虛擬機(jī)切換系統(tǒng)及切換方法
【專利摘要】本發(fā)明提供一種虛擬機(jī)切換系統(tǒng),其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,虛擬機(jī)切換系統(tǒng)包括基礎(chǔ)鏡像設(shè)置模塊、虛擬機(jī)生成模塊及自動(dòng)切換模塊,基礎(chǔ)鏡像設(shè)置模塊用于根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像并存儲(chǔ),虛擬機(jī)生成模塊用于在虛擬機(jī)出現(xiàn)異常時(shí)根據(jù)虛擬機(jī)信息及虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī)并啟動(dòng),自動(dòng)切換模塊用于在新虛擬機(jī)與對(duì)應(yīng)的異常虛擬機(jī)之間切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作。該切換系統(tǒng)在虛擬機(jī)工作出現(xiàn)異常時(shí)在新生成的虛擬機(jī)與異常虛擬機(jī)之間自動(dòng)切換以新虛擬機(jī)以代替異常虛擬機(jī)正常工作,操作方便,保證虛擬機(jī)所提供的服務(wù)不間斷繼續(xù)進(jìn)行。本發(fā)明還提供了一種虛擬機(jī)自動(dòng)切換方法。
【專利說(shuō)明】虛擬機(jī)切換系統(tǒng)及切換方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬化技術(shù),尤其涉及一種虛擬機(jī)切換系統(tǒng)及切換方法。
【背景技術(shù)】
[0002]目前,服務(wù)器虛擬化技術(shù)將一臺(tái)物理服務(wù)器虛擬成多臺(tái)相互隔離的虛擬服務(wù)器,每臺(tái)虛擬服務(wù)器擁有獨(dú)立的CPU、內(nèi)存、磁盤(pán)空間和網(wǎng)絡(luò)帶寬,提高資源的使用效率,簡(jiǎn)化系統(tǒng)管理,在虛擬化技術(shù)的使用過(guò)程中,網(wǎng)絡(luò)信息的安全性是虛擬化技術(shù)正常使用需要保障的,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)采用入侵檢測(cè)、防火墻技術(shù)等保護(hù)系統(tǒng)免受網(wǎng)絡(luò)攻擊的危害。
[0003]然而,系統(tǒng)運(yùn)行時(shí)遇到的內(nèi)部及外界各種不穩(wěn)定因素,傳統(tǒng)的安全防護(hù)技術(shù)在虛擬服務(wù)器出現(xiàn)異常如遭到木馬或者病毒攻擊時(shí),需要人工干預(yù)操作來(lái)對(duì)系統(tǒng)進(jìn)行恢復(fù),操作不方便的同時(shí)影響虛擬服務(wù)器的正常工作。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明提供一種能在虛擬服務(wù)器出現(xiàn)異常時(shí)保障虛擬服務(wù)器正常工作且操作方便的虛擬機(jī)切換系統(tǒng)及切換方法。
[0005]一種虛擬機(jī)切換系統(tǒng),其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,所述虛擬機(jī)切換系統(tǒng)包括一個(gè)基礎(chǔ)鏡像設(shè)置模塊、一個(gè)虛擬機(jī)生成模塊及一個(gè)自動(dòng)切換模塊,所述基礎(chǔ)鏡像設(shè)置模塊用于根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像并存儲(chǔ),所述虛擬機(jī)生成模塊用于在虛擬機(jī)工作出現(xiàn)異常時(shí)根據(jù)虛擬機(jī)信息及虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī)并啟動(dòng),所述自動(dòng)切換模塊用于在所述新虛擬機(jī)啟動(dòng)后與對(duì)應(yīng)的異常虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作。
