一种虚拟机安全管理方法、系统、装置、设备及介质与流程

1.本技术涉及计算机技术领域，尤其涉及一种虚拟机安全管理方法、系统、装置、设备及介质。


背景技术：

2.服务器系统面临网络病毒和恶意软件攻击，在虚拟机化环境下，通常为了有效的为虚拟化服务器和虚拟桌面防范内网可能的恶意攻击，虚拟化平台会和网络安全软件搭配，以解决虚拟系统内网络病毒防放、网络流量访问控制、区域逻辑隔离、各种泛洪攻击识别和拦截等网络安全问题。
3.相关技术中，通过操作系统和安全软件/杀毒软件、以及监控内核协议栈确定监控的虚拟系统流量，将受监控的虚拟系统流量重定向到安全软件，进行安全防护，但是在这种方法中不受监控的流量可以绕过并无法重定向到安全软件，无法避免防控死角，具有安全隐患，导致虚拟系统的安全性不够高。


技术实现要素：

4.本技术实施例提供了一种虚拟机安全管理方法、系统、装置、设备及介质，用以解决现有技术中虚拟系统的安全性不够高的问题。
5.第一方面，本技术实施例提供了一种虚拟机安全管理方法，所述方法包括：
6.获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；
7.若对第一数据报文的安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；
8.对第二数据报文进行安全处理；
9.若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。
10.第二方面，本技术实施例还提供了一种虚拟机安全管理系统，所述虚拟机安全管理系统包括第一虚拟机和第二虚拟机；
11.第一虚拟机，用于获取进入第一虚拟机的第一数据报文，并对第一数据报文进行安全处理；若对第一数据报文的安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；对第二数据报文进行安全处理；若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出第一虚拟机的第二数据报文进行转发；
12.第二虚拟机，用于接收第二数据报文。
13.第三方面，本技术实施例还提供了一种虚拟机安全管理装置，所述装置包括：
14.第一处理模块，用于获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；
15.生成模块，用于若对第一数据报文的安全处理结果包括继续处理，根据第一数据
报文和第一数据报文中携带的数据目的地址，生成第二数据报文；
16.第二处理模块，还用于对第二数据报文进行安全处理；
17.发送模块，用于若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。
18.第四方面，本技术实施例还提供了一种电子设备，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如上述任一项所述虚拟机安全管理方法的步骤。
19.第五方面，本技术实施例还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述虚拟机安全管理方法的步骤。
20.由于在本技术实施例中，获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；若安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；对第二数据报文进行安全处理；若安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。由于该方法中对进入虚拟机的第一数据报文和流出虚拟机的第二数据报文均进行安全处理，即对所有进出虚拟机的数据流进行全程安全防护，避免了数据绕过安全监控带来的安全隐患，从而对虚拟平台数据流进行安全防护，提高了虚拟系统的安全性。
附图说明
21.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
22.图1为本技术的一些实施例提供的一种虚拟机安全管理过程示意图；
23.图2为本技术的一些实施例提供的一种虚拟机安全管理的软件系统的架构图；
24.图3为本技术的一些实施例提供的一种虚拟机安全管理流程示意图；
25.图4为本技术的一些实施例提供的一种生成第二数据报文的过程示意图；
26.图5为本技术的一些实施例提供的一种虚拟机安全管理系统的结构示意图；
27.图6为本技术的一些实施例提供的一种虚拟机安全管理装置结构示意图；
28.图7为本技术实施例提供的一种电子设备结构示意图。
具体实施方式
29.为使本技术的目的和实施方式更加清楚，下面将结合本技术示例性实施例中的附图，对本技术示例性实施方式进行清楚、完整地描述，显然，描述的示例性实施例仅是本技术一部分实施例，而不是全部的实施例。
30.需要说明的是，本技术中对于术语的简要说明，仅是为了方便理解接下来描述的实施方式，而不是意图限定本技术的实施方式。除非另有说明，这些术语应当按照其普通和通常的含义理解。
31.本技术中说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似或同类的对象或实体，而不必然意味着限定特定的顺序或先后次序，除非另
外注明。应该理解这样使用的用语在适当情况下可以互换。
