專利名稱:一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法�����。
背景技術(shù):
虛擬桌面是通過硬件虛擬化技術(shù)�����,將多個桌面操作系統(tǒng)集中運行在少量服務(wù)器的虛擬機上����,從而實現(xiàn)服務(wù)器硬件資源的復(fù)用,用戶可以使用不同終端����,如傳統(tǒng)PC,智能手機���,瘦客戶端等通過網(wǎng)絡(luò)使用這些桌面環(huán)境���。虛擬桌面可以將傳統(tǒng)的用戶PC終端分散管理轉(zhuǎn)變?yōu)榧械墓芾?�,極大地減少了系統(tǒng)運維成本和運維工作量�����。目前該技術(shù)已經(jīng)得到了廣泛的應(yīng)用。雖然虛擬桌面帶來了相應(yīng)的快捷與成本的節(jié)約���,但是虛擬桌面中的安全問題仍舊廣泛存在��,而惡意代碼的問題就是其中之一��。由于虛擬桌面的存儲管理模式從之前的分散管理變成了集中管理�,使得在虛擬桌面環(huán)境中的惡意代碼檢測方法也要隨之產(chǎn)生變化��。傳 統(tǒng)的使用殺毒軟件獨立檢測的方法雖然仍然可以使用�����,但是由于存儲的文件相對集中�,規(guī)模變大�����,殺毒軟件的檢測效率會相應(yīng)變低��,同時對整個系統(tǒng)環(huán)境造成的性能影響也會變大��。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題在于提高殺毒軟件的檢測效率�,降低對整個系統(tǒng)環(huán)境造成的性能影響�。為了解決以上問題,一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法��,包括以下步驟基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟���;虛擬桌面環(huán)境下惡意代碼檢測步驟���。進一步,作為一種優(yōu)選�,所述基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟進一步包括虛擬機的存儲鏡像采用集中管理。進一步���,作為一種優(yōu)選�����,所述基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟進一步包括每臺虛擬機的系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)相互分離����,系統(tǒng)數(shù)據(jù)采用克隆機制,用戶數(shù)據(jù)采用獨占機制�。進一步,作為一種優(yōu)選��,所有虛擬機的系統(tǒng)數(shù)據(jù)為共用���,即存儲母本,每個存儲鏡像對應(yīng)一張位圖表��,位圖的每一位用于標記該位所對應(yīng)的塊是否被修改過��,其中I表示修改過��,O表不未修改�。進一步,作為一種優(yōu)選����,所述虛擬桌面環(huán)境下惡意代碼檢測步驟進一步包括采用一種在Domain-O中將數(shù)據(jù)重組步驟。進一步��,作為一種優(yōu)選,所述采用一種在Domain-O中將數(shù)據(jù)重組步驟進一步包括根據(jù)虛擬機讀磁盤請求中的磁盤名和塊號等信息重組數(shù)據(jù)�。進一步,作為一種優(yōu)選���,進一步包括如果發(fā)現(xiàn)重組所得文件為PE格式文件�����,則用惡意代碼檢測軟件進行特征檢查�,做出判斷從而決定是否允許虛擬機獲得請求數(shù)據(jù)��。本發(fā)明的有益效果在于���,在虛擬桌面環(huán)境中��,由于相同操作系統(tǒng)的桌面具有很大的共性���,即除了用戶個人信息和數(shù)據(jù)之外,其他用于維持操作系統(tǒng)運行的程序內(nèi)容都是一致的�。而這一特性使得承載虛擬桌面的每臺虛擬機所使用的操作系統(tǒng)存儲鏡像具有很強的通用性,從而多個虛擬機使用同一個操作系統(tǒng)存儲鏡像的方法是可行的���。鏡像克隆技術(shù)就是上述方法的一個實現(xiàn)���,它將一個裝好完整操作系統(tǒng)的原始鏡像作為母本���,當多個虛擬機啟動時,從唯一的母本中所需讀取數(shù)據(jù)����,這樣有效減小了存儲的數(shù)量和規(guī)模以及容量開銷等,同時這樣也使得對惡意代碼的檢測為系統(tǒng)帶來的開銷有效降低�。
