一种安全防护的方法及系统技术方案

技术编号:14589489 阅读:110 留言:0更新日期:2017-02-08 18:16
本发明专利技术公开一种安全防护的方法及系统,涉及通信网络技术领域,可以解决采用现有的安全防护方法导致资源占用率高的问题。本发明专利技术实施例通过防恶意软件驱动接收文件访问请求,根据文件访问请求生成文件事件,将文件事件通过安全API库接口发送给杀毒引擎,杀毒引擎通过调用安全API库接口从共享内存中读取待访问文件内容,对待访问文件内容进行扫描,将扫描结果发送给防恶意软件驱动,当防恶意软件驱动确定扫描结果为不包含恶意软件时,允许对所述待访问文件进行访问,当防恶意软件驱动确定扫描结果为包含恶意软件时,对待访问文件进行杀毒处理。本发明专利技术实施例提供的方案适于对KVM系统进行安全防护时采用。

Safety protection method and system

The invention discloses a method and a system for security protection, which relates to the technical field of communication network, and can solve the problem of high resource occupation rate by adopting the existing safety protection method. The embodiment of the invention through the anti malware driver receives the file access request, according to the file access request file event, will file events sent by API security library interface to antivirus engine, antivirus engine by calling the API security library interface from the shared memory read to access the contents of the documents, to access the contents of the file is scanned will scan and send the results to prevent malicious software when driving, driving to determine the anti malware scan results does not contain malicious software, allowing the access to file access, when driving to determine anti malware scan results contain malicious software, to access files for antivirus treatment. The scheme provided by the embodiment of the invention is suitable for the safety protection of the KVM system.

