本发明涉及信息安全技术领域,尤其是一种虚拟平台网络隔离下保护虚拟机安全的方法及系统。
背景技术:
目前,主流的虚拟化厂商都采用qemu(quickemulator,快速仿真器,一种软件模拟的虚拟化技术)技术把硬件设备虚拟化,将数据中心的服务器、存储、网络等资源形成一个巨大的资源池,管理者通过虚拟化管理平台可动态监控、调度部署其中资源,并通过网络提供给用户,提高了数据中心资源的使用率,降低了管理的复杂度。为了保证管理平台的数据安全问题,虚拟化厂商通常采用vlan(virtuallocalareanetwork,虚拟局域网)方式,把数据中心的管理网和业务网进行网络隔离。管理网是指虚拟化管理平台中进行计算、存储和网络资源进行管理的网络。业务网是指虚拟机中承载业务的网络。这种管理网和业务网进行vlan网络隔离的方式,能够有效阻止虚拟化数据中心的管理网(虚拟化管理平台)遭受来自业务网(虚拟机中)的攻击。在考虑数据安全场景时,虚拟数据中心通常采用管理网和业务网进行vlan隔离进行网络实施。但是同样也带来问题:虚拟化管理平台无法通过管理网络集中监控该平台下的虚拟机安全状态。
在管理网和业务网进行vlan网络隔离时,虚拟机下常规的安全杀毒软件、系统加固软件要么进行单一虚拟机节点的保护,要么只能在业务网内进行虚拟机安全的管理(管理平台所在的管理网与虚拟机所在的业务网网络隔离)。这两种方法都无法通过管理网中的虚拟化管理平台进行虚拟机安全管理。因此,普通的保护虚拟机方法,在管理网和业务网进行vlan网络隔离时,虚拟化管理平台无法集中的对虚拟机的安全状态进行统一化的管理,为虚拟及的安全造成重大隐患。
技术实现要素:
本发明提供了一种虚拟平台网络隔离下保护虚拟机安全的方法及系统,用于解决现有在管理网和业务网进行网络隔离时,虚拟化管理平台无法对虚拟机的安全进行管理的问题。
为实现上述目的,本发明采用下述技术方案:
本发明第一方面提供了一种虚拟平台网络隔离下保护虚拟机安全的方法,所述方法包括以下步骤:
获取在线威胁情报列表,形成威胁情报库;
虚拟机在接收到qga监听模块下发的进程收集指令后,通过qemu-ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给qga监听模块;
查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;
安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。
进一步地,所述威胁情报库内的数据包括威胁情报来源、威胁情报获取时间、威胁对象名称、对象特征值和威胁对象描述。
进一步地,所述qga监听模块基于监控策略下发进程指令,所述监控策略包括手动触发收集和周期性收集;
若为手动触发收集,则qga监听模块立即发送指令至qemu-ga模块;
若为周期性收集,则qga模块检测当前是否到周期检测时间,如果是,则发送指令至qemu-ga模块,如果否,则等待下一个周期时间。
进一步地,所述查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中的具体过程为:
进行进程遍历,查看每个进程对应进程文件的哈希值是否威胁情报数据库中;
若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同,则继续遍历下一个进程;
若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同,则将该进程信息添加至虚拟机漏洞信息表中,然后继续遍历下一个进程。
进一步地,所述虚拟机漏洞信息表中的数据包括威胁对象名称、威胁情报获取来源、威胁情报获取时间、进程名称、进程哈希值、进程所在虚拟机ip、进程所在虚拟机uuid、虚拟机所在宿主机ip和虚拟机所在宿主机uuid。
本发明第二方面提供了一种虚拟平台网络隔离下保护虚拟机安全的系统,包括虚拟化管理平台和虚拟机,所述系统还包括虚拟机信息监控部件、虚拟机安全管理部件和安全管理中心部件;
所述虚拟机信息监控部件包括相互通信的qga监听模块和qemu-ga模块,所述qga监听模块,向qemu-ga模块下发进程收集指令,所述qemu-ga模块基于所述指令,进行虚拟机当前运行进程信息的收集,形成进程列表,并计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给qga监听模块;
所述虚拟机安全管理部件获取所述哈希值,并查看所述哈希值是否存在于威胁情报库中,若存在,则将进程信息添加至虚拟机漏洞信息表中;
所述安全管理中心部件根据所述虚拟机漏洞信息表,进行告警提示。
进一步地,所述虚拟机信息监控部件还包括监控策略管理模块,所述监控策略管理模块用于将监控策略下发给所述qga监听模块。
