[发明专利]一种云计算网络中网络安全的检测方法及装置

说明书

技术领域

本发明涉及云计算领域中的网络安全技术，尤其涉及一种云计算网络中网络安全的检测方法及装置。

背景技术

在云计算技术中，可以借助虚拟化技术实现在同一物理主机上同时运行多个虚拟机，且隶属于同一物理主机的各虚拟机之间的数据包转发不经过物理交换机。也就是说，隶属于同一物理主机的各虚拟机之间的通信流量不受网络中的物理交换机或其它网络设备监控、管理，这样，就会出现某个虚拟机向隶属于同一物理主机的其它虚拟机发起异常流量等内部攻击，进而威胁整个云计算网络的安全。

现有技术中，为防止虚拟机以某种方式向隶属于同一物理主机的其它虚拟机或所隶属的物理主机发起攻击，对虚拟机的通信流量进行了监控。目前，对虚拟机的通信流量进行监控的方法主要包括以下两种：

一、利用虚拟交换机对虚拟机的通信流量进行监控。图1为利用虚拟交换机对虚拟机的通信流量进行监控的设备结构示意图，如图1所示，在云计算虚拟化运行环境中，为了对虚拟机的通信流量进行监控，将传统交换机设备虚拟化为虚拟交换机，虚拟交换机驻留在虚拟机监视器(VMM，Virtual MachineMonitor)中，提供了虚拟机之间、以及虚拟机与外部网络之间的通信能力；VMM为每个虚拟机创建一个虚拟网卡，每个虚拟网卡对应于虚拟交换机的一个逻辑端口，虚拟交换机根据虚拟机的媒体接入控制(MAC，Media Access Control)地址与逻辑端口的对应关系表转发报文到相应的虚拟机，并利用自身的逻辑端口来监控虚拟机的通信流量，从而实现对虚拟机的流量管理。其中，虚拟机、虚拟交换机、虚拟网卡及VMM隶属于同一个物理主机。但是，该方法存在以下缺陷：由于在监控过程中虚拟交换机需要将数据包进行转发，如此，会消耗过多的物理主机的资源，而且不便于灵活实施针对虚拟机的具体的安全策略。

二、利用物理交换机对虚拟机的通信流量进行监控。图2为利用物理交换机对虚拟机的通信流量进行监控的设备结构示意图，如图2所示，在利用物理交换机对虚拟机的通信流量进行监控的方法中，将虚拟机产生的全部通信流量都引出交给与服务器相连的物理交换机进行监控，其中，所示全部通信流量包括：虚拟机与隶属于同一物理主机的其它虚拟主机之间的通信流量、以及虚拟机与所隶属的物理主机的外部设备之间的通信流量。由物理主机外部的物理交换机对虚拟机的通信流量进行监控，不需要消耗物理主机的资源，因此，这种方法可以将与虚拟机相关的通信流量监管、控制策略和管理可扩展性问题得到很好的解决。

从上面的描述中可以看出，在现有技术中，为了防止虚拟机以某种方式向隶属于同一物理主机的其它虚拟机或所隶属的物理主机造成攻击，借助软硬件设备对虚拟机的通信流量进行了引流、监控，进而阻断不符合要求的虚拟机的通信流量，预防恶意的虚拟机通过通信流量对云计算网络构成攻击。

但是，现有技术中，只对虚拟机的通信流量进行了监控、过滤、以及防护，而对于监控过滤规则之外的安全威胁或攻击，却无法及时发现并采取措施，具体包括以下两个方面：

第一，虚拟机自身的安全防护软件或安全配置被恶意卸载或禁用后无法及时发现。虚拟机在创建时会安装配置相应的自身防护机制，一旦恶意用户将相关安全防护软件卸载或禁用，就有可能会造成失去防护的虚拟机感染病毒、木马后去威胁VMM或者其它虚拟机的安全，进而影响整个云计算网络的安全。

第二，正常虚拟机感染病毒、木马或执行某恶意代码后无法及时发现。正常虚拟机无意间被感染病毒、木马或执行某恶意代码后，会引发类似隐蔽信道攻击、虚拟机逃逸或获取物理主机的root权限等安全问题，进而会造成攻击者直接控制VMM，从而威胁整个云计算网络的安全。另外，正常虚拟机被感染病毒、木马或执行某恶意代码后，可能会使虚拟机恶意占用大量系统资源，从而可能会造成隶属于同一物理主机的其它虚拟机无法正常运行。

发明内容

有鉴于此，本发明的主要目的在于提供一种云计算中网络安全的检测方法及装置，能有效地防止具有安全隐患的虚拟机对隶属于同一物理主机的VMM和其它虚拟机、以及整个云计算网络进行攻击。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种云计算网络中网络安全的检测方法，所述方法包括：

虚拟机启动后，检查所述虚拟机当前的安全信息是否被修改，确定被修改后根据修改结果进行相应的修复操作。

上述方案中，所述方法还包括：

在所述虚拟机运行过程中，周期性检查所述虚拟机当前的安全信息是否被修改，确定被修改后根据修改结果进行相应的修复操作。