基于云計算的虛擬機防病毒架構分析

王海新 羅圣美 佟 偉

中興通訊股份有限公司 南京 210012

引 言

隨著云計算的大力發展，基于虛擬化防病毒技術的安全性和高效性越來越重要。

虛擬化技術顧名思義就是將系統的底層硬件資源進行統一管理和抽象，能夠根據需求動態地調配資源，以提升資源的利用率[1]，因此虛擬化技術在性能上會帶來很大的提升和改善，但同時也產生了較多的安全問題，例如資源占用率過高，易引起殺毒風暴等。因此如何保障云計算場景下的業務安全已經成為關注的焦點[2]。

傳統上病毒防治始終是信息安全的重要課題[3],病毒會非法修改其程序或有關信息，將拷貝放入或鏈入其他程序，達到感染其他程序的目的[4]?；谠朴嬎愕姆啦《揪褪潜Ｗo虛擬機在虛擬化場景下不受病毒入侵，從而防備用戶數據泄露、程序毀壞等情況。目前虛擬機病毒傳播主要有三種方式。

1)感染：病毒通過特定的途徑進行傳播。

2)觸發：在特定的時間段進行病毒操作的觸發。

3)載荷：除了自我復制以外的一切操作，例如增大資源的占用造成操作系統卡頓甚至藍屏[5]。

常用的防病毒軟件由病毒庫(特征信息庫)、殺毒引擎兩個主要部件組成。

其中病毒庫主要存放的是防病毒軟件防護者經過對病毒詳細剖析后所得到的該病毒最具有代表性的特征串信息。而殺毒引擎主要由掃描器和消毒器兩部分組成，其中掃描器是相關開發者事先編制好的一段程序，是以特征行為檢測為核心，通過從病毒中提取的特定特征來檢測出有相似行為的病毒程序[6]。

消毒器的消毒過程是按事先約定好的流程及措施將相關信息恢復到原有狀態。

在傳統的PC時代，病毒庫和殺毒引擎均是部署在物理機上，不存在殺毒風暴等問題。但在云化環境下，依托傳統的模式，病毒庫和殺毒引擎分布在每臺虛擬機上，在進行查殺操作時必將會占用大量寶貴的硬件資源，高峰時期甚至會占用50%以上。

本文主要從降低資源使用率，降低掃描時間的角度，在架構上對傳統防病毒軟件、輕代理防病毒軟件和無代理防病毒軟件的安全架構進行對比分析，且進行了嚴格的實驗測試并得出結論。

1 傳統防病毒軟件的安全架構

在云化環境下，基于傳統的防病毒軟件(核心組件為殺毒引擎和病毒庫)主要運行在虛擬機里面(如圖1所示)。

圖1 傳統防病毒軟件架構

該架構主要有如下問題。

1)每臺虛擬機的防病毒軟件在初次啟動或者掃描時要占用主機大量的CPU、內存和磁盤IO等資源，尤其在殺毒高峰時段對資源的并發占用，會造成資源的瞬時瓶頸，進而極大地影響虛擬機業務的正常運行。

2)每臺虛擬機在進行病毒庫升級時，缺乏統一的策略管理且網絡流量進出口單一，因此在并發升級時會搶占大量的網絡帶寬資源，造成網絡擁堵，嚴重時甚至會導致網絡中斷。

3)每臺虛擬機防病毒軟件安全策略各自為政，缺乏有效的統一管理。且在對虛擬機防病毒軟件的升級維護方面，由于缺乏統一管理，因此需要投入大量的人力，維護成本高，另外虛擬機的安全策略復雜，存在嚴重的安全隱患。

因此，為了解決云計算環境殺毒場景下資源占用較高的問題，需要對傳統的架構做一定的改造和優化，目前主要有兩種途徑，分別是針對病毒庫的優化和針對殺毒引擎的優化。其中針對病毒庫的優化，主要將病毒庫獨立出來，而殺毒引擎仍然保留在各個虛擬機內，這樣的架構通常被定義為輕代理防病毒安全架構。另外，將病毒庫和殺毒引擎分別獨立配置，主機和虛擬機之間只保留輕量級的通道，此種架構通常被定義為無代理防病毒安全架構。

2 輕代理的防病毒安全架構

基于輕代理的防病毒安全架構，與傳統防病毒架構相比，將病毒庫獨立出來，用單獨的虛擬機承載，原虛擬機里只保留殺毒引擎，另外增加管理中心，可以對所有虛擬機查殺策略進行統一配置和統一管理，且管理中心可以對接公有云，可以進行病毒庫的實時或定時更新，如圖2所示。

圖2 輕代理防病毒軟件架構

基于輕代理的架構主要有如下特點。

(1)虛擬機提供輕量級的殺毒引擎，與傳統防病毒架構相比，病毒庫部署方式由分布式改造成單一式，部署數量的降低在一定程度上減少了病毒庫對物理資源的占用。

(2)通過管理中心連接公有云，根據需要實時或定時更新病毒庫，同時也可以上傳病毒庫特征文件和黑白名單。與傳統防病毒架構相比，輕代理防護架構的病毒庫僅部署一份，在通過網絡進行病毒庫更新時會大大降低對帶寬資源的占用。