进一步地,所述虚拟机安全管理部件还包括:
威胁情报获取模块,通过在线情报工具抓取在线威胁情报,形成在线威胁情报列表;
威胁情报处理模块,将所述在线威胁情报列表进行归一化处理,形成统一的数据格式,将归一化后的数据导入威胁情报库。
本发明第二方面的所述虚拟平台网络隔离下保护虚拟机安全的系统能够实现第一方面及第一方面的各实现方式中的方法,并取得相同的效果。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明通过qga监听模块和qemu-ga模块,形成虚拟化管理平台与虚拟机的数据交互,通过qemu-ga模块收集虚拟机端的运行进程信息,对进程文件进行哈希运算,并将哈希值返回给qga监听模块,这样虚拟化管理平台即可获取到虚拟机的每个进程文件的哈希值,从而进行安全管理,保证了虚拟机的信息安全。且整个过程不依赖网络,对现有管理网和业务网的vlan网络隔离不造成任何影响。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明所述方法的流程示意图;
图2是本发明所述方法步骤s1的流程示意图;
图3是本发明所述方法中qga监听模块针对不同监控策略的操作流程示意图;
图4是本发明所述方法中虚拟机安全扫描流程示意图;
图5是本发明所述系统的结构示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,本发明虚拟平台网络隔离下保护虚拟机安全的方法包括以下步骤:
s1,获取在线威胁情报列表,形成威胁情报库;
s2,虚拟机在接收到qga监听模块下发的进程收集指令后,通过qemu-ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给qga监听模块;
s2,查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;
s4,安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。
如图2所示,步骤s1的具体实现过程为:s11,通过在线威胁情报工具住区在线威胁情报,形成在线威胁情报列表;s12,将抓取的在线威胁情报列表进行归一化处理,形成统一的数据格式;s13,将归一化后的数据导入威胁情报库,供后续检测虚拟机内进程是否为病毒或木马所用。
威胁情报库内的数据包括威胁情报来源、威胁情报获取时间、威胁对象名称、对象特征值和威胁对象描述。
如图3所示,步骤s2中qga监听模块基于监控策略下发进程指令,qga监听模块对于接收到的策略,首先进行参数解析,判断监控策略为手动触发收集还是周期性收集。其中策略的选取参数通过标志位区分,若标志位为0,则为周期性收集,检测周期为s;若标志位为1,则为手动触发收集。
若为手动触发收集,则qga监听模块立即发送指令至qemu-ga模块,等待qemu-ga模块的返回消息;
若为周期性收集,则qga模块检测当前是否到周期检测时间,如果是,则发送指令至qemu-ga模块,如果否,则等待下一个周期时间。或者按照图3所示,先等待s时长,判断周期等待时间是否已到,若否,则继续等待,若是,则发送指令至qemu-ga模块,等待qemu-ga模块的返回消息。
如图4所示,qemu-ga模块接收到进程收集指令后,获取当前运行的进行列表,计算进程对应文件的哈希值:sha256值,并构建返回消息给qga监听模块,qga监听模块将返回的哈希值传送给虚拟机安全管理部件,在虚拟化管理平台内进行漏洞检测。
步骤s3中,虚拟化管理平台中进行进程和哈希值遍历,查看每个进程对应进程文件的哈希值是否威胁情报数据库中;若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同,则继续遍历下一个进程;若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同,则将该进程信息添加至虚拟机漏洞信息表中,然后继续遍历下一个进程,直至遍历结束。判断虚拟机漏洞信息表是否为空,若否,说明有虚拟机中存在进程隐私病毒或木马,则将将该虚拟机漏洞信息表发送给安全管理中心,安全管理中心以列表形式将漏洞信息表中的信息展示出来,并邮件提醒管理员。
虚拟机漏洞信息表中的数据包括威胁对象名称、威胁情报获取来源、威胁情报获取时间、进程名称、进程哈希值、进程所在虚拟机ip、进程所在虚拟机uuid、虚拟机所在宿主机ip和虚拟机所在宿主机uuid。
如图5所示,本发明虚拟平台网络隔离下保护虚拟机安全的系统,包括虚拟化管理平台、虚拟机、虚拟机信息监控部件、虚拟机安全管理部件和安全管理中心部件。
