一种虚拟化安全监控方法和系统与流程

本发明涉及虚拟化技术领域，特别是涉及一种虚拟化安全监控方法和系统。

背景技术：

随着虚拟化技术的发展，云计算的前景已毋庸置疑。但当前用户在考虑应用云计算服务时还存在很多的疑虑，其中，安全问题占据着所有担心要素的首位。国内外很多的云计算数据中心都遭受过黑客和病毒的攻击，出现过断网的情况，很多在线服务出现宕机时间，影响了大量的用户。

云安全技术多集中在虚拟化方面，虚拟化时云计算的支撑技术，它实现了各种资源的逻辑抽象和统一表示，用以支持云计算中心根据用户业务需求的变化，快速、灵活、弹性地调用，响应用户的应用请求并提供服务，提高资源的利用率。然而，虚拟化的结果使得许多传统的安全防护手段面临着新的挑战甚至失效。虚拟化环境下计算、存储、网络结构、服务提供模式等的改变，带来了应用进程间的相互影响更加难以监测和跟踪，数据的隔离与访问控制管理更加复杂，传统的分区域界线模糊，对使用者身份、权限和行为的鉴别、控制与审计变得更为更要等一系列问题，对安全提出了更高的要求。

技术实现要素：

本发明的目的是提供一种虚拟化安全监控方法和系统，可以既保证虚拟化环境中来宾虚拟机的服务，又能保证虚拟化的安全监测和跟踪。

为解决上述技术问题，本发明提供了如下技术方案：

一种虚拟化安全监控方法，包括：

建立一个异于特权域管理虚拟机的驱动代理虚拟机；

通过所述驱动代理虚拟机获取虚拟化平台中来宾域的虚拟机的通信数据包；

通过所述驱动代理虚拟机对所述通信数据包进行安全检测；

在检测到所述通信数据包安全时，根据所述通信数据包中包含的硬件请求，访问对应的硬件资源。

优选地，所述在检测到所述通信数据包安全时，根据所述通信数据包中包含的硬件请求，访问对应的硬件资源，包括：

在检测到所述通信数据包安全时，向所述虚拟化平台的所述特权域管理虚拟机发送所述通信数据包；

通过所述特权域管理虚拟机解析所述所述通信数据包，获取所述硬件请求；

根据所述特权域管理虚拟机的对应控制信号和所述硬件请求，访问对应的硬件资源。

一种虚拟化安全监控系统，包括：

客户端虚拟机，用于响应用户的操作，发出服务请求；

服务端虚拟机，用于响应所述服务请求，根据虚拟化平台中的硬件资源为所述客户端虚拟机进行服务响应；

驱动代理虚拟机，用于获取虚拟化平台中来宾域的所述客户端虚拟机和所述服务端虚拟机的通信数据包，并对所述通信数据包进行安全检测，并在检测到所述通信数据包安全时，根据所述通信数据包中包含的硬件请求，访问对应的硬件资源。

优选地，所述驱动代理虚拟机包括：

第一网络后端，用于与所述客户端虚拟机的网络前端连接；

第二网络后端，用于与所述服务端虚拟机的网络前端连接；

第一虚拟交换机，用于获取虚拟化平台中来宾域的所述客户端虚拟机和所述服务端虚拟机的通信数据包，并对所述通信数据包进行安全检测，并在检测到该通信数据包安全时，根据所述通信数据包中包含的硬件请求，访问对应的硬件资源；

第一PCI驱动，用于连接所述第一虚拟交换机和外界的硬件设备，以供所述第一虚拟交换机访问对应的硬件资源。

优选地，还包括：特权域管理虚拟机，与所述驱动代理虚拟机连接，用于在所述驱动代理虚拟机检测到所述通信数据包安全时，获取并解析所述通信数据包，以获取所述硬件请求，响应用户的操作生成相应的控制信号，并根据所述硬件请求，访问对应的硬件资源。

优选地，所述特权域管理虚拟机包括：特权域网络端，用于与所述驱动代理虚拟机连接；特权域虚交换机，用于执行网络管理，控制对硬件资源的访问；第二PCI驱动，用于连接所述特权域虚拟交换机和外界的硬件设备，以供所述特权域虚拟交换机访问对应的硬件资源；

其中，所述驱动代理虚拟机包括：第一网络后端，用于与所述客户端虚拟机的网络前端连接；第二网络后端，用于与所述服务端虚拟机的网络前端连接；第一虚拟交换机，用于获取虚拟化平台中来宾域的所述客户端虚拟机和所述服务端虚拟机的通信数据包，并对所述通信数据包进行安全检测，并在检测到该通信数据包安全时，根据所述通信数据包中包含的硬件请求，访问对应的硬件资源；第三网络后端，用于与所述特权域网络端连接进行数据交互。

