基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng)及方法,系統(tǒng)包括本地安全數(shù)據(jù)采集子系統(tǒng)、平臺安全數(shù)據(jù)處理子系統(tǒng)、平臺安全報(bào)告子系統(tǒng)和安全數(shù)據(jù)存儲子系統(tǒng);本地安全數(shù)據(jù)采集子系統(tǒng)用于采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù);平臺安全數(shù)據(jù)處理子系統(tǒng)用于按照探測策略和算法對本地安全數(shù)據(jù)采集子系統(tǒng)所采集到的每個(gè)被監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行分析和處理;平臺安全報(bào)告子系統(tǒng)用于向用戶產(chǎn)生安全報(bào)告;安全數(shù)據(jù)存儲子系統(tǒng)用于存儲各個(gè)本地?cái)?shù)據(jù)采集器采集到的安全數(shù)據(jù)及原始安全數(shù)據(jù)。本發(fā)明可實(shí)現(xiàn)對虛擬機(jī)的不間斷監(jiān)控,能夠在虛擬機(jī)遷移時(shí)提供監(jiān)控?cái)?shù)據(jù)的平滑移交;可快速停止受入侵攻擊的虛擬機(jī),避免更多的虛擬機(jī)受到入侵攻擊。
【專利說明】基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云平臺入侵檢測領(lǐng)域,特別是涉及一種基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng)及方法。
【背景技術(shù)】
[0002]基于虛擬機(jī)自省技術(shù)VMI (Virtual Machine Introspection)的IDS是一種在虛擬機(jī)外部監(jiān)控虛擬機(jī)內(nèi)部運(yùn)行狀態(tài)的方法,能夠觀察到被監(jiān)控系統(tǒng)的內(nèi)部狀態(tài),同時(shí)與被監(jiān)控系統(tǒng)相隔離,從而解決了傳統(tǒng)IDS帶來的難題。
[0003]現(xiàn)在基于VMI的入侵檢測系統(tǒng)的架構(gòu)都是以物理服務(wù)器為基本單位,每臺物理服務(wù)器上都部署一臺監(jiān)控虛擬機(jī)用來監(jiān)控同服務(wù)器上的其它虛擬機(jī)。但是這些入侵檢測系統(tǒng)之間是相互獨(dú)立的,不支持信息共享,也不進(jìn)行通信。每個(gè)入侵檢測系統(tǒng)都是根據(jù)本地信息對本地虛擬機(jī)進(jìn)行檢測。
[0004]現(xiàn)有VMI技術(shù)架構(gòu)如圖1所示,因?yàn)楝F(xiàn)有的基于VMI技術(shù)的入侵檢測系統(tǒng)是以物理服務(wù)器為單位獨(dú)立進(jìn)行的,因此在云平臺上使用該架構(gòu)存在著如下問題:
第一,云平臺管理員無法得到云平臺的整體檢測狀況。因?yàn)槊總€(gè)檢測系統(tǒng)都只能提供本地服務(wù)器的檢測狀況,而云平臺上會有上百、上千、甚至上萬臺服務(wù)器,所以讓管理員從這么多檢測系統(tǒng)來總結(jié)出整個(gè)平臺的檢測情況幾乎是不可能的。
[0005]第二,無法檢測到對多臺虛擬機(jī)的聯(lián)合攻擊。有些對云平臺的攻擊,比如分布式拒絕服務(wù)攻擊(DDoS),在攻擊剛開始的時(shí)候,因?yàn)樵破脚_的資源池巨大,不易從單臺服務(wù)器上檢測出輕微攻擊,只有當(dāng)攻擊程度相當(dāng)高的時(shí)候,才能從單臺服務(wù)器上檢測出來,而這個(gè)時(shí)候已經(jīng)為時(shí)過晚。
[0006]第三,在虛擬機(jī)遷移時(shí),如何保持對虛擬機(jī)的不間斷監(jiān)控問題。當(dāng)一臺虛擬機(jī)從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器的時(shí)候,意味著對該虛擬機(jī)的檢測會從原來物理服務(wù)器上的入侵檢測系統(tǒng)轉(zhuǎn)移到目標(biāo)物理服務(wù)器上的入侵檢測系統(tǒng)。因?yàn)閭鹘y(tǒng)架構(gòu)下這兩個(gè)檢測系統(tǒng)是相互獨(dú)立的,所以就無法將原檢測系統(tǒng)上的有關(guān)數(shù)據(jù)傳送到新的檢測系統(tǒng)中去,并且在遷移的過程中會有一段時(shí)間沒有任何檢測系統(tǒng)對該虛擬機(jī)進(jìn)行檢測,出現(xiàn)監(jiān)控間斷。
[0007]第四,因?yàn)槊總€(gè)物理服務(wù)器上都部署一個(gè)入侵檢測系統(tǒng),所有部署、維護(hù)和更新入侵檢測,以及相應(yīng)的檢測策略規(guī)則、病毒庫等資源需要逐一進(jìn)行。這不僅僅帶來了大量的管理工作量,而且容易產(chǎn)生更新遺露,以及更新不及時(shí),從而給整個(gè)平臺的安全性帶來威脅。
[0008]第五,因?yàn)橐慌_虛擬機(jī)在其生命周期中會運(yùn)行在不同的物理服務(wù)器上,所以對該虛擬機(jī)的監(jiān)控信息也是分散在多臺物理服務(wù)器上的。所以,如果需要審計(jì)一臺虛擬機(jī),只能從所有平臺的物理服務(wù)器監(jiān)控記錄中尋找相關(guān)的信息,這將是一個(gè)很復(fù)雜費(fèi)時(shí)的工作。并且,也會存在監(jiān)控空隙。
