[发明专利]一种虚拟化平台的安全防护系统及方法

说明书

本发明公开了一种布置在虚拟化平台的安全防护系统，包括物理机、第一虚拟机和第二虚拟机。其中，物理机运行至少一个第一虚拟机和一个第二虚拟机，并提供供第一虚拟机和第二虚拟机之间进行通信的数据传输通道；第一虚拟机通过数据传输通道将预定事件发送给第二虚拟机。物理机还可以将预定事件发送至第二虚拟机。第二虚拟机基于预定事件，获取文件或数据包进行扫描来得到扫描结果，并通过数据传输通道将扫描结果返回给第一虚拟机或物理机，以便第一虚拟机或物理机根据扫描结果来确定文件或数据包是否包含恶意内容。

技术领域

本发明涉及计算机技术领域，尤其涉及一种虚拟化平台的安全防护系统及方法。

背景技术

在虚拟化技术快速发展的过程中，虚拟化平台更多是在考虑如何让虚拟出来的虚拟机占用更少的主机资源、以及如何让虚拟机稳定地运行和支持更多种类的虚拟机。而对虚拟机本身面临的病毒(如勒索软件、挖矿病毒)和层出不穷的攻击手段，目前并没有提供十分有效的解决方案，也没有提供专有的开发包能够让安全厂商方便快速地开发出对虚拟机性能影响较低的产品。

针对虚拟化平台所面临的安全问题，目前常见的一种解决方案是，在各业务虚拟机中安装传统杀毒软件，这种方式虽然在一定程度上解决了虚拟化环境中面临的安全问题，但是，虚拟机的性能本身就比直接运行在物理硬件上的系统低很多，如果再在虚拟机中安装厚重的杀毒软件，会极大地拖慢虚拟机的运行速度，进而影响到主机的性能。

另外一种使用较多的解决方案是，在虚拟化平台主机里面集成安全服务，当对业务虚拟机进行安全扫描时，在虚拟化平台主机上会造成很大的CPU占用和内存占用，尤其是在需要扫描的业务虚拟机较多时，对虚拟化平台主机的CPU占用或物理内存占用可达到100％。这时，虚拟化平台主机其他服务将得不到CPU资源和内存资源，造成整个虚拟化环境的崩溃。另外，由于虚拟化环境的复杂性，安全服务程序也很容易出现各种故障，如非法访问内存造成虚拟化主机的宕机、占用太多内存造成业务虚拟机运行缓慢等。上述问题均会影响虚拟化平台的稳定运行。

因此，需要一种布置在虚拟化环境中的新的安全防护方案，能够有效解决虚拟化环境中存在的各种安全威胁，同时又保证虚拟化平台的稳定运行。

发明内容

为此，本发明提供了一种新的虚拟化平台的安全防护方案，以力图解决或至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种布置在虚拟化平台的安全防护系统，包括：物理机，适于运行至少一个第一虚拟机和一个第二虚拟机，并提供供第一虚拟机和第二虚拟机之间进行通信的数据传输通道；第一虚拟机，适于通过数据传输通道将预定事件发送给第二虚拟机；物理机还适于将预定事件发送至第二虚拟机；第二虚拟机，适于基于预定事件，获取文件或数据包进行扫描来得到扫描结果，并通过数据传输通道将扫描结果返回给第一虚拟机或物理机，以便第一虚拟机或物理机根据扫描结果来确定所述文件或数据包是否包含恶意内容。

可选地，在根据本发明的系统中，预定事件为文件事件，第一虚拟机还适于在检测到文件访问请求时，生成文件事件，并将文件事件发送至第二虚拟机，以便于第二虚拟机根据文件事件读取文件的内容，对所读取的内容进行扫描来得到扫描结果，并将扫描结果返回给第一虚拟机；以及第一虚拟机还适于在接收到扫描结果时，根据扫描结果确定文件是否包含恶意内容。

可选地，在根据本发明的系统中，第一虚拟机包括：文件过滤驱动，适于根据所检测到的文件访问请求，生成文件事件，其中文件事件至少包括以下信息中的至少一个：文件的指纹、文件创建时间、文件修改时间、文件类型、文件长度、文件指定位置的指定长度。

可选地，在根据本发明的系统中，在第一虚拟机中，文件过滤驱动还适于通过数据传输通道接收扫描结果，并根据扫描结果确定文件是否包含恶意内容。