虚拟机风险检测方法、设备及计算机可读存储介质与流程

1.本发明涉及虚拟机安全技术领域，尤其涉及虚拟机风险检测方法、设备及计算机可读存储介质。


背景技术：

2.虚拟机(virtual machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
3.在虚拟化环境中，目前对虚拟机进行风险检测广泛采用有代理方式，即在虚拟机内部安装有代理客户端(agent)。该客户端运行在虚拟机内部，采集虚拟机操作系统和软件等信息，并最终发现该虚拟机存在的风险。
4.然而，由于代理客户端属于侵入式部署，需要在虚拟机内部安装软件，通常需要安装系统服务，甚至安装内核驱动模块，这增加了虚拟机的不稳定因素。
5.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

6.本发明的主要目的在于提供一种虚拟机风险检测方法、设备及计算机可读存储介质，旨在解决虚拟机的稳定性受影响的技术问题。
7.为实现上述目的，本发明提供一种虚拟机风险检测方法，所述虚拟机风险检测方法包括以下步骤：
8.确定待检测虚拟机的虚拟硬盘文件的存储位置；
9.基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用；
10.基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果。
11.可选地，所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤之前，包括：
12.通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记；
13.将未关联检测标记的所述虚拟机设置为所述待检测虚拟机；和/或
14.根据所述检测记录确定所述虚拟机对应的未检测时长，将未检测时长大于时长阈值的所述虚拟机，设置为所述待检测虚拟机。
15.可选地，所述将未关联检测标记的所述虚拟机设置为所述待检测虚拟机；和/或根据所述检测记录确定所述虚拟机对应的未检测时长，将未检测时长大于时长阈值的所述虚拟机，设置为所述待检测虚拟机的步骤之后，还包括：
16.若存在所述待检测虚拟机，则执行所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤；
17.当不存在所述待检测虚拟机时，跳转执行所述通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记的步骤。
18.可选地，所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤之前，包括：
19.获取具有管理接口访问权限的账户信息后，添加云平台；
20.根据所述账户信息登录所述云平台，访问所述云平台的所述管理接口。
21.可选地，所述基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果的步骤之后，包括：
22.根据所述待检测虚拟机的风险检测结果确定当前风险值；
23.当所述风险值处于第一值域时，锁定所述待检测虚拟机；
24.当所述风险值处于第二值域时，锁定所述虚拟机对应的虚拟硬盘文件；
25.当所述风险值处于第三值域时，输出所述虚拟机对应的告警提示，其中，所述第一值域的风险高于所述第二值域的风险，所述第二值域的风险高于所述第三值域的风险。
26.可选地，所述基于所述待检测的虚拟硬盘文件引用进行风险检测的步骤包括：
27.对所述待检测的虚拟硬盘文件引用对应的虚拟硬盘文件进行格式化处理，得到对应的代码特征数据；
28.将所述代码特征数据与预设风险代码数据进行匹配，并根据匹配结果确定所述待检测的虚拟硬盘文件引用的风险检测结果。
29.可选地，所述基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用的步骤包括：
30.若存在多个待检测虚拟机，则确定每个待检测虚拟机对应的序列号；
31.基于多个存储位置，同时对多个虚拟硬盘文件和对应的序列号进行映射加载，并根据所述序列号，确定每个待检测虚拟机对应的待检测的虚拟硬盘文件引用。
32.可选地，所述基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用的步骤包括：