32.术语“包括”和“具有”以及他们的任何变形，意图在于覆盖但不排他的包含，例如，包含了一系列组件的产品或设备不必限于清楚地列出的所有组件，而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。
33.术语“模块”是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合，能够执行与该元件相关的功能。
34.最后应说明的是：以上各实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围。
35.为了方便解释，已经结合具体的实施方式进行了上述说明。但是，上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导，可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释原理以及实际的应用，从而使得本领域技术人员更好的使用所述实施方式以及适于具体使用考虑的各种不同的变形的实施方式。
36.本技术实施例提供了一种虚拟机安全管理方法、系统、装置、设备及介质，该方法中获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；若安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；对第二数据报文进行安全处理；若安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。由于该方法中对进入虚拟机的第一数据报文和流出虚拟机的第二数据报文均进行安全处理，即对所有进出虚拟机的数据流进行全程安全防护，避免了数据绕过安全监控带来的安全隐患，从而对虚拟平台数据流进行安全防护，提高了虚拟系统的安全性。
37.实施例1：
38.图1为本技术的一些实施例提供的一种虚拟机安全管理过程示意图，该过程包括：
39.s101：获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理。
40.本技术实施例提供的虚拟机安全管理方法应用于电子设备，该电子设备部署有虚拟机，以及可选的电子设备上有物理网卡。电子设备在对虚拟机安全管理时，可以通过虚拟化系统实现，该虚拟化系统用于提供虚拟机、虚拟交换机(openvswitch)内核、程序运行和数据处理的软件环境。
41.电子设备可以从数据来源地获取进入虚拟机的第一数据报文，第一数据报文的数据来源地可以包括虚拟机或物理网卡。
42.电子设备可以对进入虚拟机的第一数据报文进行安全处理，确定第一数据报文的安全处理结果，安全处理结果包括继续处理和丢弃报文。如果第一数据报文有多个，则电子设备可以对所有第一数据报文都进行安全处理。其中，若第一数据报文是安全的数据流，则将安全处理结果确定为继续处理；若第一数据报文是不安全的数据流，则将安全处理结果确定为丢弃报文，并且结束对第一数据报文的处理。
43.示例的，安全处理包括网络安全数据处理和/或防病毒处理。其中，网络安全数据
protocol，ip)地址、目的ip地址、协议字段、源端口、目的端口；其中端口可以包括传输控制协议(transmission control protocol，tcp)端口号或用户数据报协议(user datagram protocol，udp)端口号。数据目的地址包括以下一个或多个：目的mac地址，目的ip地址，或目的端口。
59.电子设备(或电子设备上的虚拟机)中预先保存有内核流表，该内核流表中保存有报文动作和报文头之间的对应关系，所以电子设备可以将报文头和内核流表中的信息进行匹配，确定匹配结果，然后根据匹配结果进行相应的过程。其中，内核流表可以包括openvwitch内核流表；报文动作可以包括添加、删除或修改报文头，例如添加报文头可以包括添加数据目的地址；将报文头和内核流表中的信息进行匹配可以是判断报文头中包括的信息是否包含在该内核流表中。若报文头中包括的信息包含在该内核流表中，则将匹配结果确定为匹配；若报文头中包括的信息不包含在该内核流表中，则将匹配结果确定为不匹配。
60.其中，内核流表中包括：报文入接口、源mac地址、目的mac地址、源ip地址、目的ip地址、协议字段、源端口、目的端口等匹配域和报文动作。
61.由于报文动作包括添加报文头，报文动作可以用于给第一数据报文添加数据目的地址，从而获得第二数据报文，所以当匹配结果为匹配时，采用报文动作，根据数据目的地址，对第一数据报文添加数据目的地址，生成第二数据报文。
62.实施例3：
63.在上述各实施例的基础上，在本技术实施例中，所述方法还包括：
64.如果在内核流表中未查找到报文头对应的数据目的地址，根据报文头和预设的报文动作，对内核流表进行更新；
65.在更新后的内核流表中，查找与报文头对应的报文动作；
66.采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
