[发明专利]一种虚拟化平台的安全防护系统及方法

权利要求书

1.一种布置在虚拟化平台的安全防护系统，包括：

物理机，适于运行至少一个第一虚拟机和一个第二虚拟机，并提供供第一虚拟机和第二虚拟机之间进行通信的数据传输通道；

第一虚拟机，适于通过所述数据传输通道将预定事件发送给所述第二虚拟机；

所述物理机还适于将预定事件发送至第二虚拟机；

第二虚拟机，适于基于预定事件，获取文件或数据包进行扫描来得到扫描结果，并通过所述数据传输通道将所述扫描结果返回给所述第一虚拟机或物理机，以便所述第一虚拟机或所述物理机根据扫描结果来确定所述文件或数据包是否包含恶意内容。

2.如权利要求1所述的系统，其中，所述预定事件为文件事件，

所述第一虚拟机还适于在检测到文件访问请求时，生成文件事件，并将所述文件事件发送至所述第二虚拟机，以便于所述第二虚拟机根据所述文件事件读取文件的内容，对所读取的内容进行扫描来得到扫描结果，并将所述扫描结果返回给所述第一虚拟机；以及

所述第一虚拟机还适于在接收到所述扫描结果时，根据所述扫描结果确定所述文件是否包含恶意内容。

3.如权利要求1或2所述的系统，其中，所述第一虚拟机包括：

文件过滤驱动，适于根据所检测到的文件访问请求，生成文件事件，其中所述文件事件至少包括以下信息中的至少一个：文件的指纹、文件创建时间、文件修改时间、文件类型、文件长度、文件指定位置的指定长度。

4.如权利要求3所述的系统，在所述第一虚拟机中，

所述文件过滤驱动还适于通过所述数据传输通道接收扫描结果，并根据扫描结果确定所述文件是否包含恶意内容。

5.如权利要求4所述的系统，其中，所述第二虚拟机包括：

内核模块，适于接收所述文件事件，并将所述文件事件发送至扫描模块；

扫描模块，适于根据预置防护规则读取文件的部分或全部内容来进行扫描，并得到扫描结果。

6.一种虚拟化平台的安全防护方法，所述方法适于在第一虚拟机中执行，所述方法包括步骤：

在检测到文件访问请求时，生成文件事件；

将所述文件事件通过数据传输通道发送给第二虚拟机，以便第二虚拟机根据所述文件事件读取文件的内容，并对所读取的内容进行扫描，来得到扫描结果，其中所述第二虚拟机与所述第一虚拟机运行在同一物理机上；

在接收到所述扫描结果时，根据所述扫描结果确定所述文件是否包含恶意内容。

7.如权利要求6所述的方法，其中，

所述数据传输通道由所述物理机通过串口设备和/或字符设备和/或专用虚机网卡设备来实现。

8.一种虚拟化平台的安全防护方法，所述方法适于在第二虚拟机中执行，所述方法包括步骤：

接收来自第一虚拟机的文件事件或来自物理机的数据包事件，其中所述第一虚拟机与所述第二虚拟机运行在所述物理机上；

根据所述文件事件或数据包事件，分别从所述第一虚拟机或所述物理机中读取文件或数据包的内容；

对所读取的内容进行扫描，来得到扫描结果，并将所述扫描结果发送至所述第一虚拟机或所述物理机。

9.一种计算设备，包括：

至少一个处理器；和

存储有程序指令的存储器，其中，所述程序指令被配置为适于由所述至少一个处理器执行，所述程序指令包括用于执行如权利要求6-8中任一项所述方法的指令。

10.一种存储有程序指令的可读存储介质，当所述程序指令被计算设备读取并执行时，使得所述计算设备执行如权利要求6-8中任一项所述的方法。