33.若存在多个待检测虚拟机，则基于多个存储位置确定多个虚拟硬盘文件；
34.确定所述多个虚拟硬盘文件中的共有数据和特有数据；
35.对所述共有数据进行一次映射加载，对所述特有数据分别进行映射加载，得到待检测的虚拟硬盘文件引用。
36.此外，为实现上述目的，本发明还提供一种虚拟机风险检测设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序配置为实现所述的虚拟机风险检测方法的步骤。
37.此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现所述的虚拟机风险检测方法的步骤。
38.在本发明提供的一个技术方案中，确定待检测虚拟机的虚拟硬盘文件的存储位置，再基于存储位置对虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用，最终基于待检测的虚拟硬盘文件引用进行风险检测，并根据待检测的虚拟硬盘文件引用的风险检测结果，确定待检测虚拟机的风险检测结果。通过查询到的虚拟硬盘文件的存储位置，对
虚拟硬盘文件进行映射加载得到待检测的虚拟硬盘文件引用，至此，就可以和虚拟机内部一样，读取访问虚拟机的任意文件，通过这个方法，无需在虚拟机内部安装代理客户端，便可对虚拟机内的文件进行风险检测，能够避免侵入式部署带来的不稳定因素，保证虚拟机的稳定性，保证性能不受影响。
附图说明
39.图1是本发明实施例方案涉及的硬件运行环境的虚拟机风险检测设备的结构示意图；
40.图2为本发明虚拟机风险检测方法第一实施例的流程示意图；
41.图3为本发明虚拟机风险检测方法第一实施例的应用场景图；
42.图4为本发明虚拟机风险检测方法第一实施例的应用场景图；
43.图5为本发明虚拟机风险检测方法第二实施例的流程示意图；
44.图6为本发明虚拟机风险检测方法第三实施例的流程示意图；
45.图7为本发明虚拟机风险检测方法第四实施例的流程示意图；
46.图8为本发明虚拟机风险检测方法第五实施例的流程示意图；
47.图9为本发明虚拟机风险检测方法第六实施例的流程示意图；
48.图10为本发明虚拟机风险检测方法第七实施例的流程示意图。
49.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
50.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
51.参照图1，图1为本发明实施例方案涉及的硬件运行环境的虚拟机风险检测设备结构示意图。
52.如图1所示，该虚拟机风险检测设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
53.本领域技术人员可以理解，图1中示出的结构并不构成对虚拟机风险检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
54.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及计算机程序。
55.在图1所示的虚拟机风险检测设备中，网络接口1004主要用于与其他设备进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明虚拟机风险检测设备中的处理器1001、存储器1005可以设置在虚拟机风险检测设备中，所述虚拟机风险检测设备通过处理器1001调用存储器1005中存储的计算机程序，并执行本发明实施例提供的虚拟机风险
检测方法。
56.本发明实施例提供了一种虚拟机风险检测方法，参照图2，图2为本发明一种虚拟机风险检测方法第一实施例的流程示意图。
57.本实施例中，所述虚拟机风险检测方法包括：
58.步骤s11：确定待检测虚拟机的虚拟硬盘文件的存储位置；
59.可以理解的是，虚拟机技术是虚拟化技术的一种，虚拟机是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过物理服务器上运行一个或多个虚拟机，不仅可以节约成本，还有利于资源调配，但是，虚拟化技术在安全方面并没有什么优势，相反，运行虚拟机还存在流量安全监控困难、敏感数据保护难度大、资源耗尽等安全问题，因此，针对上述安全问题需要及时进行风险检测。