當結(jié)合附圖考慮時,通過參照下面的詳細描述����,能夠更完整更好地理解本發(fā)明以 及容易得知其中許多伴隨的優(yōu)點,但此處所說明的附圖用來提供對本發(fā)明的進一步理解����,構(gòu)成本發(fā)明的一部分�,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定����,其中圖I本發(fā)明實施例的工作流程圖。
具體實施例方式以下參照圖I對本發(fā)明的實施例進行說明。為使上述目的����、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明�����。一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法��,包括以下步驟基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟��;虛擬桌面環(huán)境下惡意代碼檢測步驟�����。如圖I所示��,一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法�,包括以下步驟SI、虛擬機讀數(shù)據(jù)�����;S2�、掛起讀操作;S3、塊號對應(yīng)的位圖位�����;S4��、如果位圖位為0��,則從母本讀數(shù)據(jù)����;S5、如果位圖位為1����,則從私有磁盤讀數(shù)據(jù);S6���、數(shù)據(jù)重組并檢測�����;S7、是否為惡意代碼�;S8、不是惡意代碼,則恢復(fù)讀操作���;S9�����、如果是惡意代碼�����,則失敗讀操作并返回����。在存儲服務(wù)器上���,首先建立一個裝好完整操作系統(tǒng)以及桌面環(huán)境所需的應(yīng)用軟件等的磁盤鏡像���,稱為母本,母本被賦予只讀屬性���;同時��,為每個虛擬機建立一個單獨的私有磁盤鏡像���,用于存放每臺虛擬機的用戶的個人文件���,以及每臺虛擬機運行時需要寫入磁盤的臨時文件等,該虛擬機的私有磁盤鏡像的大小與母本需要保持一致�����。虛擬機采用iSCSI訪問遠端的磁盤鏡像����。在存儲服務(wù)器上,每個磁盤鏡像�,包括母本和私有磁盤鏡像,都有一張對應(yīng)的位圖表�����,用于標識其所有的物理塊狀態(tài)���。當虛擬機讀取文件時���,首先檢查要讀取的位是否被修改,若是�,則從私有磁盤鏡像讀取數(shù)據(jù),否則從母本讀取數(shù)據(jù)����。當虛擬機首次啟動時,由于其私有磁盤鏡像初始為空��,則從母本中讀取所需數(shù)據(jù)來完成啟動�����,而當需要向磁盤寫入數(shù)據(jù)時�����,則寫入自己的私有磁盤鏡像��,下次讀取時����,讀取最新的數(shù)據(jù)。在Domain-O中���,可以方便的捕獲到所有虛擬機對磁盤的讀寫操作�,而當捕獲到讀操作時�����,則可以通過上述的位圖機制,獲取讀取的目標磁盤鏡像以及塊號信息����,從而得到讀取的全部數(shù)據(jù),從而可以在Domain-O中對數(shù)據(jù)進行重組���。如果發(fā)現(xiàn)重組所得文件為PE格式文件�����,則用惡意代碼檢測軟件進行特征檢查���,即可做出判斷從而決定是否允許虛擬機獲得請求數(shù)據(jù)。例如�,在存儲服務(wù)器上建立一 個IOGB大小的母本,并為每臺虛擬機建立一個獨立的IOGB大小的私有磁盤鏡像���,為這些私有磁盤鏡像建立位圖表����,在這里�����,我們以512字節(jié)為單位,則位圖表的尺寸為20MB�,位圖的每一位用于標記該位所對應(yīng)的塊是否被修改過�����,其中I表示修改過,O表示未修改���。當虛擬機啟動時,首先讀取其對應(yīng)的位圖表,如果要讀取的數(shù)據(jù)塊在位圖表里對應(yīng)的值為1���,則從私有磁盤鏡像中讀取數(shù)據(jù),如果要讀取的數(shù)據(jù)塊在位圖表里對應(yīng)的值為0���,則從母本中讀取數(shù)據(jù)���。這樣可以在保證虛擬機一致性的基礎(chǔ)上,同時保證虛擬機的獨立性��。在進行惡意代碼檢測時���,位于Domain-O里的惡意代碼檢測程序會捕獲所有對磁盤上數(shù)據(jù)的讀操作�����。當捕獲到虛擬機要求讀取某個文件時�����,會先掛起虛擬機的請求���,然后根據(jù)讀請求中所包含的磁盤名稱和塊號信息�����,將所請求的數(shù)據(jù)在Domai-O中重組���,用惡意代碼檢測工具對其進行檢查。如果是惡意程序�,則拒絕掉虛擬機的讀請求并返回;如果不是惡意程序��,則中止掛起����,繼續(xù)虛擬機對該部分數(shù)據(jù)的讀操作請求。如上所述,對本發(fā)明的實施例進行了詳細地說明����,但是只要實質(zhì)上沒有脫離本發(fā)明的發(fā)明點及效果可以有很多的變形,這對本領(lǐng)域的技術(shù)人員來說是顯而易見的�����。因此�����,這樣的變形例也全部包含在本發(fā)明的保護范圍之內(nèi)�。