【發(fā)明內(nèi)容】
[0009]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種新型的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng)及方法,對整個(gè)平臺的所有虛擬機(jī)和物理服務(wù)器進(jìn)行統(tǒng)一的監(jiān)控,即使是每一臺虛擬機(jī)的資源使用量只有小量上升的聯(lián)合攻擊,也能予以準(zhǔn)確檢測;對于虛擬機(jī)的監(jiān)控放在平臺級,而不是物理服務(wù)器級,當(dāng)虛擬機(jī)從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器時(shí),只是數(shù)據(jù)采集地點(diǎn)發(fā)生變化,新的物理服務(wù)器上的數(shù)據(jù)采集系統(tǒng)自動(dòng)采集遷移前物理服務(wù)器上的數(shù)據(jù),從而實(shí)現(xiàn)對虛擬機(jī)的不間斷監(jiān)控,能夠在虛擬機(jī)遷移時(shí)提供監(jiān)控?cái)?shù)據(jù)的平滑移交;可快速停止受入侵攻擊的虛擬機(jī),避免更多的虛擬機(jī)受到入侵攻擊。
[0010]本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的:基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),它包括本地安全數(shù)據(jù)采集子系統(tǒng)、平臺安全數(shù)據(jù)處理子系統(tǒng)、平臺安全報(bào)告子系統(tǒng)和安全數(shù)據(jù)存儲子系統(tǒng);
所述的本地安全數(shù)據(jù)采集子系統(tǒng)用于通過虛擬機(jī)管理器VMM提供的操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù);
所述的平臺安全數(shù)據(jù)處理子系統(tǒng)用于按照探測策略和算法對本地安全數(shù)據(jù)采集子系統(tǒng)所采集到的每個(gè)被監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行分析和處理,以發(fā)現(xiàn)各種入侵威脅;同時(shí)用于根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請求;
所述的平臺安全報(bào)告子系統(tǒng)用于向用戶產(chǎn)生安全報(bào)告:當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)檢測到入侵威脅時(shí),在把檢測到的結(jié)果寫入安全數(shù)據(jù)存儲子系統(tǒng)的同時(shí),直接把數(shù)據(jù)發(fā)給平臺安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知;當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)沒有檢測到入侵威脅時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測任務(wù)情況寫入安全數(shù)據(jù)存儲子系統(tǒng),以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì);
所述的安全數(shù)據(jù)存儲子系統(tǒng)一方面用于存儲各個(gè)本地?cái)?shù)據(jù)采集器采集到的安全數(shù)據(jù),以便供平臺安全數(shù)據(jù)處理子系統(tǒng)進(jìn)行數(shù)據(jù)分析和處理;另一方面用于存儲原始安全數(shù)據(jù),以便供審計(jì)和數(shù)據(jù)挖掘。
[0011]所述的安全數(shù)據(jù)包括物理內(nèi)存、磁盤內(nèi)容或網(wǎng)絡(luò)連接狀態(tài)。
[0012]所述的本地安全數(shù)據(jù)采集子系統(tǒng)至少一個(gè)本地?cái)?shù)據(jù)采集單元和一個(gè)數(shù)據(jù)收發(fā)單元,本地?cái)?shù)據(jù)采集單元包括本地?cái)?shù)據(jù)采集器和虛擬機(jī)管理器VMM,虛擬機(jī)管理器VMM通過操作系統(tǒng)接口與至少一個(gè)被監(jiān)控系統(tǒng)相連,本地?cái)?shù)據(jù)采集器包括操作系統(tǒng)接口庫和數(shù)據(jù)采集模塊,虛擬機(jī)管理器VMM的硬件狀態(tài)輸出端通過操作系統(tǒng)接口庫與數(shù)據(jù)采集模塊連接,數(shù)據(jù)采集模塊分別與數(shù)據(jù)收發(fā)單元相連。
[0013]所述的平臺安全數(shù)據(jù)處理子系統(tǒng)包括多個(gè)策略模塊,采用模塊插件方式,每種探測策略實(shí)現(xiàn)為一個(gè)模塊插入到系統(tǒng)中;平臺安全數(shù)據(jù)處理子系統(tǒng)還包括策略引擎和策略架構(gòu),安全數(shù)據(jù)存儲子模塊通過策略架構(gòu)與各策略模塊連接。
[0014]所述的數(shù)據(jù)收發(fā)單元通過策略架構(gòu)與各策略模塊連接,數(shù)據(jù)收發(fā)單元還直接與安全數(shù)據(jù)存儲子系統(tǒng)連接。
