一种虚拟机安全控制方法、系统及网络设备技术方案

本发明专利技术公开了一种虚拟机安全控制方法、系统及网络设备，其中，所述方法包括：与目标虚拟机建立安全通道；基于所述安全通道，获取到所述目标虚拟机的数据；针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果；基于所述检测结果对所述目标虚拟机进行安全控制。

Virtual machine security control method, system and network equipment

The invention discloses a safety control method, virtual machine system and network equipment, wherein, the method comprises the following steps: establishing a secure channel and target virtual machine; the security channel based on access to the target virtual machine data; for the goal of virtual machine data execution for virus detection, detection results; the detection result of the safety control based on virtual machine.

【技术实现步骤摘要】
一种虚拟机安全控制方法、系统及网络设备
本专利技术涉及通信领域的管理技术，尤其涉及一种虚拟机安全控制方法、系统及网络设备。
技术介绍
基础设施云(IAAS)为用户提供了虚拟的计算资源、存储资源和网络资源。这种方式能够更高效、合理的使用资源。与此同时，虚拟资源的安全防护也成为了一个人们关心的焦点。现有的平台级的安全防护有防火墙、安全组。防火墙用于对外部访问的流量进行限制，安全组则侧重与云平台内部虚拟机之间的流量控制。部分防火墙提供了对DDoS攻击的防护、对暴力破解虚拟机用户名/密码进行防护、提供对TCP/IP中应用层上的软件进行应用防护等等。针对虚拟机内部的安全防护，则一般由使用者自己进行保障，使用者会安装防病毒软件、漏洞扫描软件。对于linux虚拟机，用户一般会定期的做系统安全性检查，定期评估风险。对于windows虚拟机，可能会定期使用杀毒软件进行杀毒。有部分方案建立了宿主机与虚拟机之间的通道，通过通道来控制虚拟机，并向虚拟机发送控制指令，比如获得当前所有进程，并得到进程所占用的内存和cpu资源情况。通过对进程所占用的资源情况进行分析，然后发现异常进程，并杀死它，但是通常通道中的数据都是明文且无法形成一个完整的虚拟机安全防护体系。但是，上述现有方案中，云平台提供的安全防护主要是防止外界的非法入侵，防止内部虚拟机之间互相非常入侵。但是对于虚拟机中已有的软件漏洞、已有的木马文件、用户安装和使用的带后门的软件，这种方式就无法起作用。针对上面的问题，一般虚拟机需要用户自行进行安全防护。虚拟机的安全和用户的安全防护意识和水平直接相关。通常用户都会选择安装各种版本厂商的杀毒软件来解决这些问题。这种方式增加了用户使用的负担、消耗大量的计算资源、不便于整个云平台的统一管理。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种虚拟机安全控制方法、系统及网络设备，能至少解决现有技术的上述问题。为达到上述目的，本专利技术的技术方案是这样实现的：本专利技术实施例提供了一种虚拟机安全控制方法，所述方法包括：与目标虚拟机建立安全通道；基于所述安全通道，获取到所述目标虚拟机的数据；针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果；基于所述检测结果对所述目标虚拟机进行安全控制。本专利技术实施例提供了一种虚拟机安全控制方法，应用于网络设备，其中，所述网络设备为至少支持建立以及控制虚拟机的设备；所述方法包括：控制虚拟机与云平台建立安全通道；基于所述安全通道，获取到向所述云平台上传数据，以使得所述云平台针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果；基于所述云平台的所述检测结果对所述虚拟机进行安全控制。本专利技术实施例提供了一种虚拟机安全控制系统，包括：控制模块，用于与目标虚拟机建立安全通道；基于所述安全通道，获取到所述目标虚拟机的数据；基于所述检测结果对所述目标虚拟机进行安全控制；杀毒模块，用于针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果。本专利技术实施例提供了一种网络设备，所述网络设备包括：虚拟机管理模块，用于至少建立并控制虚拟机；所述网络设备还包括：通道建立模块，用于控制虚拟机与云平台建立安全通道；虚拟机代理模块，还用于基于所述安全通道，获取到向所述云平台上传数据；基于所述云平台的所述检测结果对所述虚拟机进行安全控制。本专利技术所提供的虚拟机安全控制方法、系统及网络设备，能通过安全通道获取到虚拟机中的数据，进而利用获取到的虚拟机中的数据进行查毒。从而能够解决虚拟机内部无防护问题，并且不消耗虚拟机内部的计算资源。附图说明图1为本专利技术实施例虚拟机安全控制方法流程示意图一；图2为本专利技术实施例建立安全通道的流程示意图；图3为本专利技术实施例虚拟机安全控制方法流程示意图二；图4为本专利技术实施例虚拟安全控制系统组成结构示意图；图5为本专利技术实施例网络设备组成结构示意图；图6为本专利技术实施例场景示意图。具体实施方式下面结合附图及具体实施例对本专利技术再作进一步详细的说明。实施例一、本专利技术实施例提供了一种虚拟机安全控制方法，如图1所示，包括：步骤101：与目标虚拟机建立安全通道；步骤102：基于所述安全通道，获取到所述目标虚拟机的数据；步骤103：针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果；步骤104：基于所述检测结果对所述目标虚拟机进行安全控制。这里，所述基于所述检测结果对所述目标虚拟机进行安全控制，可以包括：当所述检测结果表征所述目标虚拟机中有病毒程序，则基于所述安全通道针对所述目标虚拟机进行病毒查杀操作；当所述检测结果表征所述目标虚拟机中没有病毒程序，则结束处理流程。其中，所述病毒程序可以为木马、病毒等。也就是说，如果发现了木马、病毒则再次通过安全通道，执行删除木马、病毒的指令。解决了当前对云平台对虚拟机内部无防护的空白，相比于在虚拟机内部安装杀毒软件，本专利技术不消耗虚拟机内部cpu计算资源。优选地，本实施例提供的方法还可以包括：基于所述安全通道向所述目标虚拟机下发更新的补丁，以使得所述目标虚拟机能够基于更新的不停执行安全策略、高危漏洞的修复操作。另外，本实施例还提供了建立安全通道的方法，具体包括：与所述目标虚拟机进行通信密钥协商，以得到与所述目标虚拟机之间的通信密钥；接收到所述目标虚拟机发来的基于所述通信密钥的登录请求，基于所述登录请求对所述目标虚拟机进行验证得到验证结果；若所述验证结果表征所述目标虚拟机为合法虚拟机，则基于所述通信密钥建立与所述目标虚拟机之间的安全通道。优选地，在建立安全通道之后，所述方法还包括：通过所述安全通道，与所述目标虚拟机进行能力协商得到能力协商结果。与其相应的，所述基于所述安全通道针对所述目标虚拟机进行病毒查杀操作还包括：基于所述能力协商结果，确定针对所述目标虚拟机的病毒查杀策略，根据所述病毒查杀策略对所述目标虚拟机进行查杀操作；其中，所述病毒查杀策略至少包括有基于所述目标虚拟机的能力确定的针对所述目标虚拟机的病毒查杀指令集。安全通道是虚拟机与虚拟机所在的宿主机之间建立的一条通信通道，本专利基于KVM虚拟化技术。该通道KVM所提供的unixchannel，在虚拟机配置文件中增加：即可加入一个通道，通过该通道宿主机被控模块可以同虚拟机中的agent模块进行通信，前者向后者发送命令，后者执行命令，并将命令的执行结果返回给前者。下面结合图2介绍本实施例中建立安全通道，即连接初始化的过程：a.秘钥协商：首先控制端向agent发出unixsocketconnection请求，agent收到请求后，首先向控制端发送64位随机码agent_random、公钥agent_public_key。控制端收到后，保存agent随机码、公钥。同时产生控制端的随机码controller_random，将controller_random和agent_random作为参数，计算出rc4的密钥key。同时计算出40位的MessageAuthenticationCode(MAC)的键值mackey。然后通过公钥agent_public_key加密controller_random，将加密后的crypto_controller_random发送给agent。agent通过私钥解密cryptio_controller_random，得到c本文档来自技高网...

