[发明专利]基于虚拟化环境下的安全防护方法及系统和物理主机

说明书

技术领域

本发明涉及虚拟化技术领域，特别是涉及基于虚拟化环境下的安全防护方法及系统和物理主机。

背景技术

随着硬件虚拟化技术的广泛应用，在一台物理主机上可以同时运行多个操作系统，操作系统之间相互隔离，使得对硬件设施的管理更加有效、灵活和节约。例如：可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上，从而达到资源的合理分配；又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上，并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题，在虚拟化的部署过程中也会面临。

为了解决虚拟化环境下虚拟机安全的问题，传统的解决办法如图1所示，需要在每台物理主机上的各个虚拟机中部署一套安全防护软件，从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品，会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用，可采用一种轻代理的方式，轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理，虚拟机中只保留最低限度的安全引擎服务数据。但将安全防护软件中的数据移到云端服务器，虚拟机在进行安全引擎时，需要占用一定的网络带宽并对网络环境的响应速度有一定的要求，这样如果无网络或网络环境比较差时，安全防护软件将不能很好地对虚拟机起到防护作用。

发明内容

基于此，有必要针对传统在同一物理主机的多个虚拟机中重复部署安全防护软件造成的资源占用及为了减轻对资源的占用将安全防护软件的数据移到云端服务器对网络环境要求较高的问题，提供一种基于虚拟化环境下的安全防护方法及系统和物理主机，不仅能减轻对计算资源或存储资源的占用，还对网络环境无要求。

为达到发明目的，提供一种基于虚拟化环境下的安全防护方法，所述方法包括：

从物理主机部署的多个虚拟机中选择出预设个数的虚拟机，并将选择出的虚拟机配置为安全虚拟机；

为所述物理主机中的每个虚拟机创建虚拟内存，各个所述虚拟机的虚拟内存对应同一物理内存空间；

当检测到有安全防护事件发生时，获取所述安全防护事件对应的待检测数据，并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间；

利用所述安全虚拟机对所述物理内存空间中的待检测数据进行安全检测，得到相应的检测结果；

将所述检测结果反馈给将要发生安全防护事件的虚拟机。

在其中一个实施例中，所述从物理主机部署的多个虚拟机中选择出预设个数的虚拟机，并将选择出的虚拟机配置为安全虚拟机的步骤之后，还包括：

获取所述安全虚拟机的安全标记信息，并将所述安全标记信息分发给各个所述虚拟机；

当检测到所述虚拟机有安全防护事件发生时，根据所述安全标记信息将发生所述安全防护事件的虚拟机的标记信息发送给所述安全虚拟机，以通知所述安全虚拟机对所述安全防护事件对应的待检测数据进行安全检测。

在其中一个实施例中，所述为所述物理主机中的每个虚拟机创建虚拟内存，各个所述虚拟机的虚拟内存对应同一物理内存空间步骤包括：

在所述物理主机的物理内存中划分出预设内存作为所述共享内存空间；

建立各个所述虚拟机的虚拟内存与所述共享内存空间的映射关系；

利用所述映射关系将所述待检测数据写入或读出所述共享内存空间；

其中，所述共享内存空间为各个所述虚拟机的虚拟内存对应的同一物理内存空间。

在其中一个实施例中，所述共享内存空间根据所述物理主机中所述虚拟机的开启数量进行动态分配。

在其中一个实施例中，所述当检测到有安全防护事件发生时，获取所述安全防护事件对应的待检测数据，并将所述待检测数据通过发生所述安全防护事件的虚拟机的虚拟内存写入所述物理内存空间的步骤包括：

当检测到安全防护事件时，由所述安全防护事件中提取将要发生安全防护事件的虚拟机的第一标记信息，并由所述安全防护事件中提取所述待检测数据；

将所述第一标记信息发送给所述安全虚拟机，将所述待检测数据缓存到所述将要发生安全防护事件的虚拟机的第一虚拟内存中；

当接收到所述安全虚拟机反馈的安全检测信号时，根据所述映射关系将缓存在所述第一虚拟内存中的待检测数据写入所述共享内存空间中。