60.参照图3，在虚拟化环境中，每个虚拟机都有独立的操作系统和硬盘，而虚拟化层提供了存储虚拟化，即虚拟机的硬盘实际上是由虚拟化层虚拟后提供的，从虚拟化物理服务器的维度看，虚拟机的硬盘实际是其本地或者外部共享存储中的文件。
61.可选地，将全部虚拟机设定为待检测虚拟机，或以检测间隔时长、重要程度等为标准，选定部分虚拟机为待检测虚拟机，以确定进行风险检测的对象。
62.进一步地，由于采用对虚拟硬盘文件扫描的方式进行风险检测，故需要确定待检测虚拟机的虚拟硬盘文件的存储位置。具体方式可以为，调用虚拟化云平台的管理接口，访问云平台中用于描述文件存储位置的存储位置描述表，由于该存储位置描述表中详细记录着文件名称和文件存储位置之间的映射关系，因此，以虚拟硬盘文件为关键词，便可查询待检测虚拟机的存储信息，同理，再通过存储信息定位虚拟硬盘文件的存储位置；亦或是，直接通过程序遍历物理服务器的文件夹，根据关键字确定虚拟硬盘文件所在的存储位置，本实施例不作具体限定。
63.步骤s12：基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用；
64.可选地，参见图4，基于上述存储位置，可以先请求获取虚拟硬盘文件的引用，建立引用后，再进行映射加载，得到待检测的虚拟硬盘文件引用，至此，便可以像访问本地文件一样访问虚拟机硬盘上的文件。
65.需要注意的是，可以针对虚拟硬盘文件中的所有数据进行映射加载，也可以按需读取虚拟硬盘文件中的特定数据，映射加载得到待检测的虚拟硬盘文件引用，包括但不限于以复制的形式，本实施例不作具体限定。
66.步骤s13：基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果。
67.可选地，针对引用的待检测虚拟硬件文件，可以采用多种方式进行风险检测，本实施例不作具体限定。示例性地，判定待检测虚拟硬件文件内容是否符合编码规则对应的语法规范，并根据判定结果确定待检测虚拟硬件文件是否存在风险；亦或是，将待检测虚拟硬件文件与具有内存泄露风险的代码特征数据进行匹配，并根据匹配值确定风险分数；亦或是，提取待检测虚拟硬件文件的技术栈，判断待检测虚拟硬件文件的技术栈是否存在于预设的安全技术栈集合，若不存在，则判定待检测虚拟硬件文件的风险高。
68.需要注意的是，可以根据风险检测要求确定待检测文件类型，如易感染文件或重
要文件，再根据待检测文件类型对待检测的虚拟硬盘文件引用进行筛选，得到特定类型的待检测的虚拟硬盘文件，并对此进行风险检测。
69.进一步地，得到待检测的虚拟硬盘文件引用的风险检测结果后，由于待检测的虚拟硬盘文件引用和待检测虚拟机是一一对应关系，因此，进一步确定待检测虚拟机的风险检测结果。
70.在本实施例提供的一个技术方案中，确定待检测虚拟机的虚拟硬盘文件的存储位置，再基于存储位置对虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用，最终基于待检测的虚拟硬盘文件引用进行风险检测，并根据待检测的虚拟硬盘文件引用的风险检测结果，确定待检测虚拟机的风险检测结果。通过查询到的虚拟硬盘文件的存储位置，对虚拟硬盘文件进行映射加载得到待检测的虚拟硬盘文件引用，至此，就可以和虚拟机内部一样，读取访问虚拟机的任意文件，通过这个方法，无需在虚拟机内部安装代理客户端，便可对虚拟机内的文件进行风险检测，能够避免侵入式部署带来的不稳定因素，保证虚拟机的稳定性，保证性能不受影响。
71.进一步的，参照图5，提出本发明虚拟机风险检测方法第二实施例。基于上述图2所示的实施例，所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤之前，包括：
72.步骤s21：通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记；
73.步骤s22：将未关联检测标记的所述虚拟机设置为所述待检测虚拟机；和/或根据所述检测记录确定所述虚拟机对应的未检测时长，将未检测时长大于时长阈值的所述虚拟机，设置为所述待检测虚拟机。
74.可选地，通过调用云平台的管理接口查询虚拟机列表，前述虚拟机列表中记载着物理服务器上的所有虚拟机。进一步地，获取虚拟机列表中所有虚拟机的检测记录和/或检测标记，虚拟机的检测记录包括虚拟机每次检测的时间，另外，虚拟机的检测标记表示当前虚拟机已进行风险检测。