[0006]一種虛擬機(jī)切換方法,其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,所述虛擬機(jī)切換方法包括以下步驟:
[0007]根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像并存儲(chǔ);
[0008]在虛擬機(jī)工作出現(xiàn)異常時(shí)根據(jù)虛擬機(jī)信息及異常虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī)并啟動(dòng);
[0009]在所述新虛擬機(jī)啟動(dòng)后與對(duì)應(yīng)的異常虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作。
[0010]與現(xiàn)有技術(shù)相比,本發(fā)明提供的虛擬機(jī)切換系統(tǒng)及切換方法通過(guò)基礎(chǔ)鏡像設(shè)置模塊設(shè)置相應(yīng)虛擬機(jī)的虛擬機(jī)基礎(chǔ)鏡像,在虛擬機(jī)工作出現(xiàn)異常如遭到病毒攻擊時(shí)根據(jù)虛擬機(jī)信息及異常虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī),并利用自動(dòng)切換模塊在新生成的虛擬機(jī)與出現(xiàn)異常的虛擬機(jī)之間自動(dòng)切換,以生成的新虛擬機(jī)代替出現(xiàn)異常的虛擬機(jī)正常工作,無(wú)需人工干預(yù)維護(hù),操作方便,從而保證在虛擬機(jī)出現(xiàn)異常如遭到病毒攻擊時(shí)虛擬機(jī)所提供的服務(wù)不間斷繼續(xù)進(jìn)行。
【專利附圖】
【附圖說(shuō)明】
[0011]圖1是本發(fā)明提供的虛擬機(jī)切換系統(tǒng)的模塊示意圖。
[0012]圖2是圖1中虛擬機(jī)對(duì)外服務(wù)框圖。
[0013]圖3是圖2中虛擬機(jī)出現(xiàn)異常時(shí)生成新虛擬機(jī)對(duì)外服務(wù)框圖。
[0014]圖4是啟動(dòng)新虛擬機(jī)并關(guān)閉出現(xiàn)異常虛擬機(jī)后對(duì)外服務(wù)框圖。
[0015]圖5是本發(fā)明提供的虛擬機(jī)切換方法的流程圖
[0016]主要元件符號(hào)說(shuō)明
[0017]虛擬機(jī)切換系統(tǒng)100
[0018]基礎(chǔ)鏡像設(shè)置模塊120
[0019]鏡像加固模塊130
[0020]虛擬機(jī)啟動(dòng)模塊140
[0021]虛擬機(jī)生成模塊160
[0022]自動(dòng)切換模塊180
[0023]資源回收模塊190
[0024]如下【具體實(shí)施方式】將結(jié)合上述附圖進(jìn)一步說(shuō)明本發(fā)明。
【具體實(shí)施方式】
[0025]請(qǐng)參閱圖1,其為本發(fā)明實(shí)施方式提供的一種虛擬機(jī)切換系統(tǒng)100,其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,所述虛擬機(jī)切換系統(tǒng)100包括一個(gè)基礎(chǔ)鏡像設(shè)置模塊120、一個(gè)虛擬機(jī)啟動(dòng)模塊140、一個(gè)虛擬機(jī)生成模塊160及一個(gè)自動(dòng)切換模塊180。
