本发明专利技术属于云计算的技术领域,具体涉及一种虚拟机文件系统域外安全检测方法,包括步骤一、部署于各物理节点,在虚拟机外部轮询扫描虚拟机磁盘镜像,获取脏文件信息并进行安全检测;步骤二、在扫描过程中,采用数据层来判断虚拟机磁盘镜像中的文件是否完整;步骤三、扫描和分析虚拟机镜像,当用户利用管理层配置虚拟机中被保护文件时,记录被保护文件的哈希值和副本。本发明专利技术通过仅检测轮询间隔之中的脏文件,降低每次轮询扫描的文件量,提升轮询扫描的性能。的性能。的性能。
【技术实现步骤摘要】
一种虚拟机文件系统域外安全检测方法
[0001]本专利技术属于云计算的
,具体涉及一种虚拟机文件系统域外安全检测方法。
技术介绍
[0002]虚拟机文件安全是可控云的重要部分。很多攻击是通过越权访问和篡改虚拟机中文件实现的。攻击者可能通过篡改或替换虚拟机中用于WEB服务的网页文件从而部署钓鱼网站、窃取用户数据;或者篡改虚拟机中的配置文件导致相关程序运行异常。因此,广泛地检测虚拟机中文件的完整性、发现恶意文件对虚拟机安全十分重要。
[0003]监控程序可以在虚拟机内部或虚拟机外部进行文件检测与监控。虚拟机内部监控是一种传统的监控方式,监控程序通常是虚拟机中运行的客户端或内核模块,读取虚拟机文件信息或者拦截文件访问相关的事件。在获取文件信息或事件后,监控程序可能在虚拟机内部进行安全检测,也可能将信息传输到域外的安全分析软件。由于信息采集程序运行于虚拟机内部,可能被攻击者探测甚至被攻破,面临着安全威胁。
[0004]在虚拟机外部监控和检测虚拟机文件具备更高的安全性和透明性,也是云环境下最优的监控方式。外部监控可以分为实时监控和轮询检测两类方式。实时监控一般通过拦截虚拟机中的文件相关系统调用或相关事件,实时获取虚拟机对文件的访问。然而频繁拦截虚拟机中的事件会严重干扰虚拟机的正常运行,造成虚拟机性能剧烈下降,难以用于商业云计算环境中。轮询式检测通过在虚拟机外部周期性扫描虚拟机中文件,判断是否发生文件篡改或存在恶意文件。
[0005]由于轮询式检测不会干预虚拟机的运行,通常被云计算厂商用于保护虚拟机中大量的文件。然而,由于虚拟机中文件数量众多,且云计算中心往往运行大量的虚拟机,轮询式检测中每次轮询所需扫描的文件数量很大,而且扫描周期往往较长。轮询检测系统每次扫描都需要扫描全部文件,即使文件在两次轮询之间没有被修改,也会被再次扫描,造成了计算资源的浪费。
技术实现思路
[0006]本专利技术的目的在于:针对现有技术的不足,提供一种虚拟机文件系统域外安全检测方法,通过仅检测轮询间隔之中的脏文件,降低每次轮询扫描的文件量,提升轮询扫描的性能。
[0007]为了实现上述目的,本专利技术采用如下技术方案:
[0008]一种虚拟机文件系统域外安全检测方法,包括:
[0009]步骤一、部署于各物理节点,在虚拟机外部轮询扫描虚拟机磁盘镜像,获取脏文件信息并进行安全检测;
[0010]步骤二、在扫描过程中,采用数据层来判断虚拟机磁盘镜像中的文件是否完整;
[0011]步骤三、扫描和分析虚拟机镜像,当用户利用管理层配置虚拟机中被保护文件时,
记录被保护文件的哈希值和副本。
[0012]优选的,通过应用层,为用户提供了管理和告警工具平台,用户采用数据层中的备份来恢复被篡改的文件。
[0013]优选的,所述数据层和所述应用层部署于中央的服务器中。
[0014]优选的,所述虚拟机包括至少两个镜像,其中一个所述镜像为基础镜像,另一个所述镜像为增量镜像。
[0015]优选的,所述步骤一中,通过分析增量镜像,还原出增量镜像所记录的脏文件。
[0016]优选的,所述基础镜像为虚拟机初始化时的文件系统,增量镜像存储目前虚拟机对基础镜像的修改。
[0017]本专利技术的有益效果在于,本专利技术包括步骤一、部署于各物理节点,在虚拟机外部轮询扫描虚拟机磁盘镜像,获取脏文件信息并进行安全检测;步骤二、在扫描过程中,采用数据层来判断虚拟机磁盘镜像中的文件是否完整;步骤三、扫描和分析虚拟机镜像,当用户利用管理层配置虚拟机中被保护文件时,记录被保护文件的哈希值和副本。本专利技术通过仅检测轮询间隔之中的脏文件,即新增或修改的文件,降低每次轮询扫描的文件量。由于每次轮询时文件检测的范围从全部文件缩小为脏文件,能够有效地提升轮询扫描的性能。