75.可选地，若当前虚拟机未关联检测标记，则说明当前虚拟机尚未进行风险检测，因此，将未关联检测标记的虚拟机设置为所述待检测虚拟机。
76.可选地，由于检测记录包括每次检测的时间，结合最近一次检测的时间和当前时间，便可确定当前虚拟机对应的未检测时长，可以理解的是，技术人员可以基于物理服务器、虚拟机的具体情况设置风险检测的时长阈值，若未检测时长大于时间阈值，则将当前虚拟机设置为待检测虚拟机。
77.进一步的，所述将未关联检测标记的所述虚拟机设置为所述待检测虚拟机；和/或根据所述检测记录确定所述虚拟机对应的未检测时长，将未检测时长大于时长阈值的所述虚拟机，设置为所述待检测虚拟机的步骤之后，还包括：
78.步骤s23：若存在所述待检测虚拟机，则执行所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤；
79.步骤s24：当不存在所述待检测虚拟机时，跳转执行所述通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记的步骤。
80.可选地，若存在待检测虚拟机，则需要对其进行风险检测，故执行所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤。
81.可选地，若不存在待检测虚拟机，则说明暂无风险检测的需求，故跳转执行所述通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记的步骤。
82.需要注意的是，为避免无限重复执行，浪费处理资源，可以设置静默时长，在静默时长内，不再进行查询列表、确定待检测虚拟机等步骤，静默时长过后，再跳转执行所述通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记的步骤。
83.在本实施例提供的一个技术方案中，通过调用云平台的管理接口查询虚拟机列表，并获取虚拟机列表中虚拟机的检测记录和/或检测标记，进一步地，将未关联检测标记的虚拟机设置为待检测虚拟机，和/或根据检测记录确定虚拟机对应的未检测时长，将未检测时长大于时长阈值的虚拟机，设置为待检测虚拟机，最后根据是否存在待检测虚拟机，决定后续步骤。通过获取所有虚拟机的检测记录和/或检测标记，并进一步根据检测记录和/或检测标记设置待检测虚拟机，如此设置，能够从虚拟机列表中筛选出风险系数高的虚拟机进行风险检测，实现有针对性的风险检测，避免检测任务过重，提升整体检测效率。
84.进一步的，参照图6，提出本发明虚拟机风险检测方法第三实施例。基于上述图2所示的实施例，所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤之前，包括：
85.步骤s31：获取具有管理接口访问权限的账户信息后，添加云平台；
86.步骤s32：根据所述账户信息登录所述云平台，访问所述云平台的所述管理接口。
87.可以理解的是，为实现资源隔离、权限隔离，云平台针对不同的账户提供不同的权限，因此，需要获取具有管理接口访问权限的账户信息，随后，无代理控制台添加云平台。
88.进一步地，根据账户信息登录云平台，并通过网络访问云平台的管理接口，在此之后，便可通过该管理接口确定待检测虚拟机的虚拟硬盘文件的存储位置。
89.在本实施例提供的一个技术方案中，获取具有管理接口访问权限的账户信息后，添加云平台，再根据该账户信息登录云平台，访问云平台的管理接口。本方案先获取具有管理接口访问权限的账户信息，再根据该账户信息登录云平台进行相关操作，相较于完全开放的云平台，本方案的安全系数更高，避免不法分子通过管理接口随意获取虚拟机的各类文件。
90.进一步的，参照图7，提出本发明虚拟机风险检测方法第四实施例。基于上述图2所示的实施例，所述基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果的步骤之后，包括：
91.步骤s41：根据所述待检测虚拟机的风险检测结果确定当前风险值；
92.步骤s42：当所述风险值处于第一值域时，锁定所述待检测虚拟机；
93.步骤s43：当所述风险值处于第二值域时，锁定所述虚拟机对应的虚拟硬盘文件；
94.步骤s44：当所述风险值处于第三值域时，输出所述虚拟机对应的告警提示，其中，所述第一值域的风险高于所述第二值域的风险，所述第二值域的风险高于所述第三值域的风险。