【技术实现步骤摘要】

本专利技术涉及通信
,尤其涉及一种安全防护的方法及系统。
技术介绍
目前,KVM(Kernel-basedVirtualMachine,系统虚拟化模块)虚拟化技术已经被广泛应用,为了提高KVM虚拟化系统的安全性,可以通过在网络层部署防火墙、防毒墙、入侵防御系统等安全设备来隔离内外网,并在每个操作系统中安装防毒软件,从而过滤来自外网的恶意程序,监控对服务器的非法访问行为,保障核心服务器的安全运行。然而,由一台物理机虚拟出来的每个操作系统中都会安装防毒软件,如果对防毒软件开启了预设扫描功能,当到达指定时间时,每个操作系统中的防毒软件会同时进行文件的扫描动作,导致防毒软件对CPU(CentralProcessingUnit,中央处理器)和内存的占用急剧增加,如果系统资源全部被防毒软件占用会导致服务器宕机。
技术实现思路
本专利技术的实施例提供一种安全防护的方法及系统,可以解决采用现有的安全防护方法导致资源占用率高的问题。为达到上述目的,本专利技术的实施例采用如下技术方案:一种安全防护的方法,包括:防恶意软件驱动接收文件访问请求;所述防恶意软件驱动根据所述文件访问请求生成文件事件,将所述文件事件通过安全应用程序编程接口API库接口发送给杀毒引擎;所述杀毒引擎通过调用所述安全API库接口从共享内存中读取所述待访问文件内容;所述杀毒引擎对所述待访问文件内容进行扫描,将扫描结果发送给所述防恶意软件驱动;当所述防恶意软件驱动确定所述扫描结果为不包含恶意软件时,允许对所述待访问文件进行访问;当所述防恶意软件驱动确定所述扫描结果为包含恶意软件时,对所述待访问文件进行杀毒处理。一种安全防护的系统,包括:防恶意软件驱动,用于接收文件访问请求;根据所述文件访问请求生成文件事件,将所述文件事件通过安全应用程序编程接口API库接口发送给杀毒引擎;所述杀毒引擎,用于当接收到所述防恶意软件发送的文件事件时,通过调用所述安全API库接口从共享内存中读取所述待访问文件内容;对所述待访问文件内容进行扫描,将扫描结果发送给所述防恶意软件驱动;所述共享内存,用于存储所述待访问文件;所述防恶意软件驱动,还用于当确定所述杀毒引擎发送的所述扫描结果为不包含恶意软件时,允许对所述待访问文件进行访问;当确定所述杀毒引擎发送的所述扫描结果为包含恶意软件时,对所述待访问文件进行杀毒处理。本专利技术实施例提供的安全防护的方法及系统,防恶意软件驱动接收文件访问请求,根据文件访问请求生成文件事件,将文件事件通过安全API库接口发送给杀毒引擎,杀毒引擎通过调用安全API库接口从共享内存中读取待访问文件内容,对待访问文件内容进行扫描,将扫描结果发送给防恶意软件驱动,当防恶意软件驱动确定扫描结果为不包含恶意软件时,允许对待访问文件进行访问,当防恶意软件驱动确定扫描结果为包含恶意软件时,对待访问文件进行杀毒处理。与现有技术中在每个虚拟机中都安装防毒软件,导致多个虚拟机的防毒软件同时对文件进行扫描时对资源的占用率过高相比,本专利技术实施例不需要在虚拟机种安装程序,只需在接收到文件访问请求时,对待访问的文件进行扫描,从而保证系统的安全性,不会出现多个程序同时扫描文件的情况,减少了资源的占用率,所以可以控制安全防护过程中的资源占用率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种安全防护的系统的架构图;图2为本专利技术实施例提供的一种安全防护的方法的流程图;图3为本专利技术实施例提供的另一种安全防护的方法的流程图;图4为本专利技术实施例提供的一种安全防护的系统的逻辑结构示意图;图5为本专利技术实施例提供的另一种安全防护的系统的逻辑结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为了方便对以下实施例的描述,首先对本专利技术实施例所应用的系统进行说明,如图1所示,该系统包括物理主机以及运行于物理主机之上的用户虚拟机,其中,用户虚拟机中包含防恶意软件驱动,物理主机中包含能够与防恶意软件驱动进行通信的网桥,网桥依次连接于物理主机中的包过滤驱动、共享内存、安全API库,安全API库能够与物理主机中的杀毒引擎和包过滤引擎进行通信。其中,物理主机为运行KVM的物理机,是用户虚拟机的容器。杀毒引擎运行于物理主机的操作系统中上,用于判断文件中是否包含恶意指令的程序。包过滤引擎运行于物理主机的操作系统上,用于判断网络连接过程中传输的数据是否符合包含预设规则的程序,具体用于判断传输的数据包是否违反入侵检测规则。网桥,运行于物理主机的操作系统上,用于连接虚拟机的虚拟网卡和物理主机的物理网卡,从而实现虚拟机的网络通信。包过滤驱动,用于通过网桥拦截用户虚拟机发送或者接收的数据包,并将数据包通过共享内存发送至包过滤引擎。安全API库,用于对共享内存中交换的数据内容进行抽象和封装,可提供一组安全API接口供杀毒引擎和包过滤引擎使用,例如,杀毒引擎可以调用某个API接口,从而获取于API接口对应的虚拟机中的文件头信息。共享内存为物理主机与用户虚拟机共享的内存,对于用户虚拟机而言,共享内存为一个PCI(PeripheralComponentInterconnect,外设部件互联标准)设备,该设备包含寄存器区域和数据区域;对于物理主机而言,共享内存为一块共享内存和若干主机socket,用户虚拟机和物理机通过可以通过共享内存交换数据。其中,用户虚拟机向物理主机传输数据的方法为:用户虚拟机向共享内存的数据区域写入待传输数据,用户虚拟机在共享内存的寄存器区域的特定寄存器写入1,然后物理主机的操作系统中对应该特定寄存器的主机socket会被唤醒,通知有数据到达,进而物理主机中的程序可以从共享内存中读取用户虚拟机写入的数据。物理主机向用户虚拟机传输数据的方法为:物理主机向共享内存写入待传输数据,物理主机在特定的主机socket文件的描述符写入1,用户虚拟机中对应的寄存器响应,通知数据到达,进而用户虚拟机从共享内存的数据区域读取物理主机写入的数据。基于图1所示的系统,为了控制安全防护过程中的资源占用率,本专利技术实施例提供了一种安全防护的方法,如图2所示,该方法包括:201、防恶意软件驱动接收文件访问请求。其中,文件访问请求中至少待访问文件的文件名。202、防恶意软件驱动根据文件访问请求生成文件事件,将文件事件通过安全API库接口发送给杀毒引擎。可以理解的是,防恶意软件可以根据文件访问请求获取待访问文件的相关信息,例如文件名,并根据待访问文件的相关信息生成待访问文件对应的文件事件。203、杀毒引擎通过调用安全API库接口从共享内存中读取待访问文件内容。当杀毒引擎接收到文件事件后,可以通过事件回调函数调用安全API接口,打开待访问文件,并获取待访问文件的文件句柄,然后根据文件句柄读本文档来自技高网...