[0026]所述基礎(chǔ)鏡像設(shè)置模塊120用于根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像,可以理解的是,虛擬機(jī)的數(shù)量依需要設(shè)置,本實(shí)施方式中,基礎(chǔ)鏡像設(shè)置模塊120根據(jù)虛擬機(jī)I與虛擬機(jī)2分別對(duì)應(yīng)設(shè)置虛擬機(jī)基礎(chǔ)鏡像I及虛擬機(jī)基礎(chǔ)鏡像2?;A(chǔ)鏡像設(shè)置模塊120設(shè)置的虛擬機(jī)基礎(chǔ)鏡像只包含虛擬機(jī)操作系統(tǒng),不包含應(yīng)用程序,可以理解的是,用戶一般根據(jù)實(shí)際需要選擇對(duì)應(yīng)的虛擬機(jī)類型,基礎(chǔ)鏡像設(shè)置模塊120根據(jù)用戶選擇的虛擬機(jī)類型來(lái)設(shè)置相應(yīng)的基礎(chǔ)鏡像,基礎(chǔ)鏡像可以是用戶通過(guò)互聯(lián)網(wǎng)下載的一個(gè)包含用戶需要的操作系統(tǒng)類型的虛擬機(jī)鏡像作為基礎(chǔ)鏡像,也可以是用戶通過(guò)鏡像制作工具自己制作一個(gè)虛擬機(jī)鏡像作為基礎(chǔ)鏡像。本實(shí)施方式中,設(shè)置的虛擬機(jī)基礎(chǔ)鏡像是下載的虛擬機(jī)鏡像,可以理解的是,下載的虛擬機(jī)鏡像的大小有可能不是用戶需要的鏡像大小,所以需要對(duì)基礎(chǔ)鏡像的大小進(jìn)行定制。
[0027]例如,以Windows操作系統(tǒng)中為例,下載的虛擬機(jī)鏡像為對(duì)應(yīng)的C盤(pán),C盤(pán)大小通常只有I?2G,而對(duì)于一個(gè)對(duì)外提供服務(wù)的Windows Server來(lái)講,在安裝應(yīng)用系統(tǒng)以后,一般需要C盤(pán)空間為40G或以上,因此需要對(duì)鏡像空間進(jìn)行定制。在KVM(kernel-based VirtualMachine)虛擬機(jī)環(huán)境中通過(guò)命令行對(duì)鏡像大小進(jìn)行定制,例如,為鏡像增加5G的空間,采用“qemu-1mg resize trusty-server-cloudimg-amd64-diskl.raw+5G),,進(jìn)行設(shè)置,以滿足應(yīng)用系統(tǒng)的使用需求。
[0028]可以理解的是,如圖2所示,虛擬機(jī)基礎(chǔ)鏡像生成后,通過(guò)命令行工具或圖形界面工具可將基礎(chǔ)鏡像上傳至管理服務(wù)器200的虛擬化管理平臺(tái)以便對(duì)基礎(chǔ)鏡像進(jìn)行管理,相應(yīng)的虛擬機(jī)基礎(chǔ)鏡像信息包括CPU數(shù)量,內(nèi)存數(shù)量,硬盤(pán)大小等存儲(chǔ)在數(shù)據(jù)庫(kù)中。
[0029]所述虛擬機(jī)啟動(dòng)模塊140用于根據(jù)用戶需要安裝和配置用戶需加載的服務(wù)程序后,再根據(jù)虛擬機(jī)上所運(yùn)行的應(yīng)用系統(tǒng)的運(yùn)行負(fù)載等信息選擇合適的虛擬機(jī)模板以及與所選虛擬機(jī)模板對(duì)應(yīng)的虛擬機(jī)配置文件以啟動(dòng)虛擬機(jī)。所加載的服務(wù)程序包括傳輸控制協(xié)議(Transmiss1n Control Protocol,TCP)、用戶數(shù)據(jù)包協(xié)議(User Datagram Protocol,UDP)及超文本傳輸協(xié)議(HyperText Transfer Protocol,HTTP)等服務(wù)程序,本實(shí)施方式中,虛擬機(jī)啟動(dòng)模塊120加載HTTP服務(wù)程序,所加載的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息存儲(chǔ)在系統(tǒng)的數(shù)據(jù)庫(kù)中。
[0030]虛擬機(jī)模板信息定義了虛擬機(jī)啟動(dòng)所需要的資源,包括CPU數(shù)量,內(nèi)存數(shù)量,硬盤(pán)大小等,配置文件定義了虛擬機(jī)和應(yīng)用系統(tǒng)的各種運(yùn)行參數(shù)信息,虛擬機(jī)模板信息及配置文件信息一般直接存儲(chǔ)在數(shù)據(jù)庫(kù)中,啟動(dòng)虛擬機(jī)并在虛擬機(jī)和應(yīng)用系統(tǒng)完成啟動(dòng)以后,即可對(duì)外提供服務(wù),即通過(guò)應(yīng)用代理300響應(yīng)業(yè)務(wù)請(qǐng)求。
