发明名称 |
用于虚拟系统上动态切换和实时安全性控制的方法和设备 |
摘要 |
本发明的名称为用于虚拟系统上动态切换和实时安全性控制的方法和设备,在一些实施例中,本发明涉及保护主处理器发送和接收的网络业务安全。公开了在虚拟化技术平台上利用第二处理器发送/接收和分类消息的系统和方法。在将可疑消息路由到在主处理器上运行的多个虚拟机之一前,第二处理器要将可疑消息转发到虚拟设备以做进一步调查。在消息不可疑时,避免使用虚拟设备,并且经在主处理器上运行的虚拟机管理器将消息路由到多个虚拟机之一。本文也描述和声明了其他实施例。 |
申请公布号 |
CN101399835B |
申请公布日期 |
2013.07.17 |
申请号 |
CN200810168008.3 |
申请日期 |
2008.09.17 |
申请人 |
英特尔公司 |
发明人 |
D·摩根;A·D·罗斯 |
分类号 |
H04L29/06(2006.01)I;G06F9/455(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
中国专利代理(香港)有限公司 72001 |
代理人 |
柯广华;王丹昕 |
主权项 |
一种用于使到平台的网络业务安全的系统,包括:在具有虚拟化技术能力的所述平台上的主处理器;在所述主处理器上执行的虚拟机管理器,所述虚拟机管理器控制在所述主处理器上运行的多个虚拟机;调查可疑网络业务的安全性虚拟设备,所述安全性虚拟设备在所述多个虚拟机的第一虚拟机上运行;所述平台上的耦合到所述主处理器的第二处理器,所述第二处理器控制网络通信并将网络业务发送到所述主处理器上运行的所述多个虚拟机以及从所述多个虚拟机接收网络业务,所述第二处理器使用至少一个过滤器来首先识别网络业务是可疑还是不可疑的,其中当所述网络业务符合所述网络的过滤器的标准时,所述第二处理器将所述网络业务识别为是可疑的;其中所述第二处理器用来:i)响应于用所述至少一个过滤器首先识别所述网络业务是可疑的,将可疑网络业务路由到所述安全性虚拟设备以做进一步调查,并且ii)响应于用所述至少一个过滤器首先识别所述网络业务是不可疑的,将所述不可疑业务路由到在所述主处理器上运行的最初的预期接收者,所述最初的预期接收者是所述多个虚拟机的另一个虚拟机;且其中所述安全性虚拟设备随后对所述可疑的网络业务执行深度分组分析以确定由所述第二处理器识别的所述可疑网络业务是有害的还是无害的,所述安全性虚拟设备用于:i)响应于随后确定所述可疑的网络业务是无害的,使得所述无害业务路由到在所述主处理器上运行的所述最初的预期接收者,并且ii)响应于随后确定所述可疑的网络业务是有害的,使得所述有 害业务被丢弃。 |
地址 |
美国加利福尼亚州 |