[发明专利]一种宿主机安全防护方法和装置

说明书

技术领域

本发明涉及虚拟化技术领域，特别是指一种宿主机安全防护方法和装置。

背景技术

虚拟化技术可以将一台计算机虚拟为多台逻辑计算机，这样，在一台物理计算机上就可以同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。虚拟化技术使用软件的方式重新划分计算资源，可以实现计算资源的动态分配、灵活调度、跨域共享，提高计算资源利用率，使计算资源能够真正成为社会基础设施，服务于各行各业中灵活多变的应用需求。

目前的虚拟化技术都普遍使用了一种被称为Hypervisor的软件中间层。Hypervisor也叫虚拟机监视器(Virtual Machine Monitor)，是一种运行在物理服务器和操作系统之间的中间层，它可以允许多个操作系统或应用共享一套基础物理硬件，是虚拟环境中的“元”操作系统，负责协调访问服务器上的所有物理设备和虚拟机。Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时，它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘，并加载所有虚拟机的客户操作系统。目前市场上的主流虚拟化产品有VMware公司的vSphere、微软公司的Hyper-V、Citrix公司的XenServer、IBM公司的PowerVM、Red Hat公司的Virtulization、华为公司的FusionSphere，以及开源的KVM、Xen、VirtualBSD等等。

虚拟化技术与云技术的结合就形成了一种基于服务器集群的虚拟化平台，该集群中的每台服务器都是一个宿主机，这种模式很好地实践了IaaS(Infrastructure as a Service，基础设施即服务)的思想。虽然虚拟化技术可以屏蔽不同虚拟机之间的信息传递，但是由于Hypervisor固有的安全漏洞，这种虚拟化平台还是存在着较为严重的安全隐患。一旦入侵者能够访问物理宿主机，入侵者就能够对虚拟机开展各种形式的攻击，如使用特定热键杀死虚拟机进程、监控虚拟机资源使用情况、关闭虚拟机、暴力删除虚拟机或者利用软驱、光驱、USB等窃取虚拟机镜像文件等。

可见，现有技术中，宿主机的安全风险是一个亟待解决的问题。

发明内容

有鉴于此，本发明的目的在于提出一种宿主机安全防护方法和装置，该方法和装置可以提高宿主机的安全状况，及时发现并制止外界对宿主机的安全攻击行为。

基于上述目的，本发明提供的技术方案是：

一种宿主机安全防护方法，其包括以下步骤：

获取宿主机中的虚拟化软件信息，虚拟化软件信息包括虚拟化软件的类型和版本；

根据虚拟化软件信息对宿主机下发相应的安全防护策略；

通过虚拟机监视器监控宿主机中虚拟机所发起的访问动作；

对违反安全防护策略的访问动作进行拦截。

可选地，安全防护策略为安全行为白名单，安全行为白名单包括每个安全行为所对应的行为信息，行为信息包括行为主体、行为客体、行为所涉及的进程、行为所涉及的端口、行为所涉及的服务以及行为所涉及的驱动。

安全白名单具有易于维护、便于升级和实现方式简单的特点，采用白名单的方式判断虚拟化软件的行为是否安全能够保证判断过程简单可靠，从而有效监测非法行为的发生，并及时制止非法行为，充分保障宿主机和虚拟化系统的安全性。

可选地，对违反安全防护策略的访问动作进行拦截的方式为：

确定访问动作的动作信息，动作信息包括访问动作的主体、客体、读写属性、执行属性和控制属性；

根据动作信息得到访问动作的访问信息，访问信息包括该访问动作的主体、客体、所涉及进程、所涉及端口、所涉及服务以及所涉及驱动；

依据访问信息，通过遍历安全行为白名单的方式判断访问动作的合法性；

对不合法的访问动作进行拦截。

容易理解，主体是指动作的发起者，客体是指动作的作用对象，进程、端口、服务以及驱动都可以用编号来表示。此外，所谓读写属性包括“只读”、“只写”、“读写”等三个取值，所谓执行属性和控制属性都只有“可以”和“不可以”两个取值，一般来说，可以将读写属性拆分成“只读”、“只写”、“读写”三个子属性，则“只读”、“只写”、“读写”、“执行属性”、“控制属性”都只有0和1两种取值。