与现有技术相比，上述技术方案具有以下优点：

本发明所提供的一种虚拟化安全监控方法，包括：建立一个异于特权域管理虚拟机的驱动代理虚拟机；通过驱动代理虚拟机获取虚拟化平台中来宾域的虚拟机的通信数据包；通过驱动代理虚拟机对通信数据包进行安全检测；在检测到通信数据包安全时，根据通信数据包中包含的硬件请求，访问对应的硬件资源。在虚拟化环境中的驱动代理虚拟机作为公共的安全监视器，当来宾域中的虚拟机进行通信时，通信数据必须穿过驱动代理虚拟机，由驱动代理虚拟机对通信数据包进行安全检查，以确定它们是否是恶意的数据，当确定数据安全时，控制为来宾域的虚拟机进行服务，既保证了虚拟化环境中来宾虚拟机的服务，又能保证虚拟化的安全监测和跟踪。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种具体实施方式所提供的虚拟化安全监控方法流程图；

图2为本发明一种具体实施方式所提供的虚拟化安全监控系统结构示意图；

图3为本发明另一种具体实施方式所提供的虚拟化安全监控系统结构示意图；

图4为本发明又一种具体实施方式所提供的虚拟化安全监控系统结构示意图。

具体实施方式

本发明的核心是提供一种虚拟化安全监控方法和系统，可以既保证虚拟化环境中来宾虚拟机的服务，又能保证虚拟化的安全监测和跟踪。

为了使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施的限制。

请参考图1，图1为本发明一种具体实施方式所提供的虚拟化安全监控方法流程图。

本发明的一种具体实施方式提供了一种虚拟化安全监控方法，包括：

S11：建立一个异于特权域管理虚拟机的驱动代理虚拟机。

S12：通过驱动代理虚拟机获取虚拟化平台中来宾域的虚拟机的通信数据包。

S13：通过驱动代理虚拟机对通信数据包进行安全检测。

S14：在检测到通信数据包安全时，根据通信数据包中包含的硬件请求，访问对应的硬件资源。

在本实施方式中，在虚拟化环境中的驱动代理虚拟机作为公共的安全监视器，当来宾域中的虚拟机进行通信时，通信数据必须穿过驱动代理虚拟机，由驱动代理虚拟机对通信数据包进行安全检查，以确定它们是否是恶意的数据，当确定数据安全时，控制为来宾域的虚拟机进行服务，驱动代理虚拟机监测网络流量本身，而无需额外的传递机制，安全开发可以专注于虚拟化环境的一个来宾虚拟机，既保证了虚拟化环境中来宾虚拟机的服务，又能保证虚拟化的安全监测和跟踪。

在本发明的一种实施方式中，在检测到通信数据包安全时，根据通信数据包中包含的硬件请求，访问对应的硬件资源，包括：在检测到通信数据包安全时，向虚拟化平台的特权域管理虚拟机发送通信数据包；通过特权域管理虚拟机解析通信数据包，获取硬件请求；根据特权域管理虚拟机的对应控制信号和硬件请求，访问对应的硬件资源。

在本实施方式中，当特权域需要和外界进行必要的沟通时，可以将特权域管理虚拟机和驱动代理虚拟机进行连接，此时，硬件资源设备由特权域进行控制。一个专用的网络设备，如网卡被分配给特权域，因此，来宾域的客户端虚拟机和服务端虚拟机之间的任何网络通信仍然必须穿过驱动代理虚拟机，通信数据可以被截取、过滤或阻塞。

请参考图2，图2为本发明一种具体实施方式所提供的虚拟化安全监控系统结构示意图。

相应地，本发明一种实施方式还提供了一种虚拟化安全监控系统，包括：客户端虚拟机21，用于响应用户的操作，发出服务请求；服务端虚拟机22，用于响应服务请求，根据虚拟化平台中的硬件资源为客户端虚拟机进行服务响应；驱动代理虚拟机23，用于获取虚拟化平台中来宾域的客户端虚拟机和服务端虚拟机的通信数据包，并对通信数据包进行安全检测，并在检测到通信数据包安全时，根据通信数据包中包含的硬件请求，访问对应的硬件资源。