67.当匹配结果为不匹配时，即在内核流表中未查找到报文头对应的数据目的地址时，根据第一数据报文的报文头和数据目的地址以及预设的报文动作，对内核流表进行更新，电子设备(或电子设备上的虚拟机)将更新后的内核流表进行保存。具体的，通过解析第一数据报文的报文头，确定第一数据报文的目的mac地址，根据第一数据报文的目的mac地址，查找数据目的地址，其中数据目的地址可以包括目的mac地址、目的ip地址或目的端口中的一个或多个，则基于第一数据报文的报文头、数据目的地址以及预设的报文动作，将该报文头、数据目的地址以及预设的报文动作保存到内核流表中，更新该内核流表，得到更新后的内核流表。其中，预设的报文动作可以包括添加报文头，即添加数据目的地址。
68.由于更新后的内核流表中保存有第一数据报文的报文头和报文动作的对应关系，所以可以在更新后的内核流表中查找报文头对应的报文动作；此时在更新后的内核流表中确定的报文动作可以为预设的报文动作，例如但不限于预设的报文动作为添加。
69.由于预设的报文动作可以包括添加报文头，报文动作可以用于给第一数据报文添加数据目的地址，从而获得第二数据报文，所以采用该报文动作，根据数据目的地址，对第一数据报文添加数据目的地址，生成第二数据报文。
70.实施例4：
71.在上述各实施例的基础上，本技术提供了一种基于虚拟化平台的虚拟机安全管理的软件系统的架构图。如图2所示，该虚拟机安全管理的软件系统包括源数据提取模块、安全处理模块、安全域隔离模块、中间态控制模块、重定向模块和用户态模块。
72.其中，虚拟化系统用于提供虚拟机、openvswitch内核、程序运行和数据处理的软件环境。
73.示例的，源数据提取模块，用于从数据来源地获取第一数据报文，将第一数据报文转发至安全处理模块。其中，数据来源地包括虚拟机或物理网卡。源数据提取模块将第一数据报文引流至安全处理模块。
74.示例的，安全处理模块，与源数据提取模块、中间态控制模块连接；用于提供网络安全数据处理引擎和防病毒引擎，基于网络安全数据处理引擎和防病毒引擎对来自引流模块的数据报文进行安全处理，确定安全处理结果。其中，来自引流模块的数据可以为通过源数据提取模块引流的第一数据报文和/或通过中间态控制模块引流的第二数据报文。
75.具体的，安全处理模块包括网络安全数据处理引擎和防病毒引擎。安全处理模块对第一数据报文进行安全处理，得到第一结果；安全处理模块对第二数据报文进行安全处理，得到第二结果。其中，安全处理包括访问控制、安全域、流量审查、查毒等。
76.示例的，安全域隔离模块，包括内核流表。具体用于，接收安全处理模块转发的第一数据报文以及第一结果，若第一结果为丢弃报文，则丢弃第一数据报文并结束处理；若第一结果为继续处理，则安全域隔离模块根据第一数据报文查询内核流表，获得匹配结果以及第二数据报文。安全域隔离模块还用于将第二数据报文转发至中间态控制模块。
77.示例的，中间态控制模块，用于将第二数据报文引流至安全处理模块。
78.示例的，重定向模块，用于接收安全处理模块转发的第二数据报文以及第二结果，将第二结果为发送处理的第二数据报文发送至数据目的地；将第二结果为丢弃报文的第二数据报文进行丢弃并且结束处理。其中，数据目的地包括虚拟机或物理网卡。
79.示例的，用户态模块，用于当匹配结果为不匹配时，对第一数据报文进行用户态处理。具体的，根据第一数据报文的目的mac地址查找到数据目的地址，基于该数据目的地址和第一数据报文的报文头更新内核流表。
80.基于上述图2所示的虚拟机安全管理的软件系统，本技术实施例的虚拟机安全管理可以具体包括如下处理流程，参见图3：
81.s301：源数据提取模块从数据来源地获取第一数据报文，将该第一数据报文转发至安全处理模块。
82.其中，数据来源地可以包括虚拟机或物理网卡等。
83.将第一数据报文转发至安全处理模块可以包括：调用linux netfilter框架提供的应用程序接口(application programming interface，api)，将第一数据报文引流到安全处理模块。
84.s302：安全处理模块对第一数据报文进行安全处理，确定第一结果。
85.安全处理模块接收到源数据提取模块引流的第一数据报文，基于网络安全数据处理引擎和防病毒引擎对第一数据报文进行安全处理，并确定第一结果。其中安全处理可以包括访问控制、安全域、流量审计、查毒等。
86.其中，第一结果包括继续处理和丢弃报文，若第一数据报文为安全的数据流，则将
第一结果确定为继续处理；若第一数据报文为不安全的数据流，则将第一结果确定为丢弃报文。
87.s303：若第一结果为丢弃报文，则丢弃该第一数据报文并结束处理；若第一结果为继续处理，则将第一数据报文转发至安全域隔离模块，安全域隔离模块根据第一数据报文查询内核流表，根据第一数据报文和数据目的地址生成第二数据报文。
88.其中，生成第二数据报文的过程可以参见图4，包括如下过程：
89.s401：若第一结果为继续处理，则解析第一数据报文的报文头，在预先保存的内核流表中查找报文头对应的报文动作，并与内核流表进行匹配，确定匹配结果。
90.其中，报文头包括：源mac地址、目的mac地址、源ip地址、目的ip地址、协议字段、源端口(tcp端口号或udp端口号)、目的端口。
91.内核流表中包括：报文入接口、源mac地址、目的mac地址、源ip地址、目的ip地址、协议字段、源端口(tcp端口号或udp端口号)、目的端口等匹配域和报文动作。其中，报文动作包括：添加报文头，即添加数据目的地址，数据目的地址可以包括ip地址和/或端口地址。报文动作用于给第一数据报文添加数据目的地址从而生成第二数据报文。
92.s402：判断匹配结果是否为匹配，若是，则执行s403；若否，则执行s404。