95.可选地，根据待检测虚拟机的风险检测结果确定当前风险值，用于表示待检测虚拟机的风险程度，如80分。
96.需要注意的是，预先划分三个值域且设置不同的处理方式，其中，第一值域的风险高于第二值域的风险，第二值域的风险高于第三值域的风险。
97.可选地，判定当前风险值所在的值域，当风险值处于第一值域时，锁定待检测虚拟机；当风险值处于第二值域时，锁定虚拟机对应的虚拟硬盘文件；当风险值处于第三值域时，输出虚拟机对应的告警提示。
98.亦或是，针对三个值域设置不同等级的警告，判定当前风险值所在的值域，当风险值处于第一值域时，输出高风险告警提醒；当风险值处于第二值域时，输出中风险告警提醒；当风险值处于第三值域时，输出低风险告警提醒。
99.在本实施例提供的一个技术方案中，根据待检测虚拟机的风险检测结果确定当前风险值，当风险值处于第一值域时，锁定待检测虚拟机，当风险值处于第二值域时，锁定虚拟机对应的虚拟硬盘文件，当风险值处于第三值域时，输出虚拟机对应的告警提示。通过预先划分三个值域且设置不同的处理方式，在实际检测过程中，根据风险检测结果对应的风险值所在的值域，采取对应的处理措施，有效降低风险损害程度，使得整个过程更加合理化。
100.进一步的，参照图8，提出本发明虚拟机风险检测方法第五实施例。基于上述图2所示的实施例，所述基于所述待检测的虚拟硬盘文件引用进行风险检测的步骤包括：
101.步骤s51：对所述待检测的虚拟硬盘文件引用对应的虚拟硬盘文件进行格式化处理，得到对应的代码特征数据；
102.步骤s52：将所述代码特征数据与预设风险代码数据进行匹配，并根据匹配结果确定所述待检测的虚拟硬盘文件引用的风险检测结果。
103.可选地，对待检测的虚拟硬盘文件引用对应的虚拟硬盘文件进行格式化处理，如将虚拟硬盘文件转化为代码文件，经无效字符删除、数据统一规范等步骤，得到对应的代码特征数据。
104.进一步地，技术人员根据虚拟机类型、常见风险等确定预设风险代码数据，在实际检测过程中，将代码特征数据与预设风险代码数据进行匹配，并根据匹配结果确定虚拟硬盘文件的风险检测结果，示例性地，当匹配度超过80％时，确定当前虚拟硬盘文件的风险高。
105.在本实施例提供的一个技术方案中，对待检测的虚拟硬盘文件引用对应的虚拟硬盘文件进行格式化处理，得到对应的代码特征数据，再将代码特征数据与预设风险代码数据进行匹配，并根据匹配结果确定待检测的虚拟硬盘文件引用的风险检测结果。在本实施例的一个技术方案，提供了对待检测的虚拟硬盘文件引用进行风险检测的具体步骤，通过与预设风险代码数据进行比较，能够快速、有效地得到风险检测结果，提升整体方案的检测速率。
106.进一步的，参照图9，提出本发明虚拟机风险检测方法第六实施例。基于上述图2所示的实施例，所述基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用的步骤包括：
107.步骤s61：若存在多个待检测虚拟机，则确定每个待检测虚拟机对应的序列号；
108.步骤s62：基于多个存储位置，同时对多个虚拟硬盘文件和对应的序列号进行映射加载，并根据所述序列号，确定每个待检测虚拟机对应的待检测的虚拟硬盘文件引用。
109.可以理解的是，当存在多个待检测虚拟机时，如果采用单个映射加载的方式，需要花费大量时间才能全部映射加载完毕，因此，本实施例采用同时映射加载的方式。
110.可选地，为保证多个虚拟硬盘文件映射加载到本地后，能够明确区分每个文件与待检测虚拟机之间的对应关系，因此，在映射加载之前，确定每个待检测虚拟机对应的序列号，如001、002、003。进一步地，基于多个存储位置，同时对多个虚拟硬盘文件和对应的序列号进行映射加载，并根据所述序列号，确定每个待检测虚拟机对应的待检测的虚拟硬盘文件引用。
111.示例性地，确定第一待检测虚拟机、第二待检测虚拟机的序列号分别为001、002，基于两个存储位置，同时对两个虚拟硬盘文件和对应的序列号进行映射加载(第一待检测虚拟机的虚拟硬盘文件和001、第二待检测虚拟机的虚拟硬盘文件和002)，之后，由于第一虚拟硬盘文件所携带的序列号为001，因此可以确定第一待检测虚拟机对应第一待检测的虚拟硬盘文件引用。