所述虚拟机信息监控部件在宿主机上通过qga技术监控虚拟机的运行进程列表。虚拟机信息监控部件包括相互通信的qga监听模块和qemu-ga模块,qga监听模块向qemu-ga模块下发进程收集指令;qemu-ga模块基于指令,进行虚拟机当前运行进程信息的收集,形成进程列表,并计算进程列表中每个进程文件的哈希值,并将哈希值返回给qga监听模块。
虚拟机安全管理部件获取哈希值,并查看所述哈希值是否存在于威胁情报库中,若存在,则将进程信息添加至虚拟机漏洞信息表中。
安全管理中心部件根据所述虚拟机漏洞信息表,进行告警提示。
虚拟机信息监控部件还包括监控策略管理模块,所述监控策略管理模块用于将监控策略下发给所述qga监听模块。
虚拟机安全管理部件还包括威胁情报获取模块、威胁情报处理模块和策略制定模块。
威胁情报获取模块通过在线情报工具抓取在线威胁情报,形成在线威胁情报列表;威胁情报处理模块将所述在线威胁情报列表进行归一化处理,形成统一的数据格式,将归一化后的数据导入威胁情报库。
策略制定模块负责制定虚拟机收集进程信息的策略。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
1.一种虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述方法包括以下步骤:
获取在线威胁情报列表,形成威胁情报库;
虚拟机在接收到qga监听模块下发的进程收集指令后,通过qemu-ga模块进行虚拟机当前运行进程信息的收集,形成进程列表,计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给qga监听模块;
查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中;
安全管理中心根据所述虚拟机漏洞信息表,进行告警提示。
2.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述威胁情报库内的数据包括威胁情报来源、威胁情报获取时间、威胁对象名称、对象特征值和威胁对象描述。
3.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述qga监听模块基于监控策略下发进程指令,所述监控策略包括手动触发收集和周期性收集;
若为手动触发收集,则qga监听模块立即发送指令至qemu-ga模块;
若为周期性收集,则qga模块检测当前是否到周期检测时间,如果是,则发送指令至qemu-ga模块,如果否,则等待下一个周期时间。
4.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述查看所述哈希值是否存在于所述威胁情报库中,若存在,则将该进程信息添加至虚拟机漏洞信息表中的具体过程为:
进行进程遍历,查看每个进程对应进程文件的哈希值是否威胁情报数据库中;
若当前进程文件哈希值与威胁情报库中所有威胁情报特征值都不同,则继续遍历下一个进程;
若当前进程文件哈希值与威胁情报数据库中的一个威胁情报特征值相同,则将该进程信息添加至虚拟机漏洞信息表中,然后继续遍历下一个进程。
5.根据权利要求1所述虚拟平台网络隔离下保护虚拟机安全的方法,其特征是,所述虚拟机漏洞信息表中的数据包括威胁对象名称、威胁情报获取来源、威胁情报获取时间、进程名称、进程哈希值、进程所在虚拟机ip、进程所在虚拟机uuid、虚拟机所在宿主机ip和虚拟机所在宿主机uuid。
6.一种虚拟平台网络隔离下保护虚拟机安全的系统,包括虚拟化管理平台和虚拟机,其特征是,所述系统还包括虚拟机信息监控部件、虚拟机安全管理部件和安全管理中心部件;
所述虚拟机信息监控部件包括相互通信的qga监听模块和qemu-ga模块,所述qga监听模块,向qemu-ga模块下发进程收集指令,所述qemu-ga模块基于所述指令,进行虚拟机当前运行进程信息的收集,形成进程列表,并计算所述进程列表中每个进程文件的哈希值,并将哈希值返回给qga监听模块;
所述虚拟机安全管理部件获取所述哈希值,并查看所述哈希值是否存在于威胁情报库中,若存在,则将进程信息添加至虚拟机漏洞信息表中;
所述安全管理中心部件根据所述虚拟机漏洞信息表,进行告警提示。
7.根据权利要求6所述虚拟平台网络隔离下保护虚拟机安全的系统,其特征是,所述虚拟机信息监控部件还包括监控策略管理模块,所述监控策略管理模块用于将监控策略下发给所述qga监听模块。
8.根据权利要求6所述虚拟平台网络隔离下保护虚拟机安全的系统,其特征是,所述虚拟机安全管理部件还包括:
威胁情报获取模块,通过在线情报工具抓取在线威胁情报,形成在线威胁情报列表;
威胁情报处理模块,将所述在线威胁情报列表进行归一化处理,形成统一的数据格式,将归一化后的数据导入威胁情报库。
技术总结