[0031]所述虛擬機(jī)生成模塊160用于在虛擬機(jī)工作出現(xiàn)異常如虛擬機(jī)遭到病毒、木馬等攻擊時(shí)根據(jù)虛擬機(jī)信息及虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī),虛擬機(jī)信息包括出現(xiàn)異常的虛擬機(jī)模板信息、配置文件及異常虛擬機(jī)的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息。
[0032]請(qǐng)一并參閱圖1至圖3,本實(shí)施方式中,如虛擬機(jī)I工作出現(xiàn)異常時(shí),虛擬機(jī)生成模塊160根據(jù)異常虛擬機(jī)I對(duì)應(yīng)的虛擬機(jī)模塊信息、異常虛擬機(jī)I對(duì)應(yīng)的配置文件及異常虛擬機(jī)I中安裝的http服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息生成新的虛擬機(jī)3。可以理解的是,當(dāng)虛擬機(jī)被病毒攻擊,不管病毒攻擊虛擬機(jī)I是否成功,虛擬機(jī)生成模塊160會(huì)自動(dòng)生成新虛擬機(jī)3。
[0033]所述自動(dòng)切換模塊180用于在新虛擬機(jī)啟動(dòng)后與對(duì)應(yīng)的異常虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作,也即在新虛擬機(jī)啟動(dòng)后,關(guān)閉異常虛擬機(jī),停止該虛擬機(jī)對(duì)外提供服務(wù),新虛擬機(jī)代替異常虛擬機(jī)繼續(xù)工作,如圖4所示,如虛擬機(jī)I被病毒攻擊后,自動(dòng)切換模塊180啟動(dòng)新虛擬機(jī)3后關(guān)閉虛擬機(jī)I以使新虛擬機(jī)3代替虛擬機(jī)I進(jìn)行工作。可以理解的是,由于異常虛擬機(jī)中提供的HTTP服務(wù)的sess1n狀態(tài)信息存儲(chǔ)到數(shù)據(jù)庫(kù)中,進(jìn)行虛擬機(jī)切換時(shí)可保證HTTP服務(wù)不間斷的繼續(xù)進(jìn)行。
[0034]為提高系統(tǒng)安全性,虛擬機(jī)切換系統(tǒng)100還包括一個(gè)鏡像加固模塊130,如圖1所示,所述鏡像加固模塊130用于對(duì)基礎(chǔ)鏡像設(shè)置模塊120設(shè)置的虛擬機(jī)基礎(chǔ)鏡像進(jìn)行加固。虛擬機(jī)基礎(chǔ)鏡像的加固是通過(guò)對(duì)文件、目錄、進(jìn)程、服務(wù)等的強(qiáng)制訪問(wèn)控制,有效的制約和分散了原有系統(tǒng)管理員的權(quán)限,綜合了對(duì)文件和服務(wù)的完整性檢測(cè)、Web過(guò)濾防護(hù)和防緩沖區(qū)溢出等功能,能夠把普通的操作系統(tǒng)從體系上升級(jí),在操作系統(tǒng)的級(jí)別上對(duì)各種攻擊提供一定的免疫,防止對(duì)操作系統(tǒng)和數(shù)據(jù)的破壞。
[0035]對(duì)虛擬機(jī)基礎(chǔ)鏡像的加固過(guò)程包括正確安裝操作系統(tǒng)、安裝最新的操作系統(tǒng)安全補(bǔ)丁、操作系統(tǒng)和應(yīng)用軟件的安全配置、系統(tǒng)安全風(fēng)險(xiǎn)防范、系統(tǒng)安全風(fēng)險(xiǎn)測(cè)試、系統(tǒng)完整性備份、系統(tǒng)賬戶口令加固等。
[0036]為合理利用內(nèi)存資源及硬盤(pán)空間,虛擬機(jī)切換系統(tǒng)100還包括一個(gè)資源回收模塊190,如圖1所示,所述資源回收模塊190在異常虛擬機(jī)關(guān)閉時(shí)回收異常虛擬機(jī)所占用的內(nèi)存資源以及在服務(wù)器上的硬盤(pán)空間,回收后可給其他需要的虛擬機(jī)以合理使用,并通過(guò)數(shù)據(jù)覆蓋的方法清除硬盤(pán)上所有的數(shù)據(jù)和痕跡,如向該內(nèi)存或硬盤(pán)上寫(xiě)入‘0101’等無(wú)具體意義的信息。對(duì)硬盤(pán)而言通過(guò)寫(xiě)入上述信息將比硬盤(pán)格式化更加徹底的清除原有數(shù)據(jù),徹底消除被攻擊虛擬機(jī)操作系統(tǒng)的任何數(shù)據(jù)。
