技術領域

本發明的實施例一般地涉及信息技術，更具體地說，涉及虛擬機（VM）管理。

背景技術

可以克隆或復制在云中運行的虛擬機（VM）。例如，系統管理員可能執行克隆，VM的客戶或用戶可能無意間執行克隆，或者攻擊者可能惡意執行克隆。客戶或用戶通常旨在防止針對其VM進行任何未授權的VM克隆，因為這種克隆可以導致信息泄露，甚至隱私和/或機密泄漏。因此，需要限制由未授權的VM克隆引起的信息泄露。

發明內容

在本發明的一個方面，提供用于限制由于虛擬機克隆導致的信息泄露和剽竊的技術。一種用于檢測克隆的虛擬機實例的示例性計算機實現的方法可以包括以下步驟：將與虛擬機關聯的標識符從嵌入在所述虛擬機中的類似于惡意軟件的代理傳輸到網絡中的檢測實體；判定所述標識符是否是唯一標識符或者所述標識符是否是與所述網絡中的單獨虛擬機關聯的標識符的克隆；以及如果判定所述標識符是與所述網絡中的單獨虛擬機關聯的標識符的克隆，則使用嵌入在所述虛擬機中的所述代理啟動至少一個補救操作。如在此描述的，根據本發明的至少一個實施例，虛擬機中的所述代理的運行類似于惡意軟件，使得嘗試對VM映像進行未授權克隆的實體難以檢測所述代理。

本發明的另一個方面或其元素可以以制品的形式實現，所述制品有形地包含計算機可讀指令，當實現所述計算機可讀指令時，導致計算機執行在此描述的多個方法步驟。此外，本發明的另一個方面或其元素可以以裝置的形式實現，所述裝置包括存儲器和至少一個處理器，所述至少一個處理器耦合到所述存儲器并且可操作以便執行所述方法步驟。更進一步，本發明的另一個方面或其元素可以以構件的形式實現以便執行在此描述的方法步驟或其元素；所述構件可以包括硬件模塊（多個）或硬件和軟件模塊的組合，其中所述軟件模塊存儲在有形的計算機可讀存儲介質（或多個此類介質）中。

從以下將結合附圖閱讀的對本發明的示例性實施例的詳細描述，本發明的這些和其它目標、特性以及優點將變得顯而易見。

附圖說明

圖1是示出根據本發明的一個方面的一個實例實施例的框圖；

圖2是示出根據本發明的一個實施例的用于檢測克隆的虛擬機實例的技術的流程圖；以及

圖3是其中可以實現本發明的至少一個實施例的示例性計算機系統的系統圖。

具體實施方式

如在此描述的，本發明的一個方面包括防止由于虛擬機（VM）克隆導致的信息泄露和剽竊，并且防止以未授權的方式重新實例化VM。本發明的至少一個實施例包括使用難以檢測的惡意軟件型代理檢測VM是否是真正的VM或者是副本或克隆的VM，以及在檢測到時通過惡意軟件型代理停用克隆的VM的實例。

本發明的至少一個實施例可以在諸如以下實例情形之類的上下文中實現。客戶或第三方運行跟蹤唯一VM的服務器。在云中運行的VM運行代理（在VM上），該代理定期或隨機向服務器報告唯一標識符。因此，為了躲避希望在沒有客戶允許的情況下克隆VM的單獨用戶或實體的檢測，本發明的一個方面包括以類似于惡意軟件的方式運行代理（例如，附接到動態鏈接庫（DLL）、在系統調用時被隨機調用等）。如果網絡訪問被阻止，則正在運行的代理可以中斷克隆的VM的工作。

因此，如結合圖1進一步描述的，可以嵌入惡意軟件式代理作為對網絡中的所有VM的安全保護。因此，本發明的至少一個實施例可以包括當初次準備好虛擬機映像或者初次實例化虛擬機時，使用惡意軟件技術。惡意軟件型代理通常由第一虛擬機實例或映像的創建者安裝。惡意軟件型代理采取主動操作防止篡改（例如，通過在其執行期間在任意點檢查其可執行代碼的散列）。每個代理生成與其托管VM關聯的唯一標識符（ID），并且每個代理定期（例如，以隨機或預先指定的間隔）將所述ID發送到客戶的服務器，這確保具有同一所述ID的其它VM不會同時運行。

另外如在此詳述的，代理可以查詢中央服務器或者形成對等網絡以便查詢標識符。

例如，代理可以查詢中央服務器和/或對等網絡，以便判定其中的任何實體是否具有類似ID的副本。因此，如果代理在克隆的VM上運行，并且如果定位/確定了相關ID的副本，則將采取補救操作。例如，在本發明的至少一個實施例中，克隆的VM上的代理對其托管VM進行自我銷毀。