【技术保护点】
一种安全防护的方法,其特征在于,包括:防恶意软件驱动接收文件访问请求;所述防恶意软件驱动根据所述文件访问请求生成文件事件,将所述文件事件通过安全应用程序编程接口API库接口发送给杀毒引擎;所述杀毒引擎通过调用所述安全API库接口从共享内存中读取所述待访问文件内容;所述杀毒引擎对所述待访问文件内容进行扫描,将扫描结果发送给所述防恶意软件驱动;当所述防恶意软件驱动确定所述扫描结果为不包含恶意软件时,允许对所述待访问文件进行访问;当所述防恶意软件驱动确定所述扫描结果为包含恶意软件时,对所述待访问文件进行杀毒处理。

【技术特征摘要】
1.一种安全防护的方法,其特征在于,包括:防恶意软件驱动接收文件访问请求;所述防恶意软件驱动根据所述文件访问请求生成文件事件,将所述文件事件通过安全应用程序编程接口API库接口发送给杀毒引擎;所述杀毒引擎通过调用所述安全API库接口从共享内存中读取所述待访问文件内容;所述杀毒引擎对所述待访问文件内容进行扫描,将扫描结果发送给所述防恶意软件驱动;当所述防恶意软件驱动确定所述扫描结果为不包含恶意软件时,允许对所述待访问文件进行访问;当所述防恶意软件驱动确定所述扫描结果为包含恶意软件时,对所述待访问文件进行杀毒处理。2.根据权利要求1所述的安全防护的方法,其特征在于,在所述杀毒引擎对所述待访问文件内容进行扫描,将扫描结果发送给所述防恶意软件驱动之后,所述方法还包括:当确定所述扫描结果包含恶意软件时,所述防恶意软件驱动清除所述待访问文件中的恶意软件,或者删除所述待访问文件。3.根据权利要求2所述的安全防护的方法,其特征在于,所述杀毒引擎对所述待访问文件内容进行扫描,包括:将所述待访问文件内容与病毒库进行分析对比;当确定所述待访问内容中存在与所述病毒库中的病毒一致的内容时,确定所述扫描结果为包含恶意软件;当确定所述待访问内容中不存在于所述病毒库中的病毒一致的内容时,确定所述扫描结果为不包含恶意软件。4.根据权利要求1至3中任一项所述的安全防护的方法,其特征在于,在所述允许对所述待访问文件进行访问之后,所述方法还包括:网桥获取虚拟机的待处理数据包,所述待处理数据包为待发送数据包以及待接收数据包;所述网桥将所述待处理数据包发送至包过滤驱动;所述包过滤驱动将所述待处理数据包存储在所述共享内存中;包过滤引擎通过调用所述安全API库接口从所述共享内存中获取所待处理述数据包的内容,判断所述待处理数据包的内容是否违反入侵检测规则,将判断结果发送给包过滤驱动;当所述判断结果为所述待处理数据包的内容违反所述入侵检测规则时,所述包过滤出驱动拒绝所述待处理数据包继续传输;当所述判断结果为所述待处理数据包的内容未违反所述入侵检测规则时,所述包过滤驱动允许所述待处理数据包继续传输。5.根据权利要求4所述的安全防护的方法,其特征在于,所述包过滤驱动将所述待处理数据包存储在所述共享内存中,包括:当确定物理主机中存在对所述虚拟机的入侵检测规则时,所述包过滤驱动将所述待处理数据包存储在所述共享内存中。6.一...

【专利技术属性】
技术研发人员:童宁罗海龙
申请(专利权)人:亚信科技成都有限公司
类型:发明
国别省市:四川;51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1