本發明實施例提供一種虛擬化系統的安全防護方法，包括：接收管理控制臺發送的安全策略；所述安全策略包括正確配置文件和正確日志文件；在預設時間間隔獲取所述虛擬化系統的Hypervisor層的配置文件和日志文件；將所述配置文件和日志文件，分別與所述正確配置文件和正確日志文件進行比較；在比較結果不一致時，向所述管理控制臺發送告警信息。本發明實施例同時還提供一種虛擬化系統的安全防護裝置。

技術領域

本發明涉及云平臺虛擬化系統的安全防護技術，尤其涉及一種虛擬化系統的安全防護方法及裝置。

背景技術

云平臺虛擬化系統中虛擬化資源池的建設，從業務上給企業信息系統建設帶來巨大的效益。例如，信息技術(Information Technology，IT)資源高度集約化；存儲、計算資源高度整合，形成資源池；業務全部實現并行計算。但是，云平臺虛擬化系統中虛擬化資源池的建設也帶來了業務的安全問題，例如，云平臺中的虛擬終端都通過虛擬主機的虛擬層來和外部進行通信和交互，如果虛擬層存在漏洞或者是被入侵，將造成整個虛擬環境的安全風險，云資源的濫用和盜用，云平臺的數據安全，以及共享技術的漏洞對云平臺帶來的安全風險等問題。

現有技術中，為了解決上述安全問題，通常采用的方法有以下幾種：一是基于代理的主機安全防護：通過在云平臺虛擬化資源池中的虛擬化服務器中安裝代理程序進行病毒防護、主機入侵防護、防火墻、應用程序控制、設備控制等，實現對虛擬化服務器的安全防護；二是基于無代理的主機安全防護：利用虛擬化軟件的接口，通過在虛擬化服務器上進行虛擬硬件設備的部署，利用虛擬硬件設備對虛擬化服務器進行無代理病毒掃描和無代理防火墻網絡控制；三是在虛擬機中部署安全監控軟件監控虛擬機之間的流量：即直接在云服務器端的內部部署虛擬機安全軟件，通過對虛擬機開放的應用程序編程接口(ApplicationProgramming Interface，API)的利用，將所有虛擬機之間的流量交換先引入虛擬機安全軟件進行檢查，再使其進入虛擬機；四是對虛擬機的安全狀態進行異常判斷；五是在虛擬化資源池的Hypervisor層部署安全防護層，通過安全防護層對由源虛擬機發出的數據包根據流表中的流規則進行匹配，時間虛擬化環境下虛擬機之間的網絡訪問的控制。

然而，上述基于代理的主機安全防護方法，面臨嚴重的病毒全盤掃描風暴問題，會導致虛擬化資源池的性能和資源可用性的降低；上述基于無代理的主機安全防護方法，缺乏對內存的病毒保護機制；上述通過在虛擬機中部署安全監控軟件監控虛擬機之間的流量的方法，僅監控了虛擬機之間的威脅流量，缺乏對于其他途徑可能進入虛擬機的威脅文件、攻擊、漏洞利用的相應的防護手段；上述對虛擬機安全狀態進行異常判斷的方法僅對特定的虛擬機防護有很強的防護效果，并不適用于存在大量不同業務的云平臺；上述在虛擬化資源池的Hypervisor層部署安全防護層的方法，對于通過應用傳輸、外接設備進行傳輸和加密傳輸等方法進行的威脅不具備監控能力，對于針對性的威脅缺乏主動防護手段，無法實現實時的防護。

發明內容

有鑒于此，本發明實施例期望提供一種虛擬化系統的安全防護方法及裝置，以通過對虛擬化系統中的Hypervisor層的完整性監控，實現對虛擬化系統的整體安全防護提供底層安全監控支撐。

本發明實施例的技術方案是這樣實現的：

一種虛擬化系統的安全防護方法，所述方法包括：

接收管理控制臺發送的安全策略；所述安全策略包括正確配置文件和正確日志文件；

在預設時間間隔獲取所述虛擬化系統的Hypervisor層的配置文件和日志文件；

將所述配置文件和日志文件，分別與所述正確配置文件和正確日志文件進行比較；

在比較結果不一致時，向所述管理控制臺發送告警信息。

如上所述的方法，其中，所述在預設時間間隔獲取所述虛擬化系統的Hypervisor層的配置文件和日志文件，包括：