在本实施方式中，客户端虚拟机和服务端虚拟机进行通信时，向驱动代理虚拟机发送通信数据，驱动代理虚拟机通过自身的数据包检查代理进行检查，确定该通信数据是否是恶意的数据包，然后数据包检查代理将检查结果反馈给驱动代理虚拟机中的虚拟交换机，返回结果是安全的，将安全的数据包发送至服务端虚拟机，由服务端虚拟机提供服务。在虚拟化环境中的驱动代理虚拟机作为公共的安全监视器，当来宾域中的虚拟机进行通信时，通信数据必须穿过驱动代理虚拟机，由驱动代理虚拟机对通信数据包进行安全检查，以确定它们是否是恶意的数据，当确定数据安全时，控制为来宾域的虚拟机进行服务，驱动代理虚拟机监测网络流量本身，而无需额外的传递机制，安全开发可以专注于虚拟化环境的一个来宾虚拟机，既保证了虚拟化环境中来宾虚拟机的服务，又能保证虚拟化的安全监测和跟踪。

请参考图3，图3为本发明另一种具体实施方式所提供的虚拟化安全监控系统结构示意图。

在本发明的一种实施方式中，驱动代理虚拟机23包括：第一网络后端231，用于与客户端虚拟机21的网络前端连接；第二网络后端232，用于与服务端虚拟机22的网络前端连接；第一虚拟交换机233，用于获取虚拟化平台中来宾域的客户端虚拟机21和服务端虚拟机22的通信数据包，并对通信数据包进行安全检测，并在检测到该通信数据包安全时，根据通信数据包中包含的硬件请求，访问对应的硬件资源；第一PCI驱动234，用于连接第一虚拟交换机233和外界的硬件设备，以供第一虚拟交换机233访问对应的硬件资源。

在本实施方式中，驱动代理虚拟机通过第一PCI驱动与外界的硬件PCI设备进行通信，如和网卡进行通信。其中，驱动代理虚拟机用来执行网络服务控制的功能，因此，客户端和服务端之间的任何网络通信必须经过驱动代理虚拟机，通过驱动代理虚拟机即可截取、过滤或阻塞客户端和服务端之间的网络通信。这样，当特权域需要和外界进行沟通时，特权域的特权管理虚拟机将提供特权域通信的服务，特权域使用一个单独的管理端口，由于特权域并不直接接收客户端和服务端之间的通信数据，因此不受这两者通信数据的影响，其管理端口是安全的，特权域的管理网络不会与客户端以及服务端的虚拟机流量使用的网卡相互干扰，如有恶意流量在VM网络之间通信或网络太忙，特权域的管理网络操作不受影响。大大提高了其安全性。

请参考图4，图4为本发明又一种具体实施方式所提供的虚拟化安全监控系统结构示意图。

在本发明的另一种实施方式中，虚拟化安全监控系统还包括：特权域管理虚拟机24，与驱动代理虚拟机23连接，用于在驱动代理虚拟机23检测到通信数据包安全时，获取并解析通信数据包，以获取硬件请求，响应用户的操作生成相应的控制信号，并根据硬件请求，访问对应的硬件资源。

其中，特权域管理虚拟机24包括：特权域网络端241，用于与驱动代理虚拟机23连接；特权域虚交换机242，用于执行网络管理，控制对硬件资源的访问；第二PCI驱动243，用于连接特权域虚拟交换机和外界的硬件设备，以供特权域虚拟交换机访问对应的硬件资源；

其中，驱动代理虚拟机23包括：第一网络后端231，用于与客户端虚拟机的网络前端连接；第二网络后端232，用于与服务端虚拟机的网络前端连接；第一虚拟交换机233，用于获取虚拟化平台中来宾域的客户端虚拟机和服务端虚拟机的通信数据包，并对通信数据包进行安全检测，并在检测到该通信数据包安全时，根据通信数据包中包含的硬件请求，访问对应的硬件资源；第三网络后端234，用于与特权域网络端连接进行数据交互。

在本实施方式中，与上一实施方式不同的是，特权域的特权域管理虚拟机和驱动代理虚拟机是相互连接的。在本实施方式中，硬件设备由特权域进行控制，一个专用的网络设备，如网络，被分配给特权域，但是，客户端和服务端之间的任何通信数据仍然必须穿过驱动代理虚拟机，被驱动的代理虚拟机进行截取、过滤或阻塞，于是特权域仍不会受到恶意流量的干扰。

综上所述，本发明所提供的虚拟化安全监控方法和系统，在虚拟化环境中的驱动代理虚拟机作为公共的安全监视器，当来宾域中的虚拟机进行通信时，通信数据必须穿过驱动代理虚拟机，由驱动代理虚拟机对通信数据包进行安全检查，以确定它们是否是恶意的数据，当确定数据安全时，控制为来宾域的虚拟机进行服务，既保证了虚拟化环境中来宾虚拟机的服务，又能保证虚拟化的安全监测和跟踪。

以上对本发明所提供的一种虚拟化安全监控方法和系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。