3)管理中心獨立部署在物理機或虛擬機之上，可以從全局層面對虛擬機的殺毒策略進行統一管控，例如分時段對虛擬機進行掃描，避免殺毒風暴，降低資源的競爭性使用。

總的來看，基于輕代理的防病毒架構在一定程度上繼承了傳統防病毒架構的特點，但將病毒庫獨立部署并增加了管理中心。雖然病毒庫的獨立部署在一定程度上減少了對資源的占用，但是由于殺毒引擎工作時仍然會分布式地部署在各個虛擬機里面，在進行查殺操作時仍然會占用巨大的資源。因此，在高并發強資源競爭情況下，還是難以滿足高性能要求。

3 無代理的防病毒安全架構

新一代的基于無代理方式的防病毒安全架構，將病毒庫、日志中心、升級中心和策略系統獨立出來，用獨立的虛擬機或物理機承載，如圖3所示。

圖3 無代理防病毒軟件架構

基于無代理的防病毒架構主要有如下特點。

1)將病毒庫和殺毒引擎獨立部署[7]，其中殺毒引擎作為獨立組件運行在服務器的特權虛擬機中[8]，而虛擬機只保留輕量級的組件，殺毒引擎和虛擬機組件通過專用管道通訊。

2)管理中心面向終端用戶，分別由升級中心、日志中心、策略系統和病毒庫構成。其中升級中心可以提供升級服務，例如提供與公有云對接，實時或定時升級病毒庫等。日志中心為日志收集系統，可以收集被病毒感染的日志文件，并且記錄針對性的安全措施。策略系統是針對安全策略的集中式管理系統，主要包括生成、管理和下發虛擬機的安全策略，跟蹤虛擬機的安全威脅和防御措施。

3)查殺協作是指主機和虛擬機之間通過專用的通道通訊，在進行安全掃描時，殺毒引擎可以根據安全策略，利用專用通道直接掃描虛擬機里面的文件，通過病毒庫進行特征串比對，實施對虛擬機的安全防護和病毒查殺。

基于無代理防病毒架構，將病毒庫和殺毒引擎均獨立部署，同時設置專用的查殺通道，并輔之以策略系統和升級中心等管理系統，各個模塊各司其職，統一管理，在滿足對虛擬機安全防護的同時，還可以進一步降低對資源的占用，提高資源的使用效率。下面將結合具體的實驗進行驗證和研究。

4 防病毒軟件實驗對比

實驗過程中使用EICAR組織和全球反病毒公司共同制定的一組標準防病毒測試文件，病毒文件大小為1.1G左右。

虛擬化環境采用中興云平臺IROS V5.O。實驗環境與服務器配置如表1所示。

表1 實驗環境與配置

測試用例設計：在同一臺主機上同時并發創建8臺虛擬機并發殺毒，分別采用三種殺毒方式進行對比。

1)耗時對比。

如圖4所示，掃描所需時間，傳統殺毒需要69分鐘，輕代理殺毒需要58分鐘，而無代理殺毒只需要47分鐘，在殺毒效率上，無代理殺毒優于以上傳統和輕代理方式。

圖4 掃描時間對比

2)主機側CPU使用率對比。

如圖5所示，掃描所需主機計算資源，傳統殺毒對CPU使用率的峰值和均值分別是50%和23%，輕代理殺毒對CPU使用率的峰值和均值分別是23%和11%，無代理殺毒對CPU使用率的均值和峰值分別是18%和8%。從實驗效果來看，無代理殺毒方式對CPU的資源占用更少。

圖5 主機CPU使用率對比

3)主機側內存使用率對比。

如圖6所示，掃描所需主機內存資源，傳統殺毒對內存使用的峰值和均值分別是902兆和790兆，輕代理殺毒對內存使用的峰值和均值分別是892兆和702兆，無代理殺毒對內存使用的峰值和均值分別是544兆和480兆。從實驗效果來看，無代理殺毒方式對主機內存的資源占用更少。

圖6 主機內存使用對比

4)虛機CPU內存使用對比。

如圖7所示，掃描所需虛擬機內存資源，傳統殺毒對CPU和內存使用的均值分別是8%和20兆，輕代理殺毒對CPU和內存使用的均值分別是5%和15兆，無代理殺毒對CPU和內存使用的均值分別是2%和10兆。從實驗效果來看，無代理殺毒方式對虛擬機CPU和虛擬機內存的資源占用更少。

圖7 虛擬機資源使用對比

從上面三種殺毒方式在同等實驗環境下的結果對比可知，無代理殺毒由于在架構上的優勢，病毒掃描時間、主機側和虛機側對資源的占用都明顯比傳統殺毒和輕代理殺毒的要少，明顯優化了資源使用效率。

5 結論

綜上所述，隨著云計算的大力發展，基于傳統和輕代理的方式存在占用資源過高、容易產生殺毒風暴和流量風暴等問題。而基于無代理的殺毒方式，將病毒庫、日志中心和殺毒引擎等獨立出來，有效地解決了以上問題。且無代理防病毒軟件具有廣泛的操作系統及服務支持，支持大規模的虛擬化環境部署，可以提供多層面的安全防護，并能夠連接公有云實時或定時更新病毒庫。另外通過統一的管理中心，消除了軟件客戶端所產生的成本，降低管理復雜度，并可以通過安全事件自動管理機制，使管理更加簡化，通過策略的統一管控，可以錯峰殺毒，避免殺毒風暴，同時，無代理防病架構還有效提升了虛擬機密度，進而提高投資回報。因此，基于無代理防病毒安全架構在云計算模式將有更好的發展前景。