本發明提供一種基于虛擬化環境下的安全防護方法及裝置。其中方法包括：安全虛擬機接收客戶虛擬機的文件檢測請求；根據文件檢測請求獲取文件標識；根據所述文件標識，在可信文件庫中查找與所述文件標識對應的可信項，所述可信項包括客戶虛擬機中系統文件的標識；若查找到所述可信項，所述安全虛擬機確認該文件為系統文件，且該文件為安全文件。該安全防護方法及裝置，通過先判斷文件是否為安全的系統文件，再進行查殺，能夠避免安全虛擬機頻繁的對各個客戶虛擬機中的系統文件進行檢測查殺，降低查殺頻率，提高了安全虛擬機及客戶虛擬機的運行速度。

技術領域

本發明涉及虛擬化技術領域，特別是涉及一種基于虛擬化環境下的安全防護方法及裝置。

背景技術

隨著硬件虛擬化技術的廣泛應用，在一臺物理主機上可以同時運行多個虛擬操作系統，各虛擬操作系統之間相互隔離，使得對硬件設施的管理更加有效、靈活和節約。但基于虛擬化技術的操作系統部署中面臨安全威脅問題。

為了解決虛擬化環境下虛擬機安全的問題，傳統的解決辦法需要在每臺物理主機上的各個虛擬機中部署一套安全防護軟件，從而達到與普通物理機上操作系統中安裝的安全防護軟件具有相同的功能。

然而，在同一物理主機上的多個虛擬機中都部署一套安全防護產品時，會造成對計算資源和存儲資源的占用，并且安全防護軟件在對各自系統內的文件進行監控或查殺時，會對各個虛擬機中的所有文件均進行監控或查殺，造成各個虛擬機中的文件處理速率變慢。

發明內容

基于此，確有必要提供一種能夠提高虛擬機中的文件處理速率的安全防護方法及裝置。

一種基于虛擬化環境下的安全防護方法，其中，物理主機上部署有多個客戶虛擬機及安全虛擬機；所述方法包括：

所述安全虛擬機接收客戶虛擬機的文件檢測請求；

所述安全虛擬機根據文件檢測請求獲取文件標識；

所述安全虛擬機根據所述文件標識，在可信文件庫中查找與所述文件標識對應的可信項，所述可信項包括客戶虛擬機中系統文件的標識；

若查找到所述可信項，所述安全虛擬機確認該文件為系統文件，且該文件為安全文件。

在其中一個實施例中，所述系統文件的標識包括各客戶虛擬機安裝的初始操作系統中系統文件的哈希值。

在其中一個實施例中，在根據所述文件標識，查找可信文件庫中與所述文件標識對應的可信項之前還包括：

獲取任一客戶虛擬機的初始操作系統中，各系統文件的路徑及大小；

計算所述系統文件的哈希值，并將所述哈希值存入可信項。

在其中一個實施例中，所述獲取任一客戶虛擬機的初始操作系統中，各系統文件的路徑及大小包括：

獲取任一客戶虛擬機的初始做操系統中，各系統文件的絕對路徑。

在其中一個實施例中，所述安全虛擬機根據所述文件標識，查找所述可信文件庫中所述系統文件的標識的步驟包括：

獲取文件的文件名及大小；

根據文件的文件名及大小計算文件的哈希值；

將所述文件的哈希值與可信文件庫中各可信項中的哈希值進行比對，查找所述可信文件庫中是否存在與文件的哈希值對應的可信項。

一種基于虛擬化環境下的安全防護裝置，其中，物理主機部署有多個客戶虛擬機及安全虛擬機，所述安全防護裝置配置于安全虛擬機中，所述安全防護裝置包括：

文件檢測請求接收模塊，用于接收客戶虛擬機的文件檢測請求；

文件標識獲取模塊，用于根據文件檢測請求獲取文件的文件標識；