93.其中，匹配结果为匹配和不匹配，当第一数据报文的报文头包含在内核流表中时，匹配结果为匹配；当第一数据报文的报文头未包含在内核流表中时，匹配结果为不匹配。
94.s403：给第一数据报文添加数据目的地址，生成第二数据报文。
95.其中，当匹配结果为匹配时，在内核流表中确定第一数据报文对应的报文动作，根据报文动作，给第一数据报文添加报文头，即添加数据目的地址，生成第二数据报文。其中报文动作包括添加、删除或修改报文头，例如添加报文头可以包括添加数据目的地址。
96.s404：将第一数据报文转发至用户态模块。
97.将第一数据报文从安全域隔离模块转发至用户态模块。
98.s405：用户态模块根据第一数据报文的目的mac地址查找到数据目的地址，基于数据目的地址和第一数据报文的报文头更新内核流表。
99.用户态模块在功能上包括：查找数据目的地址和对内核流表的更新。所以用户态模块将更新内核流表的指令转发至安全域隔离模块，安全域隔离模块按照用户态模块发送的更新内核流表的指令对内核流表进行更新，确定更新后的内核流表。
100.其中，对内核流表更新可以包括将报文头和预设的报文动作添加到内核流表中。
101.s406：给第一数据报文添加数据目的地址，生成第二数据报文。
102.由于更新后的内核流表中包含有第一数据报文的报文头及预设的报文动作，在更新后的内核流表中查找与报文头对应的报文动作，其中报文动作可以包括添加报文头，所以可以采用报文动作，给第一数据报文添加数据目的地址，生成第二数据报文。
103.s304：安全域隔离模块将第二数据报文转发至中间态控制模块，中间态控制模块将第二数据报文转发至安全处理模块。
104.其中，中间态控制模块将第二数据报文转发至安全处理模块可以包括：调用linux netfilter框架提供的api，将第二数据报文引流至安全处理模块。
105.s305：安全处理模块对第二数据报文进行安全处理，确定第二结果。
106.其中，安全处理模块接收到中间态控制模块引流的第二数据报文，基于网络安全
数据处理引擎和防病毒引擎对第二数据报文进行安全处理，确定第二结果。其中安全处理可以包括访问控制、安全域、流量审计、查毒等。
107.其中，第二结果包括发送处理和丢弃报文，若第二数据报文为安全的数据流，则将第二结果确定为发送处理；若第二数据报文为不安全的数据流，则将第二结果确定为丢弃报文。
108.s306：若第二结果为丢弃报文，则丢弃该第二数据报文并结束处理；若第二结果为发送处理，则将该第二数据报文转发至重定向模块，该重定向模块将第二数据报文发送至数据目的地址对应的数据目的地。
109.其中数据目的地址对应的数据目的地可以包括虚拟机或物理网卡等。
110.通过上述方法对虚拟机数据流进行基于状态检测细粒度的访问控制、虚拟系统的安全域隔离等网络安全控制，实现了在云虚拟化场景下，在虚拟系统主机和虚拟机端实现入侵检测、流量审计、访问控制和各种泛洪攻击的识别拦截等安全防护措施，为虚拟系统提供了更高的安全性。
111.实施例5：
112.基于相同的构思，在上述各实施例的基础上，图5为本技术实施例提供的一种虚拟机安全管理系统的结构示意图，所述虚拟机安全管理系统包括：第一虚拟机501和第二虚拟机502；
113.第一虚拟机501，用于获取进入第一虚拟机的第一数据报文，并对第一数据报文进行安全处理；若对第一数据报文的安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；对第二数据报文进行安全处理；若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出第一虚拟机的第二数据报文进行转发；
114.第二虚拟机502，用于接收第二数据报文。
115.第一虚拟机501，具体用于根据第一数据报文，解析第一数据报文的报文头，在报文头中确定数据目的地址；在预先保存的内核流表中，查找与报文头对应的报文动作；采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
116.第一虚拟机501，还用于如果在内核流表中未查找到报文头对应的数据目的地址，根据报文头和预设的报文动作，对内核流表进行更新；在更新后的内核流表中，查找与报文头对应的报文动作；采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
117.安全处理包括网络安全数据处理和/或防病毒处理。
118.实施例6：
119.基于相同的技术构思，在上述各实施例的基础上，本技术提供了一种虚拟机安全管理装置，图6为本技术的一些实施例提供的一种虚拟机安全管理装置结构示意图，如图6所示，该装置包括：
120.第一处理模块601，用于获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；
121.生成模块602，用于若对第一数据报文的安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；
122.第二处理模块603，还用于对第二数据报文进行安全处理；
123.发送模块604，用于若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。
