技術領域

本發明涉及云計算領域中的網絡安全技術，尤其涉及一種云計算網絡中網絡安全的檢測方法及裝置。

背景技術

在云計算技術中，可以借助虛擬化技術實現在同一物理主機上同時運行多個虛擬機，且隸屬于同一物理主機的各虛擬機之間的數據包轉發不經過物理交換機。也就是說，隸屬于同一物理主機的各虛擬機之間的通信流量不受網絡中的物理交換機或其它網絡設備監控、管理，這樣，就會出現某個虛擬機向隸屬于同一物理主機的其它虛擬機發起異常流量等內部攻擊，進而威脅整個云計算網絡的安全。

現有技術中，為防止虛擬機以某種方式向隸屬于同一物理主機的其它虛擬機或所隸屬的物理主機發起攻擊，對虛擬機的通信流量進行了監控。目前，對虛擬機的通信流量進行監控的方法主要包括以下兩種：

一、利用虛擬交換機對虛擬機的通信流量進行監控。圖1為利用虛擬交換機對虛擬機的通信流量進行監控的設備結構示意圖，如圖1所示，在云計算虛擬化運行環境中，為了對虛擬機的通信流量進行監控，將傳統交換機設備虛擬化為虛擬交換機，虛擬交換機駐留在虛擬機監視器(VMM，Virtual MachineMonitor)中，提供了虛擬機之間、以及虛擬機與外部網絡之間的通信能力；VMM為每個虛擬機創建一個虛擬網卡，每個虛擬網卡對應于虛擬交換機的一個邏輯端口，虛擬交換機根據虛擬機的媒體接入控制(MAC，Media Access Control)地址與邏輯端口的對應關系表轉發報文到相應的虛擬機，并利用自身的邏輯端口來監控虛擬機的通信流量，從而實現對虛擬機的流量管理。其中，虛擬機、虛擬交換機、虛擬網卡及VMM隸屬于同一個物理主機。但是，該方法存在以下缺陷：由于在監控過程中虛擬交換機需要將數據包進行轉發，如此，會消耗過多的物理主機的資源，而且不便于靈活實施針對虛擬機的具體的安全策略。

二、利用物理交換機對虛擬機的通信流量進行監控。圖2為利用物理交換機對虛擬機的通信流量進行監控的設備結構示意圖，如圖2所示，在利用物理交換機對虛擬機的通信流量進行監控的方法中，將虛擬機產生的全部通信流量都引出交給與服務器相連的物理交換機進行監控，其中，所示全部通信流量包括：虛擬機與隸屬于同一物理主機的其它虛擬主機之間的通信流量、以及虛擬機與所隸屬的物理主機的外部設備之間的通信流量。由物理主機外部的物理交換機對虛擬機的通信流量進行監控，不需要消耗物理主機的資源，因此，這種方法可以將與虛擬機相關的通信流量監管、控制策略和管理可擴展性問題得到很好的解決。

從上面的描述中可以看出，在現有技術中，為了防止虛擬機以某種方式向隸屬于同一物理主機的其它虛擬機或所隸屬的物理主機造成攻擊，借助軟硬件設備對虛擬機的通信流量進行了引流、監控，進而阻斷不符合要求的虛擬機的通信流量，預防惡意的虛擬機通過通信流量對云計算網絡構成攻擊。

但是，現有技術中，只對虛擬機的通信流量進行了監控、過濾、以及防護，而對于監控過濾規則之外的安全威脅或攻擊，卻無法及時發現并采取措施，具體包括以下兩個方面：

第一，虛擬機自身的安全防護軟件或安全配置被惡意卸載或禁用后無法及時發現。虛擬機在創建時會安裝配置相應的自身防護機制，一旦惡意用戶將相關安全防護軟件卸載或禁用，就有可能會造成失去防護的虛擬機感染病毒、木馬后去威脅VMM或者其它虛擬機的安全，進而影響整個云計算網絡的安全。

第二，正常虛擬機感染病毒、木馬或執行某惡意代碼后無法及時發現。正常虛擬機無意間被感染病毒、木馬或執行某惡意代碼后，會引發類似隱蔽信道攻擊、虛擬機逃逸或獲取物理主機的root權限等安全問題，進而會造成攻擊者直接控制VMM，從而威脅整個云計算網絡的安全。另外，正常虛擬機被感染病毒、木馬或執行某惡意代碼后，可能會使虛擬機惡意占用大量系統資源，從而可能會造成隸屬于同一物理主機的其它虛擬機無法正常運行。

發明內容

有鑒于此，本發明的主要目的在于提供一種云計算中網絡安全的檢測方法及裝置，能有效地防止具有安全隱患的虛擬機對隸屬于同一物理主機的VMM和其它虛擬機、以及整個云計算網絡進行攻擊。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供了一種云計算網絡中網絡安全的檢測方法，所述方法包括：

虛擬機啟動后，檢查所述虛擬機當前的安全信息是否被修改，確定被修改后根據修改結果進行相應的修復操作。

上述方案中，所述方法還包括：

在所述虛擬機運行過程中，周期性檢查所述虛擬機當前的安全信息是否被修改，確定被修改后根據修改結果進行相應的修復操作。