權(quán)利要求
1.一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法�,其特征在于,包括以下步驟 基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟��; 虛擬桌面環(huán)境下惡意代碼檢測步驟�����。
2.根據(jù)權(quán)利要求I所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法����,其特征在于,所述基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟進一步包括虛擬機的存儲鏡像采用集中管理。
3.根據(jù)權(quán)利要求I所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法���,其特征在于���,所述基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟進一步包括每臺虛擬機的系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)相互分離,系統(tǒng)數(shù)據(jù)采用克隆機制��,用戶數(shù)據(jù)采用獨占機制��。
4.根據(jù)權(quán)利要求書3所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法��,其特征在于��,所有虛擬機的系統(tǒng)數(shù)據(jù)為共用�����,即存儲母本����,每個存儲鏡像對應(yīng)一張位圖表,位圖的每一位用于標記該位所對應(yīng)的塊是否被修改過�,其中I表示修改過,O表示未修改���。
5.根據(jù)權(quán)利要求書4所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法����,其特征在于,當虛擬機啟動時���,首先讀取其對應(yīng)的位圖表��,如果要讀取的數(shù)據(jù)塊在位圖表里對應(yīng)的值為1�,則從私有磁盤鏡像中讀取數(shù)據(jù)��,如果要讀取的數(shù)據(jù)塊在位圖表里對應(yīng)的值為O����,則從母本中讀取數(shù)據(jù)��。
6.根據(jù)權(quán)利要求書I所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法���,其特征在于����,所述虛擬桌面環(huán)境下惡意代碼檢測步驟進一步包括采用一種在Domain-O中將數(shù)據(jù)重組步驟�。
7.根據(jù)權(quán)利要求書6所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法,其特征在于,所述采用一種在Domain-O中將數(shù)據(jù)重組步驟進一步包括根據(jù)虛擬機讀磁盤請求中的磁盤名和塊號等信息重組數(shù)據(jù)���。
8.根據(jù)權(quán)利要求書7所述的一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法����,其特征在于�����,進一步包括如果發(fā)現(xiàn)重組所得文件為PE格式文件��,則用惡意代碼檢測軟件進行特征檢查���,做出判斷從而決定是否允許虛擬機獲得請求數(shù)據(jù)�����。
全文摘要
本發(fā)明公開了一種基于存儲鏡像克隆機制虛擬桌面惡意代碼檢測方法�,包括以下步驟基于iSCSI技術(shù)通過讀寫分離實現(xiàn)的存儲鏡像克隆步驟�����;虛擬桌面環(huán)境下惡意代碼檢測步驟����。有效提高了檢測的效率�,同時降低了檢測給系統(tǒng)服務(wù)環(huán)境帶來的性能損耗�����。
文檔編號G06F21/00GK102760212SQ20121017768
公開日2012年10月31日 申請日期2012年5月31日 優(yōu)先權(quán)日2012年5月31日
發(fā)明者石勇, 郭煜 申請人:北京朋創(chuàng)天地科技有限公司