[0037]請(qǐng)參閱圖5,其為本發(fā)明實(shí)施方式提供的一種虛擬機(jī)切換方法,其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,所述虛擬機(jī)切換方法包括以下步驟:
[0038]SllO:根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像并存儲(chǔ);
[0039]S120:根據(jù)需要安裝和配置服務(wù)程序;
[0040]S130:根據(jù)需要選擇相應(yīng)的虛擬機(jī)模板以及與所選虛擬機(jī)對(duì)應(yīng)的配置文件啟動(dòng)相應(yīng)的虛擬機(jī);
[0041]S140:在虛擬機(jī)工作出現(xiàn)異常時(shí)根據(jù)虛擬機(jī)信息及異常虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī)并啟動(dòng);
[0042]S150:在所述新虛擬機(jī)啟動(dòng)后與對(duì)應(yīng)的異常虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作。
[0043]在步驟SI 10中,利用基礎(chǔ)鏡像設(shè)置模塊120根據(jù)虛擬機(jī)I與虛擬機(jī)2分別對(duì)應(yīng)設(shè)置虛擬機(jī)基礎(chǔ)鏡像I及虛擬機(jī)基礎(chǔ)鏡像2??梢岳斫獾氖?,虛擬機(jī)基礎(chǔ)鏡像可以是用戶通過(guò)互聯(lián)網(wǎng)下載的一個(gè)包含用戶需要的操作系統(tǒng)類型的虛擬機(jī)鏡像作為基礎(chǔ)鏡像,也可以是用戶通過(guò)鏡像制作工具自己制作一個(gè)虛擬機(jī)鏡像作為基礎(chǔ)鏡像。
[0044]本實(shí)施方式中,設(shè)置的虛擬機(jī)基礎(chǔ)鏡像是下載的虛擬機(jī)鏡像,下載的虛擬機(jī)鏡像的大小有可能不是用戶需要的鏡像大小,所以需要對(duì)基礎(chǔ)鏡像的大小進(jìn)行定制。例如,在KVM(kernel-based Virtual Machine)虛擬機(jī)環(huán)境中通過(guò)命令行對(duì)虛擬機(jī)鏡像大小進(jìn)行定制,若需為虛擬機(jī)鏡像增加5G的空間,則采用“qemu-1mg resize trusty-server-cloudimg-amd64-diskl.raw+5G) ”進(jìn)行設(shè)置,以滿足應(yīng)用系統(tǒng)的使用需求。
[0045]可以理解的是,虛擬機(jī)基礎(chǔ)鏡像生成后,通過(guò)命令行工具或圖形界面工具可將基礎(chǔ)鏡像上傳至虛擬化管理平臺(tái)以便對(duì)基礎(chǔ)鏡像進(jìn)行管理,相應(yīng)的虛擬機(jī)基礎(chǔ)鏡像信息包括CPU數(shù)量,內(nèi)存數(shù)量,硬盤(pán)大小等存儲(chǔ)在系統(tǒng)數(shù)據(jù)庫(kù)中。
[0046]在步驟S120中,利用虛擬機(jī)啟動(dòng)模塊140根據(jù)用戶需要安裝和配置用戶需加載的HTTP服務(wù)程序??梢岳斫獾氖?,用戶也可以根據(jù)實(shí)際需要安裝相應(yīng)的服務(wù)程序。本實(shí)施方式中,虛擬機(jī)啟動(dòng)模塊120所加載的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息存儲(chǔ)在系統(tǒng)的數(shù)據(jù)庫(kù)中。
