本發明提供一種基于虛擬化環境下的安全防護方法及系統。其中方法包括：當有虛擬機需要從其所在的源物理主機遷移到目的物理主機，且源物理主機的源安全虛擬機正在對需要遷移的遷移虛擬機執行安全防護事件時，遷移虛擬機從源安全虛擬機中獲取安全防護事件的防護進度信息，并從源物理內存空間中獲取安全防護事件對應的待防護數據；當遷移虛擬機遷移到目的物理主機之后，遷移虛擬機將防護進度信息發送給目的物理主機的目的安全虛擬機，同時將待防護數據寫入目的物理主機的目的物理內存空間；目的安全虛擬機接收到防護進度信息后，根據防護進度信息對寫入目的物理內存空間中的待防護數據繼續進行安全防護。其能實現虛擬機遷移的不間斷安全防護。

技術領域

本發明涉及虛擬化技術領域，特別是涉及基于虛擬化環境下的安全防護方法及系統。

背景技術

隨著硬件虛擬化技術的廣泛應用，在一臺物理主機上可以同時運行多個操作系統，操作系統之間相互隔離，使得對硬件設施的管理更加有效、靈活和節約。例如：可以將資源占用率高的物理主機上的虛擬機遷移到一個資源占用率低的物理主機上，從而達到資源的合理分配；又或者將資源占用率低的物理主機上虛擬機全部遷移到其它物理主機上，并關閉本臺物理主機從而來達到節能的效果。但是這樣傳統操作系統部署中面臨的安全威脅問題，在虛擬化的部署過程中也會面臨。

為了解決虛擬化環境下虛擬機安全的問題，傳統的解決是在每臺物理主機上的各個虛擬機中部署一套安全防護軟件，從而達到與普通物理機上操作系統中安裝的安全防護軟件具有相同的功能。但在同一物理主機上的多個虛擬機中都部署一套安全防護產品，會造成對計算資源和存儲資源的占用。為了減輕虛擬化環境中虛擬機重復部署安全防護軟件造成的對計算資源和存儲資源的占用，可采用一種輕代理的方式，輕代理方式是將安全防護軟件中的大部分查詢數據移到私有云或公有云中處理，虛擬機中只保留最低限度的安全引擎服務數據，但將安全防護軟件中的數據移到云端服務器，虛擬機在進行安全引擎時，需要占用一定的網絡帶寬并對網絡環境的響應速度有一定的要求。

使用無代理安全防護的方式可以解決上述在物理主機的各個虛擬機上都部署一套安全防護軟件會造成資源的占用及采用輕代理方式會對網絡環境有一定的要求的問題，但無代理安全防護方式是在物理主機的某一虛擬機上部署安全防護軟件(該部署有安全防護軟件的虛擬機為安全虛擬機)，并為該物理主機上運行的各個虛擬機都配置各自的虛擬內存，各個虛擬內存都對應同一物理內存空間，這樣當安全虛擬機對其它沒有部署安全防護軟件的虛擬機進行安全防護，而該被防護的虛擬機又要從當前物理主機遷移到其它物理主機時，這些被防護的虛擬機遷移到新的物理主機后，由于其自身不具備安全防護功能，且原來的物理主機上的安全虛擬機也不能繼續對該被防護的虛擬機進行安全防護，因此安全防護將停止，這些被防護的虛擬機將重新面臨安全威脅問題。

發明內容

基于此，有必要針對傳統的采用無代理安全防護方式的物理主機中被防護的虛擬機從一物理主機遷移到另一物理主機時將不能繼續被防護問題，提供一種基于虛擬化環境下的安全防護方法及系統，能夠使采用無代理安全防護方式的物理主機中的正在被防護的虛擬機進行遷移時，不間斷地對該被防護的虛擬機進行安全防護。

為達到發明目的，提供一種基于虛擬化環境下的安全防護方法，所述方法包括：

當有虛擬機需要從其所在的源物理主機遷移到目的物理主機，且所述源物理主機的源安全虛擬機正在對需要遷移的遷移虛擬機執行安全防護事件時，所述遷移虛擬機從所述源安全虛擬機中獲取所述安全防護事件的防護進度信息，并從所述源物理主機的源物理內存空間中獲取所述安全防護事件對應的待防護數據；

當所述遷移虛擬機遷移到所述目的物理主機之后，所述遷移虛擬機將所述防護進度信息發送給所述目的物理主機的目的安全虛擬機，同時將所述待防護數據寫入所述目的物理主機的目的物理內存空間；

所述目的安全虛擬機接收到所述防護進度信息后，根據所述防護進度信息對寫入所述目的物理內存空間中的所述待防護數據繼續進行安全防護。