112.在本实施例提供的一个技术方案中，若存在多个待检测虚拟机，则确定每个待检测虚拟机对应的序列号，基于多个存储位置，同时对多个虚拟硬盘文件和对应的序列号进行映射加载，根据序列号确定每个待检测虚拟机对应的待检测的虚拟硬盘文件引用。本实施例提供的一个技术方案，确定待检测虚拟机的序列号，以便后续映射加载过程中对多个虚拟硬盘文件进行标记，保证在本地能够准确确定每个待检测虚拟机对应的待检测的虚拟硬盘文件引用，避免待检测虚拟机匹配文件错误而导致的风险检测结果偏差。
113.进一步的，参照图10，提出本发明并虚拟机风险检测方法第七实施例。基于上述图2所示的实施例，所述基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用的步骤包括：
114.步骤s71：若存在多个待检测虚拟机，则基于多个存储位置确定多个虚拟硬盘文件；
115.步骤s72：确定所述多个虚拟硬盘文件中的共有数据和特有数据；
116.步骤s73：对所述共有数据进行一次映射加载，对所述特有数据分别进行映射加载，得到待检测的虚拟硬盘文件引用。
117.可选地，若存在多个待检测虚拟机，则基于多个存储位置确定多个虚拟硬盘文件，可以理解的是，多个虚拟硬盘文件中可能存在部分相同的数据，针对该类数据，无需进行多次映射加载，只需映射加载一次便能达到风险检测的目的。
118.进一步地，对多个虚拟硬盘文件进行数据处理，划分共有数据和特有数据，对前述共有数据进行一次映射加载，对前述特有数据分别进行映射加载，得到待检测的虚拟硬盘文件引用。
119.示例性地，第一虚拟硬盘文件包括数据a和数据b，第二虚拟硬盘文件包括数据a和数据c，因此，数据a为共有数据，数据b为第一虚拟硬盘文件的特有数据，数据c第二虚拟硬盘文件的特有数据，进一步地，对共有数据a进行一次映射加载，对特有数据b、c分别进行映射加载，更进一步地，结合共有数据a和特有数据b为第一待检测的虚拟硬盘文件引用，合共有数据a和特有数据c为第二待检测的虚拟硬盘文件引用。
120.需要注意的是，在后续风险检测过程中，可以针对共有数据和特有数据采用不同的检测方式，如对共有数据进行一次风险检测后，后续不再进行二次检测，而对所有的特有
数据都需要进行风险检测。
121.在本实施例提供的一个技术方案中，若存在多个待检测虚拟机，则基于多个存储位置确定多个虚拟硬盘文件，再确定多个虚拟硬盘文件中的共有数据和特有数据，对共有数据进行一次映射加载，对特有数据分别进行映射加载，得到待检测的虚拟硬盘文件引用。通过划分共有数据和特有数据并分类进行映射加载，能够有效节省传输开销，高效将多个虚拟硬盘文件映射加载到本地。
122.本发明实施例提供一种虚拟机风险检测设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序配置为实现所述的虚拟机风险检测方法任一实施例中的步骤。
123.由于虚拟机风险检测设备部分的实施例与方法部分的实施例相互对应，因此虚拟机风险检测设备部分的实施例请参见方法部分的实施例的描述，在此暂不赘述。
124.本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时实现上述虚拟机风险检测方法任一实施例中的步骤。
125.由于计算机可读存储介质部分的实施例与方法部分的实施例相互对应，因此计算机可读存储介质部分的实施例请参见方法部分的实施例的描述，在此暂不赘述。
126.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
127.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
128.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
129.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

技术特征：