[0047]在步驟S130中,利用虛擬機(jī)啟動(dòng)模塊140根據(jù)虛擬機(jī)上所運(yùn)行的應(yīng)用系統(tǒng)的運(yùn)行負(fù)載等信息選擇合適的虛擬機(jī)模板以及與所選虛擬機(jī)模板對(duì)應(yīng)的虛擬機(jī)配置文件以啟動(dòng)虛擬機(jī)。虛擬機(jī)模板定義了虛擬機(jī)啟動(dòng)所需要的資源,包括CPU數(shù)量,內(nèi)存數(shù)量,硬盤(pán)大小等,配置文件定義了虛擬機(jī)和應(yīng)用系統(tǒng)的各種運(yùn)行參數(shù)信息,虛擬機(jī)模板信息及配置文件信息一般直接存儲(chǔ)在數(shù)據(jù)庫(kù)中。
[0048]在步驟S140中,利用虛擬機(jī)生成模塊160在虛擬機(jī)工作出現(xiàn)異常如虛擬機(jī)遭到病毒、木馬等攻擊時(shí)根據(jù)虛擬機(jī)信息及與虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī),虛擬機(jī)信息包括出現(xiàn)異常的虛擬機(jī)模板信息、配置文件及異常虛擬機(jī)的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息。
[0049]本實(shí)施方式中,如圖2至圖4所示,虛擬機(jī)I工作出現(xiàn)異常時(shí),虛擬機(jī)生成模塊160根據(jù)異常虛擬機(jī)I對(duì)應(yīng)的虛擬機(jī)模板信息、異常虛擬機(jī)I對(duì)應(yīng)的配置文件、異常虛擬機(jī)I中安裝的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息及虛擬機(jī)基礎(chǔ)鏡像I的信息生成新的虛擬機(jī)3??梢岳斫獾氖?,當(dāng)虛擬機(jī)被病毒攻擊,不管病毒攻擊虛擬機(jī)I是否成功,虛擬機(jī)生成模塊160都會(huì)自動(dòng)生成新虛擬機(jī)3。
[0050]在步驟S150中,利用自動(dòng)切換模塊180在新虛擬機(jī)啟動(dòng)后與出現(xiàn)異常的虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作,也即在新虛擬機(jī)啟動(dòng)后,關(guān)閉異常虛擬機(jī),停止該虛擬機(jī)對(duì)外提供服務(wù),新虛擬機(jī)代替異常虛擬機(jī)繼續(xù)工作,如虛擬機(jī)I被病毒攻擊后,自動(dòng)切換模塊180啟動(dòng)新虛擬機(jī)3后關(guān)閉虛擬機(jī)I以使新虛擬機(jī)3代替虛擬機(jī)I進(jìn)行工作??梢岳斫獾氖?,由于異常虛擬機(jī)中提供的HTTP服務(wù)的會(huì)話(sess1n)狀態(tài)信息存儲(chǔ)在數(shù)據(jù)庫(kù)中,進(jìn)行虛擬機(jī)切換時(shí)可保證HTTP服務(wù)不間斷的繼續(xù)進(jìn)行。
[0051]為提高系統(tǒng)安全性,在步驟SllO與步驟S120之間還包括以下步驟:加固所設(shè)置的虛擬機(jī)基礎(chǔ)鏡像。
[0052]在所述加固步驟中,利用鏡像加固模塊130對(duì)基礎(chǔ)鏡像設(shè)置模塊120設(shè)置的虛擬機(jī)基礎(chǔ)鏡像進(jìn)行加固,通過(guò)對(duì)文件、目錄、進(jìn)程、服務(wù)等的強(qiáng)制訪問(wèn)控制,有效的制約和分散了原有系統(tǒng)管理員的權(quán)限,綜合了對(duì)文件和服務(wù)的完整性檢測(cè)、Web過(guò)濾防護(hù)和防緩沖區(qū)溢出等功能,能夠把普通的操作系統(tǒng)從體系上升級(jí),在操作系統(tǒng)的級(jí)別上對(duì)各種攻擊提供一定的免疫,防止對(duì)操作系統(tǒng)和數(shù)據(jù)的破壞。
[0053]對(duì)虛擬機(jī)基礎(chǔ)鏡像的加固過(guò)程包括正確安裝操作系統(tǒng)、安裝最新的操作系統(tǒng)安全補(bǔ)丁、操作系統(tǒng)和應(yīng)用軟件的安全配置、系統(tǒng)安全風(fēng)險(xiǎn)防范、系統(tǒng)安全風(fēng)險(xiǎn)測(cè)試、系統(tǒng)完整性備份、系統(tǒng)賬戶口令加固等。
