[发明专利]虚拟化安全隔离方法和装置

说明书

本发明提供了一种虚拟化安全隔离方法和装置，其中，所述方法包括：监测虚拟局域网内虚拟机的安全状态信息；判断所述安全状态信息是否存在异常，若是，则生成所述虚拟机对应的安全风险信息；根据预设的安全风险处理方式对所述安全风险信息进行处理，并生成隔离所述虚拟机的访问控制列表配置信息；发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块，所述访问控制列表模块执行所述隔离命令，并根据访问控制列表配置信息对访问控制列表进行配置。上述方法和装置提高了网络安全。

技术领域

本发明涉及计算机安全技术领域，特别涉及一种虚拟化安全隔离方法和装置。

背景技术

虚拟化作为当今热点技术之一，已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。目前的虚拟化安全隔离技术主要是通过划分不同vSwitch(虚拟交换机)网络和在虚拟化软件厂商提供的网络隔离组件(如VMWARE提供的VShield组件)上配置ACL(访问控制列表)实现。

由于虚拟机的安全等级不同，且不同安全等级的虚拟机之间可以相互访问，因而存在虚拟机之间相互攻击的安全隐患，为了消除这种安全隐患，传统的虚拟化安全隔离技术通常在vSwitch上划分多个VLAN(虚拟局域网)，将安全等级相同的虚拟机划分到相同的虚拟局域网内，实现了VLAN之间的安全隔离。

但是VLAN内部的虚拟机之间无法实现安全隔离，当VLAN中的一台虚拟机存在安全风险时，无法阻止安全风险在虚拟局域网内部的扩散。例如，VLAN中包含VM1、VM2和VM3三台虚拟机，若VM1被黑客控制时，黑客会利用VM1扫描VM2和VM3，此时传统的虚拟化安全隔离方法无法阻止VM1的扫描行为。

发明内容

基于此，有必要针对上述技术问题，提供一种实现虚拟局域网内虚拟机之间安全隔离的虚拟化安全隔离方法和装置。

一种虚拟化安全隔离方法，所述方法包括：

监测虚拟局域网内虚拟机的安全状态信息；

判断所述安全状态信息是否存在异常，若是，则生成所述虚拟机对应的安全风险信息；

根据预设的安全风险处理方式对所述安全风险信息进行处理，并生成隔离所述虚拟机的访问控制列表配置信息；

发送携带有所述访问控制列表配置信息的隔离命令至所述虚拟局域网对应的访问控制列表模块，所述访问控制列表模块执行所述隔离命令，并根据访问控制列表配置信息对访问控制列表进行配置。

在其中一个实施例中，所述判断所述安全状态信息是否存在异常的步骤，包括：

获取所述虚拟机发送或接收到的数据包所对应的数据流量；判断所述数据流是否符合预设的行为特征，如数据流量阀值、心跳行为特征等，若是，则虚拟机的安全状态信息存在异常。

在其中一个实施例中，所述判断所述安全状态信息是否存在异常的步骤，还包括：

检测虚拟机内的文件内容；

提取文件内容中用来确定所述文件内容是否存在异常的特征信息；

通过预置安全风险识别库对所述特征信息进行识别，若识别出存在与所述特征信息相匹配的信息，则虚拟机的安全状态信息存在异常。

在其中一个实施例中，所述判断所述安全状态信息是否存在异常的步骤，还包括：

获取虚拟机对资源的占有率；

判断所述资源占用率是否超过预设阈值，若是，则虚拟机的安全状态信息存在异常；和/或，

获取用户对虚拟机的操作行为信息；