1.一种虚拟机风险检测方法，其特征在于，所述虚拟机风险检测方法包括以下步骤：确定待检测虚拟机的虚拟硬盘文件的存储位置；基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用；基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果。2.如权利要求1所述的虚拟机风险检测方法，其特征在于，所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤之前，包括：通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记；将未关联检测标记的所述虚拟机设置为所述待检测虚拟机；和/或根据所述检测记录确定所述虚拟机对应的未检测时长，将未检测时长大于时长阈值的所述虚拟机，设置为所述待检测虚拟机。3.如权利要求2所述的虚拟机风险检测方法，其特征在于，所述将未关联检测标记的所述虚拟机设置为所述待检测虚拟机；和/或根据所述检测记录确定所述虚拟机对应的未检测时长，将未检测时长大于时长阈值的所述虚拟机，设置为所述待检测虚拟机的步骤之后，还包括：若存在所述待检测虚拟机，则执行所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤；当不存在所述待检测虚拟机时，跳转执行所述通过调用云平台的管理接口查询虚拟机列表，并获取所述虚拟机列表中虚拟机的检测记录和/或检测标记的步骤。4.如权利要求1所述的虚拟机风险检测方法，其特征在于，所述确定待检测虚拟机的虚拟硬盘文件的存储位置的步骤之前，包括：获取具有管理接口访问权限的账户信息后，添加云平台；根据所述账户信息登录所述云平台，访问所述云平台的所述管理接口。5.如权利要求1所述的虚拟机风险检测方法，其特征在于，所述基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果的步骤之后，包括：根据所述待检测虚拟机的风险检测结果确定当前风险值；当所述风险值处于第一值域时，锁定所述待检测虚拟机；当所述风险值处于第二值域时，锁定所述虚拟机对应的虚拟硬盘文件；当所述风险值处于第三值域时，输出所述虚拟机对应的告警提示，其中，所述第一值域的风险高于所述第二值域的风险，所述第二值域的风险高于所述第三值域的风险。6.如权利要求1所述的虚拟机风险检测方法，其特征在于，所述基于所述待检测的虚拟硬盘文件引用进行风险检测的步骤包括：对所述待检测的虚拟硬盘文件引用对应的虚拟硬盘文件进行格式化处理，得到对应的代码特征数据；将所述代码特征数据与预设风险代码数据进行匹配，并根据匹配结果确定所述待检测的虚拟硬盘文件引用的风险检测结果。
7.如权利要求1所述的虚拟机风险检测方法，其特征在于，所述基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用的步骤包括：若存在多个待检测虚拟机，则确定每个待检测虚拟机对应的序列号；基于多个存储位置，同时对多个虚拟硬盘文件和对应的序列号进行映射加载，并根据所述序列号，确定每个待检测虚拟机对应的待检测的虚拟硬盘文件引用。8.如权利要求1所述的虚拟机风险检测方法，其特征在于，所述基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用的步骤包括：若存在多个待检测虚拟机，则基于多个存储位置确定多个虚拟硬盘文件；确定所述多个虚拟硬盘文件中的共有数据和特有数据；对所述共有数据进行一次映射加载，对所述特有数据分别进行映射加载，得到待检测的虚拟硬盘文件引用。9.一种虚拟机风险检测设备，其特征在于，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序配置为实现如权利要求1至8中任一项所述的虚拟机风险检测方法的步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的虚拟机风险检测方法的步骤。

技术总结
本发明公开了一种虚拟机风险检测方法、设备及计算机可读存储介质，属于虚拟机安全技术领域。该方法包括：确定待检测虚拟机的虚拟硬盘文件的存储位置；基于所述存储位置对所述虚拟硬盘文件进行映射加载，得到待检测的虚拟硬盘文件引用；基于所述待检测的虚拟硬盘文件引用进行风险检测，并根据所述待检测的虚拟硬件文件引用的风险检测结果，确定所述待检测虚拟机的风险检测结果。本发明通过查询到的虚拟硬盘文件的存储位置，对虚拟硬盘文件进行映射加载得到待检测的虚拟硬盘文件引用，旨在对虚拟硬盘文件引用的扫描实现风险检测，同时保证虚拟机的稳定性及性能不受影响。拟机的稳定性及性能不受影响。拟机的稳定性及性能不受影响。


技术研发人员：谭丹
受保护的技术使用者：哨云科技（南京）有限公司
技术研发日：2023.03.23
技术公布日：2023/7/25