124.在一种可能的实施方式中，生成模块602，具体用于根据第一数据报文，解析第一数据报文的报文头，在报文头中确定数据目的地址；在预先保存的内核流表中，查找与报文头对应的报文动作；采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
125.在一种可能的实施方式中，生成模块602，还用于如果在内核流表中未查找到报文头对应的数据目的地址，根据报文头和预设的报文动作，对内核流表进行更新；在更新后的内核流表中，查找与报文头对应的报文动作；采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
126.在一种可能的实施方式中，安全处理包括网络安全数据处理和/或防病毒处理。
127.实施例9：
128.基于相同的技术构思，本技术还提供了一种电子设备，图7为本技术实施例提供的一种电子设备结构示意图，如图7所示，包括：处理器701、通信接口702、存储器703和通信总线704，其中，处理器701，通信接口702，存储器703通过通信总线704完成相互间的通信；
129.存储器703中存储有计算机程序，当程序被处理器701执行时，使得处理器701执行如下步骤：
130.获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；
131.若对第一数据报文的安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；
132.对第二数据报文进行安全处理；
133.若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。
134.在一种可能的实施方式中，处理器701，具体用于根据第一数据报文，解析第一数据报文的报文头，在报文头中确定数据目的地址；在预先保存的内核流表中，查找与报文头对应的报文动作；采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
135.在一种可能的实施方式中，处理器701，还用于如果在内核流表中未查找到报文头对应的数据目的地址，根据报文头和预设的报文动作，对内核流表进行更新；在更新后的内核流表中，查找与报文头对应的报文动作；采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
136.在一种可能的实施方式中，安全处理包括网络安全数据处理和/或防病毒处理。
137.上述电子设备提到的通信总线可以是pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
138.通信接口702用于上述电子设备与其他设备之间的通信。
139.存储器可以包括ram(random access memory，随机存取存储器)，也可以包括nvm(non-volatile memory，非易失性存储器)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器的存储装置。
140.上述处理器可以是通用处理器，包括中央处理器、np(network processor，网络处理器)等；还可以是dsp(digital signal processing，数字指令处理器)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
141.实施例10：
142.基于相同的技术构思，本技术实施例提供了一种计算机可读存储介质，计算机可读存储介质内存储有可由电子设备执行的计算机程序，当程序在电子设备上运行时，使得电子设备执行时实现如下步骤：
143.获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；
144.若对第一数据报文的安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；
145.对第二数据报文进行安全处理；
146.若对第二数据报文的安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。
147.在一种可能的实施方式中，根据第一数据报文和数据目的地址，生成第二数据报文，包括：
148.根据第一数据报文，解析第一数据报文的报文头，在报文头中确定数据目的地址；
149.在预先保存的内核流表中，查找与报文头对应的报文动作；
150.采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
151.在一种可能的实施方式中，还包括：
152.如果在内核流表中未查找到报文头对应的数据目的地址，根据报文头和预设的报文动作，对内核流表进行更新；
153.在更新后的内核流表中，查找与报文头对应的报文动作；
154.采用报文动作，根据数据目的地址，对第一数据报文进行处理，生成第二数据报文。
155.在一种可能的实施方式中，安全处理包括网络安全数据处理和/或防病毒处理。
156.上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(mo)等、光学存储器如cd、dvd、bd、hvd等、以及半导体存储器如rom、eprom、eeprom、非易失性存储器(nand flash)、固态硬盘(ssd)等。