[0054]為合理利用內(nèi)存資源及硬盤(pán)空間,在步驟S150后還包括以下步驟:在異常虛擬機(jī)關(guān)閉時(shí)回收異常虛擬機(jī)所占用的內(nèi)存資源以及在服務(wù)器上的硬盤(pán)空間。
[0055]在所述回收步驟中,利用資源回收模塊190在出現(xiàn)異常的虛擬機(jī)I關(guān)閉時(shí)回收異常虛擬機(jī)I所占用的內(nèi)存資源以及在服務(wù)器上的硬盤(pán)空間,回收后可給其他需要的虛擬機(jī)以合理使用,并通過(guò)數(shù)據(jù)覆蓋的方法清除硬盤(pán)上所有的數(shù)據(jù)和痕跡,如向該內(nèi)存或硬盤(pán)寫(xiě)入‘0101’等無(wú)具體意義的信息。對(duì)硬盤(pán)而言通過(guò)寫(xiě)入上述信息比硬盤(pán)格式化更加徹底的清除原有數(shù)據(jù),徹底消除被攻擊虛擬機(jī)操作系統(tǒng)的任何數(shù)據(jù)。
[0056]本發(fā)明提供的虛擬機(jī)切換系統(tǒng)100及切換方法通過(guò)基礎(chǔ)鏡像設(shè)置模塊120設(shè)置相應(yīng)虛擬機(jī)的虛擬機(jī)基礎(chǔ)鏡像,在虛擬機(jī)工作出現(xiàn)異常如遭到病毒攻擊時(shí),虛擬機(jī)生成模塊160根據(jù)虛擬機(jī)信息及異常虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī),生成的新的虛擬機(jī)通過(guò)鏡像加固模塊130的加密成為安全可靠的虛擬機(jī),自動(dòng)切換模塊180在新生成的虛擬機(jī)與出現(xiàn)異常的虛擬機(jī)之間自動(dòng)切換,以生成的新虛擬機(jī)代替出現(xiàn)異常的虛擬機(jī)正常工作,無(wú)需人工干預(yù)維護(hù),操作方便,同時(shí)由于異常虛擬機(jī)的鏡像信息中HTTP服務(wù)器的所有會(huì)話(sess1n)狀態(tài)信息是存儲(chǔ)在系統(tǒng)的數(shù)據(jù)庫(kù)中,被攻擊的虛擬機(jī)的所有資源和數(shù)據(jù)被資源回收模塊190回收和清除而HTTP服務(wù)狀態(tài)信息依然可以繼續(xù)保留,新的虛擬機(jī)替代被攻擊的虛擬機(jī)繼續(xù)對(duì)外提供服務(wù),使系統(tǒng)恢復(fù)到被攻擊以前的狀態(tài),實(shí)現(xiàn)對(duì)病毒、木馬等網(wǎng)絡(luò)攻擊的免疫,從而保證了在虛擬機(jī)出現(xiàn)異常如遭到病毒、木馬攻擊時(shí)提供的服務(wù)不間斷繼續(xù)進(jìn)行。
[0057]可以理解的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),可以根據(jù)本發(fā)明的技術(shù)構(gòu)思做出其他各種相應(yīng)的改變與變形,而所有這些改變與變形都應(yīng)屬于本發(fā)明權(quán)利要求的保護(hù)范圍。
【權(quán)利要求】
1.一種虛擬機(jī)切換系統(tǒng),其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,所述虛擬機(jī)切換系統(tǒng)包括: 一個(gè)基礎(chǔ)鏡像設(shè)置模塊,其用于根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像并存儲(chǔ); 一個(gè)虛擬機(jī)生成模塊,其用于在虛擬機(jī)工作出現(xiàn)異常時(shí)根據(jù)虛擬機(jī)信息及虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī)并啟動(dòng);及 一個(gè)自動(dòng)切換模塊,其用于在所述新虛擬機(jī)啟動(dòng)后與對(duì)應(yīng)的異常虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作。
