本發明公開了一種虛擬機系統文件的檢測方法，通過將虛擬機的系統磁盤鏡像文件作為虛擬機磁盤設備的磁盤文件，使系統磁盤鏡像文件作為一塊磁盤設備插入到特權域中，也就是說在特權域中虛擬機的文件系統是完整的，從而可以通過offset值獲取磁盤文件進行掛載并檢測磁盤文件的安全，而且通過度量值和度量擴展值的方式檢測虛擬機磁盤文件的安全性，不需要直接對比文件內容，因此可以避免虛擬機數據直接暴露出來，使檢測過程更安全。本發明實施例還公開了一種虛擬機系統文件的檢測裝置，同樣可以實現以上技術效果。

技術領域

本發明涉及虛擬機安全領域，更具體地說，涉及一種虛擬機系統文件的檢測方法與裝置。

背景技術

近年來虛擬化技術得到了快速發展，大部分的業務平臺已由傳統的物理硬件平臺遷移到了虛擬化平臺。隨著大量業務遷移到虛擬平臺，針對虛擬機的攻擊逐年增長，越來越多的第三方攻擊者向虛擬機內植入惡意代碼、病毒等，從而造成虛擬機內部的數據損壞、丟失等。

由此可見，虛擬機平臺的安全問題十分重要。目前檢測虛擬機是否已被攻擊是通過獲取虛擬機磁盤文件，然后將磁盤文件作為一個虛擬磁盤文件，讀取offset值后進行掛載，再通過讀取文件信息判斷文件是否被惡意修改。

但是隨著虛擬化技術的成熟，為了低資源成本和提高平臺部署速度，虛擬機模板技術應運而生，由于模板技術中使用的磁盤快照增量技術，使得一個虛擬機磁盤鏡像文件只保存增量內容而無法查看所有內容，整個虛擬機文件系統是不完整的，因此再采用現有的安全檢測技術時，不能通過offset值獲取文件進行掛載。而且現有的檢測方法是通過直接對文件內容進行比較，效率很低而且虛擬機數據直接暴露出來，十分不安全。

因此，如何對模板生成的文件系統進行安全檢測，是本領域技術人員需要解決的問題。

發明內容

本發明的目的在于提供一種虛擬機系統文件的檢測方法與裝置，以對模板生成的文件系統進行安全檢測。

為實現上述目的，本發明實施例提供了如下技術方案：

一種虛擬機系統文件的檢測方法，包括：

獲取待度量虛擬機的系統磁盤鏡像文件；

在特權域中添加虛擬磁盤設備，并將所述系統磁盤鏡像文件作為所述虛擬磁盤設備的磁盤文件；

激活所述虛擬磁盤設備，并對所述虛擬磁盤設備的磁盤進行掛載；

利用所述待度量虛擬機的度量算法度量所述虛擬磁盤設備內的磁盤文件，獲得度量值與度量擴展值，利用所述度量值與度量擴展值檢測所述系統磁盤鏡像文件是否被篡改。

其中，對所述虛擬磁盤設備的磁盤進行掛載，包括：

判斷所述虛擬磁盤設備的磁盤是否使用LVM進行管理；

若是，則獲取所述虛擬磁盤設備的磁盤的sector大小與所述磁盤的每個分區的開始sector編號；利用所述sector大小與所述開始sector編號計算得到每個分區的offset值；利用所述offset值對磁盤進行掛載；

若否，則對所述待度量虛擬機的磁盤鏡像進行裝載；獲取LVM卷組信息，并利用所述LVM卷組信息激活邏輯卷組；利用激活后的邏輯卷則信息對磁盤進行掛載。

其中，當所述虛擬磁盤設備的磁盤沒有使用LVM進行管理時，所述利用所述度量值與度量擴展值判斷所述系統磁盤鏡像文件是否被篡改后，還包括：

使用umount卸載所述虛擬磁盤設備的磁盤并拔出所述虛擬磁盤設備。

其中，當所述虛擬磁盤設備的磁盤使用LVM進行管理時，所述利用所述度量值與度量擴展值判斷所述系統磁盤鏡像文件是否被篡改后，還包括：