[发明专利]计算装置的安全状态与额定安全状态的偏差的检测

说明书

本发明涉及一种用于检测计算装置的安全状态与额定安全状态的偏差的方法，其中，计算装置由虚拟机映射，方法包括以下步骤：‑创建虚拟机的虚拟副本，其中在虚拟机的运行时间实施创建，并且计算装置的运行不受干扰地继续进行；自动启动虚拟副本的运行；‑自动地在虚拟副本上实施安全检查，其中计算装置的运行不受干扰地继续进行；自动生成安全检查的结果，其中结果描述虚拟副本的安全状态；‑如果结果显示出虚拟副本的安全状态与计算装置的额定安全状态的偏差，则创建用于计算装置的危险指示。本发明还涉及一种用于检测计算装置的安全状态与额定安全状态的偏差的装置以及用于执行所述方法的计算机程序产品。

技术领域

为了检查数据处理系统上的软件，实施IT安全检查或IT安全程序，其例如检测恶意软件并在必要时使其无害。例如，病毒扫描器用于防止对计算机或计算设备的损坏，或用于重显安全事件的取证分析。尤其是应该阻止对设备、尤其是控制设备的运行干扰，阻止数据的盗窃或数据散布到另外的系统上。典型地，安全分析软件、例如病毒扫描器安装在目标系统上。目标系统是要检查的系统，并且在目标系统上进行分析。安装的分析软件通常会影响系统的运行，这例如通过性能损失、违反实时要求或与目标系统上安装的其他软件不兼容造成。此外，安全分析软件经常错误地干预或阻止合法或无害的过程。

背景技术

在虚拟化系统中，通常已知从外部实施病毒扫描。这意味着该软件并不是安装在目标系统上，而是在虚拟机管理程序级别上运行。这意味着分析软件可以访问目标系统的虚拟机的图像并分析所谓的应用程序编程接口调用，简称API调用，其中虚拟机管理程序确保要保护的资源可用于虚拟机。虚拟机是目标系统的虚拟映像，即，例如，目标系统虚拟地在其上运行的计算机。在特定的虚拟化环境中，通常已知病毒扫描可以检测恶意软件。此外，已知在目标系统上安装一个或多个所谓的代理，其将用于检查病毒的数据转发到另一个系统，另一个系统又是一虚拟机。由此减少了在目标系统本身上进行病毒检查的计算工作量。

同样，已知物理保护措施或网络断开，其通过分离要保护的系统来防止恶意软件的感染。

发明内容

本发明的目的是实时检测计算装置的危险状态。

本发明涉及一种用于检测计算装置的安全状态与额定安全状态的偏差的方法，其中计算装置由虚拟机映射。

该方法具有以下步骤：

-创建虚拟机的虚拟副本，其中在虚拟机的运行时间实施创建并且计算装置的运行不干扰地继续进行；

-自动启动虚拟副本的运行；

-自动地在虚拟副本上实施安全检查，其中计算装置的运行不受干扰地继续进行；

-自动生成安全检查的结果，其中，该结果描述虚拟副本的安全状态；

-如果该结果显示出虚拟副本的安全状态与计算装置的目标安全状态的偏差，则创建用于计算装置的危险指示。

计算装置应理解为用于实现IT系统的计算机或计算机设备，例如控制计算机。该计算装置的安全状态由安全检查的结果确定。如果例如作为安全检查来实施病毒扫描并且没有发现病毒，那么该结果是一个无病毒状态，并且安全状态例如可以由在安全检查的范畴中创建的存储记录表示为无病毒。额定安全状态在外部或预先确定或在计算装置的运行评估之后确定，并且尤其可以作为组件而具有这样的特征，即必须已经证明是无病毒的。可以通过计算装置的许多不同特征的交互来形成额定安全状态。例如，可以预先确定处于额定安全状态的多个标识，其特别地以不同的组合一起出现并且将计算装置分类为安全的。

待测试的计算装置被虚拟化地实现，例如作为诸如VM-Ware或公共云的公共虚拟化环境上的虚拟机。因此，提出了一种方法，该方法检测虚拟机的安全性，并基于该检测得出真实的计算装置的推论。