附图说明
[0018]下面将参考附图来描述本专利技术示例性实施方式的特征、优点和技术效果。
[0019]图1为本专利技术的轮询文件扫描的架构图。
[0020]图2为本专利技术的基于后端驱动的虚拟机文件扫描的架构图。
具体实施方式
[0021]如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接受的误差范围内,本领域技术人员能够在一定误差范围内解决技术问题,基本达到技术效果。
[0022]此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。
[0023]在专利技术中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。
[0024]以下结合附图1~2对本专利技术作进一步详细说明,但不作为对本专利技术的限定。
[0025]虚拟机文件系统域外安全检测方法,包括:
[0026]步骤一、部署于各物理节点,在虚拟机外部轮询扫描虚拟机磁盘镜像,获取脏文件信息并进行安全检测;
[0027]步骤二、在扫描过程中,采用数据层来判断虚拟机磁盘镜像中的文件是否完整;
[0028]步骤三、扫描和分析虚拟机镜像,当用户利用管理层配置虚拟机中被保护文件时,记录被保护文件的哈希值和副本。
[0029]在根据本专利技术的虚拟机文件系统域外安全检测方法中,步骤一中,通过监控层部署于各物理节点。
[0030]在根据本专利技术的虚拟机文件系统域外安全检测方法中,通过应用层,为用户提供了管理和告警工具平台,用户采用数据层中的备份来恢复被篡改的文件。
[0031]在根据本专利技术的虚拟机文件系统域外安全检测方法中,数据层和应用层部署于中央的服务器中。
[0032]在根据本专利技术的虚拟机文件系统域外安全检测方法中,虚拟机包括至少两个镜像,其中一个镜像为基础镜像,另一个镜像为增量镜像。
[0033]在根据本专利技术的虚拟机文件系统域外安全检测方法中,步骤一中,通过分析增量镜像,还原出增量镜像所记录的脏文件。
[0034]在根据本专利技术的虚拟机文件系统域外安全检测方法中,基础镜像为虚拟机初始化时的文件系统,增量镜像存储目前虚拟机对基础镜像的修改。
[0035]本专利技术针对不同种类的虚拟机镜像,采用两种脏文件检测技术。针对单镜像的虚拟机,本专利技术基于后端驱动的脏数据提取在域外修改了虚拟机磁盘后端驱动,记录虚拟机在轮询间隔中对磁盘的修改。扫描程序在每次扫描前可以通过磁盘修改信息还原脏文件;针对多镜像虚拟机,本专利技术基于增量镜像的脏文件提取,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种虚拟机文件系统域外安全检测方法,其特征在于,包括:步骤一、部署于各物理节点,在虚拟机外部轮询扫描虚拟机磁盘镜像,获取脏文件信息并进行安全检测;步骤二、在扫描过程中,采用数据层来判断虚拟机磁盘镜像中的文件是否完整;步骤三、扫描和分析虚拟机镜像,当用户利用管理层配置虚拟机中被保护文件时,记录被保护文件的哈希值和副本。2.如权利要求1所述的一种虚拟机文件系统域外安全检测方法,其特征在于:所述步骤一中,通过监控层部署于各物理节点。3.如权利要求1所述的一种虚拟机文件系统域外安全检测方法,其特征在于:通过应用层,为用户提供了管理和告警工具平台,用户采用数据层中的备份来恢复...
【专利技术属性】
技术研发人员:余翔湛,詹东阳,叶麟,郭新凯,张宇,刘立坤,于海宁,方滨兴,
申请(专利权)人:电子科技大学广东电子信息工程研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。