【技术保护点】
一种虚拟机安全控制方法，其特征在于，所述方法包括：与目标虚拟机建立安全通道；基于所述安全通道，获取到所述目标虚拟机的数据；针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果；基于所述检测结果对所述目标虚拟机进行安全控制。

【技术特征摘要】
1.一种虚拟机安全控制方法，其特征在于，所述方法包括：与目标虚拟机建立安全通道；基于所述安全通道，获取到所述目标虚拟机的数据；针对所述目标虚拟机的数据执行进行病毒检测，得到检测结果；基于所述检测结果对所述目标虚拟机进行安全控制。2.根据权利要求1所述的方法，其特征在于，所述基于所述检测结果对所述目标虚拟机进行安全控制，包括：当所述检测结果表征所述目标虚拟机中有病毒程序，则基于所述安全通道针对所述目标虚拟机进行病毒查杀操作。3.根据权利要求2所述的方法，其特征在于，所述与目标虚拟机建立安全通道，包括：与所述目标虚拟机进行通信密钥协商，以得到与所述目标虚拟机之间的通信密钥；接收到所述目标虚拟机发来的基于所述通信密钥的登录请求，基于所述登录请求对所述目标虚拟机进行验证得到验证结果；若所述验证结果表征所述目标虚拟机为合法虚拟机，则基于所述通信密钥建立与所述目标虚拟机之间的安全通道。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：通过所述安全通道，与所述目标虚拟机进行能力协商得到能力协商结果；相应的，所述基于所述安全通道针对所述目标虚拟机进行病毒查杀操作，包括：基于所述能力协商结果，确定针对所述目标虚拟机的病毒查杀策略，根据所述病毒查杀策略对所述目标虚拟机进行查杀操作；其中，所述病毒查杀策略至少包括有基于所述目标虚拟机的能力确定的针对所述目标虚拟机的病毒查杀指令集。5.一种虚拟机安全控制方法，应用于网络设备，其中，所述网络设备为至少支持建立以及控制虚拟机的设备；其特征在于，所述方法包括：控制虚拟机与云平台建立安全通道；基于所述安全通道，获取到向所述云平台上传数据，以使得所述云平台针对所述目标虚拟机的数据执行进行病毒检...

【专利技术属性】
技术研发人员：李灏，罗刚毅，曹高晋，刘宽，刘军卫，
申请(专利权)人：中移苏州软件技术有限公司，中国移动通信集团公司，
类型：发明
国别省市：江苏,32