2.如權(quán)利要求1所述的虛擬機(jī)切換系統(tǒng),其特征在于,所述虛擬機(jī)切換系統(tǒng)還包括一個(gè)鏡像加固模塊,所述鏡像加固模塊用于對(duì)所述基礎(chǔ)鏡像設(shè)置模塊設(shè)置的所述至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像進(jìn)行加固。
3.如權(quán)利要求1所述的虛擬機(jī)切換系統(tǒng),其特征在于,所述虛擬機(jī)切換系統(tǒng)包括一個(gè)虛擬機(jī)啟動(dòng)模塊,所述虛擬機(jī)啟動(dòng)模塊用于根據(jù)用戶需要安裝和配置HTTP服務(wù)程序后選擇相應(yīng)的虛擬機(jī)模板以及與所選虛擬機(jī)模板對(duì)應(yīng)的配置文件以啟動(dòng)相應(yīng)的虛擬機(jī)。
4.如權(quán)利要求3所述的虛擬機(jī)切換系統(tǒng),其特征在于,所述異常虛擬機(jī)信息包括所述異常虛擬機(jī)對(duì)應(yīng)的虛擬機(jī)模塊信息、所述異常虛擬機(jī)對(duì)應(yīng)的配置文件及所述異常虛擬機(jī)中安裝的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息。
5.如權(quán)利要求1所述的虛擬機(jī)切換系統(tǒng),其特征在于,所述虛擬機(jī)切換系統(tǒng)還包括一個(gè)資源回收模塊,所述資源回收模塊在異常虛擬機(jī)關(guān)閉時(shí)回收所述異常虛擬機(jī)占用的內(nèi)存資源及硬盤(pán)空間并清除硬盤(pán)數(shù)據(jù)。
6.—種虛擬機(jī)切換方法,其用于在虛擬機(jī)出現(xiàn)異常時(shí)進(jìn)行虛擬機(jī)切換,所述虛擬機(jī)切換方法包括以下步驟: 根據(jù)至少一個(gè)虛擬機(jī)對(duì)應(yīng)設(shè)置至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像并存儲(chǔ); 在虛擬機(jī)工作出現(xiàn)異常時(shí)根據(jù)虛擬機(jī)信息及異常虛擬機(jī)所對(duì)應(yīng)的虛擬機(jī)鏡像信息生成對(duì)應(yīng)的新虛擬機(jī)并啟動(dòng); 在所述新虛擬機(jī)啟動(dòng)后與對(duì)應(yīng)的異常虛擬機(jī)之間進(jìn)行切換以使新虛擬機(jī)代替異常虛擬機(jī)正常工作。
7.如權(quán)利要求6所述的虛擬機(jī)切換方法,其特征在于,在設(shè)置虛擬機(jī)基礎(chǔ)鏡像步驟與生成新虛擬機(jī)步驟之間還包括以下步驟:加固所設(shè)置的至少一個(gè)虛擬機(jī)基礎(chǔ)鏡像。
8.如權(quán)利要求6所述的虛擬機(jī)切換系統(tǒng),其特征在于,在設(shè)置虛擬機(jī)基礎(chǔ)鏡像的步驟之后包括以下步驟: 根據(jù)需要安裝和配置Http服務(wù)程序; 選擇相應(yīng)的虛擬機(jī)模板以及與所選虛擬機(jī)模板對(duì)應(yīng)的配置文件啟動(dòng)相應(yīng)的虛擬機(jī)。
9.如權(quán)利要求8所述的虛擬機(jī)切換系統(tǒng),其特征在于,所述異常虛擬機(jī)信息包括所述異常虛擬機(jī)對(duì)應(yīng)的虛擬機(jī)模塊信息、所述異常虛擬機(jī)對(duì)應(yīng)的配置文件及所述異常虛擬機(jī)中安裝的HTTP服務(wù)程序的所有會(huì)話(sess1n)狀態(tài)信息。
10.如權(quán)利要求6所述的虛擬機(jī)切換系統(tǒng),其特征在于,在虛擬機(jī)自動(dòng)切換步驟后還包括以下步驟,在異常虛擬機(jī)關(guān)閉時(shí)回收所述異常虛擬機(jī)占用的內(nèi)存資源及硬盤(pán)空間并清除硬盤(pán)數(shù)據(jù)。
【文檔編號(hào)】G06F11/14GK104484231SQ201410854790
【公開(kāi)日】2015年4月1日 申請(qǐng)日期:2014年12月31日 優(yōu)先權(quán)日:2014年12月31日
【發(fā)明者】李偉, 桑梓勤, 余少華, 秦偉, 王若舟, 肖凌 申請(qǐng)人:武漢郵電科學(xué)研究院