157.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
158.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或
方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
159.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
160.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
161.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种虚拟机安全管理方法，其特征在于，所述方法包括：获取进入所述虚拟机的第一数据报文，并对所述第一数据报文进行安全处理；若对所述第一数据报文的安全处理结果包括继续处理，根据所述第一数据报文和所述第一数据报文中携带的数据目的地址，生成第二数据报文；对所述第二数据报文进行安全处理；若对所述第二数据报文的安全处理结果包括发送处理，根据所述数据目的地址，对流出所述虚拟机的所述第二数据报文进行转发。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一数据报文和数据目的地址，生成第二数据报文，包括：根据所述第一数据报文，解析所述第一数据报文的报文头，在所述报文头中确定数据目的地址；在预先保存的内核流表中，查找与所述报文头对应的报文动作；采用所述报文动作，根据所述数据目的地址，对所述第一数据报文进行处理，生成所述第二数据报文。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：如果在所述内核流表中未查找到所述报文头对应的数据目的地址，根据所述报文头和预设的报文动作，对所述内核流表进行更新；在更新后的内核流表中，查找与所述报文头对应的报文动作；采用所述报文动作，根据所述数据目的地址，对所述第一数据报文进行处理，生成所述第二数据报文。4.根据权利要求1-3任一项所述的方法，其特征在于，所述安全处理包括网络安全数据处理和/或防病毒处理。5.一种虚拟机安全管理系统，其特征在于，所述虚拟机安全管理系统包括第一虚拟机和第二虚拟机；所述第一虚拟机，用于获取进入所述第一虚拟机的所述第一数据报文，并对所述第一数据报文进行安全处理；若对所述第一数据报文的安全处理结果包括继续处理，根据所述第一数据报文和所述第一数据报文中携带的数据目的地址，生成第二数据报文；对所述第二数据报文进行安全处理；若对所述第二数据报文的安全处理结果包括发送处理，根据所述数据目的地址，对流出所述第一虚拟机的所述第二数据报文进行转发；所述第二虚拟机，用于接收所述第二数据报文。6.根据权利要求5所述的系统，其特征在于，所述第一虚拟机，具体用于根据所述第一数据报文，解析所述第一数据报文的报文头，在所述报文头中确定数据目的地址；在预先保存的内核流表中，查找与所述报文头对应的报文动作；采用所述报文动作，根据所述数据目的地址，对所述第一数据报文进行处理，生成所述第二数据报文。7.根据权利要求6所述的系统，其特征在于，所述第一虚拟机，还用于如果在所述内核流表中未查找到所述报文头对应的数据目的地址，根据所述报文头和预设的报文动作，对所述内核流表进行更新；在更新后的内核流表中，查找与所述报文头对应的报文动作；采用所述报文动作，根据所述数据目的地址，对所述第一数据报文进行处理，生成所述第二数据报文。
8.一种虚拟机安全管理装置，其特征在于，所述装置包括：第一处理模块，用于获取进入所述虚拟机的第一数据报文，并对所述第一数据报文进行安全处理；生成模块，用于若对所述第一数据报文的安全处理结果包括继续处理，根据所述第一数据报文和所述第一数据报文中携带的数据目的地址，生成第二数据报文；第二处理模块，用于对所述第二数据报文进行安全处理；发送模块，用于若对所述第二数据报文的安全处理结果包括发送处理，根据所述数据目的地址，对流出所述虚拟机的所述第二数据报文进行转发。9.一种电子设备，其特征在于，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-4任一项所述的一种虚拟机安全管理方法的步骤。10.一种计算机存储介质，其特征在于，其存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行权利要求1-4任一项所述的一种虚拟机安全管理方法的步骤。

技术总结
本申请实施例提供了一种虚拟机安全管理方法、系统、装置、设备及介质，用以解决现有技术中虚拟系统的安全性不够高的问题。在该方法中，获取进入虚拟机的第一数据报文，并对第一数据报文进行安全处理；若安全处理结果包括继续处理，根据第一数据报文和第一数据报文中携带的数据目的地址，生成第二数据报文；对第二数据报文进行安全处理；若安全处理结果包括发送处理，根据数据目的地址，对流出虚拟机的第二数据报文进行转发。由于该方法中对所有进出虚拟机的数据流进行全程安全防护，避免了数据绕过安全监控带来的安全隐患，从而对虚拟平台数据流进行安全防护，提高了虚拟系统的安全性。性。性。


技术研发人员：刘长波 王影新 方宇 刘紫千 金土龙
受保护的技术使用者：天翼安全科技有限公司
技术研发日：2023.01.19
技术公布日：2023/7/22