源、威胁情报获取时间、进程名称、进程哈希值、进程所在虚拟机IP、进程所在虚拟机UUID、虚拟机所在宿主机IP和虚拟机所在宿主机UUID。

5.一种虚拟平台网络隔离下保护虚拟机安全的系统，包括虚拟化管理平台和虚拟机，其特征是，所述系统还包括虚拟机信息监控部件、虚拟机安全管理部件和安全管理中心部件；

所述虚拟机信息监控部件包括相互通信的QGA监听模块和qemu-ga模块，所述QGA监听模块，向qemu-ga模块下发进程收集指令，所述qemu-ga模块基于所述指令，进行虚拟机当前运行进程信息的收集，形成进程列表，并计算所述进程列表中每个进程文件的哈希值，并将哈希值返回给QGA监听模块；

所述虚拟机安全管理部件获取所述哈希值，并查看所述哈希值是否存在于威胁情报库中，若存在，则将进程信息添加至虚拟机漏洞信息表中；

所述安全管理中心部件根据所述虚拟机漏洞信息表，进行告警提示；

所述查看所述哈希值是否存在于威胁情报库中，若存在，则将进程信息添加至虚拟机漏洞信息表中的具体过程为：

进行进程遍历，查看每个进程对应进程文件的哈希值是否威胁情报数据库中；

若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同，则继续遍历下一个进程；

若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同，则将该进程信息添加至虚拟机漏洞信息表中，然后继续遍历下一个进程。

6.根据权利要求5所述虚拟平台网络隔离下保护虚拟机安全的系统，其特征是，所述虚拟机信息监控部件还包括监控策略管理模块，所述监控策略管理模块用于将监控策略下发给所述QGA监听模块。

7.根据权利要求5所述虚拟平台网络隔离下保护虚拟机安全的系统，其特征是，所述虚拟机安全管理部件还包括：

威胁情报获取模块，通过在线情报工具抓取在线威胁情报，形成在线威胁情报列表；

威胁情报处理模块，将所述在线威胁情报列表进行归一化处理，形成统一的数据格式，将归一化后的数据导入威胁情报库。