[0015]所述的平臺安全報(bào)告子系統(tǒng)包括報(bào)告架構(gòu)和多個(gè)報(bào)告生成模塊,采用模塊插件方式,每種報(bào)告生成方式實(shí)現(xiàn)為一個(gè)模塊插入到系統(tǒng)中。
[0016]基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法,它包括以下步驟:
S1:各本地?cái)?shù)據(jù)采集單元的虛擬機(jī)管理器VMM分別通過操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù); 52:所采集到的安全數(shù)據(jù)分別通過數(shù)據(jù)收發(fā)單元存儲至安全數(shù)據(jù)存儲子系統(tǒng);
53:在需要進(jìn)行安全數(shù)據(jù)處理時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)調(diào)用安全數(shù)據(jù)存儲子系統(tǒng)中存儲的安全數(shù)據(jù),按照探測策略和算法對每個(gè)被監(jiān)控系統(tǒng)的安全數(shù)據(jù)進(jìn)行分析和處理,以發(fā)現(xiàn)各種入侵威脅;
54:檢測入侵威脅:當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)檢測到入侵威脅時(shí),在把檢測到的結(jié)果寫入安全數(shù)據(jù)存儲子系統(tǒng)的同時(shí),直接把數(shù)據(jù)發(fā)給平臺安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知;當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)沒有檢測到入侵威脅時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測任務(wù)情況寫入安全數(shù)據(jù)存儲子系統(tǒng),以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì)。
[0017]所述的平臺安全數(shù)據(jù)處理子系統(tǒng)還包括一個(gè)根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請求的步驟,本地安全數(shù)據(jù)采集子系統(tǒng)接收到該請求后,通過操作系統(tǒng)接口將該請求轉(zhuǎn)發(fā)給各本地?cái)?shù)據(jù)采集單元的虛擬機(jī)管理器VMM ;當(dāng)數(shù)據(jù)采集模塊接收到虛擬機(jī)管理器VMM對請求的反饋后,通過數(shù)據(jù)收發(fā)單元將該反饋數(shù)據(jù)轉(zhuǎn)發(fā)至平臺安全數(shù)據(jù)處理子系統(tǒng)。
[0018]在對反饋的數(shù)據(jù)進(jìn)行處理的同時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將這些反饋數(shù)據(jù)寫入安全數(shù)據(jù)存儲子系統(tǒng)。
[0019]基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法還包括一個(gè)平臺安全數(shù)據(jù)處理子系統(tǒng)通過虛擬機(jī)管理器VMM對所監(jiān)控的虛擬機(jī)進(jìn)行暫?;蚶^續(xù)操作的步驟。
[0020]本發(fā)明的有益效果是:
(I)云平臺管理員可以時(shí)刻掌握云平臺的整體檢測狀況。在本發(fā)明監(jiān)控架構(gòu)中,所有的信息都集中存放在安全數(shù)據(jù)存儲子系統(tǒng)中,所以平臺安全報(bào)告子系統(tǒng)可以時(shí)刻得到整個(gè)平臺的監(jiān)控信息,并通過多種展示和報(bào)告方式及時(shí)呈現(xiàn)給平臺管理員。
[0021](2)可以及時(shí)發(fā)現(xiàn)對多臺虛擬機(jī)的聯(lián)合攻擊。云平臺監(jiān)控架構(gòu)對整個(gè)平臺的所有虛擬機(jī)和物理服務(wù)器進(jìn)行統(tǒng)一的監(jiān)控,即使是每一臺虛擬機(jī)的資源使用量只有小量上升的聯(lián)合攻擊,通過對整個(gè)云平臺的資源使用量進(jìn)行監(jiān)控,也可以快速發(fā)現(xiàn)整個(gè)云平臺的資源使用量發(fā)生意外的上升,從而盡早把這些攻擊化解掉。
[0022](3)支持對虛擬機(jī)的不間斷監(jiān)控,并且能夠在虛擬機(jī)遷移時(shí)提供監(jiān)控?cái)?shù)據(jù)的平滑移交。云平臺監(jiān)控架構(gòu)中對于虛擬機(jī)的監(jiān)控放在平臺級,而不是在物理服務(wù)器級,所以,當(dāng)虛擬機(jī)從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器時(shí),只是數(shù)據(jù)采集地點(diǎn)發(fā)生了變化,而對虛擬機(jī)的監(jiān)控始終是在平臺級進(jìn)行,當(dāng)虛擬機(jī)遷移到新的物理服務(wù)器時(shí),新的物理服務(wù)器上的數(shù)據(jù)采集系統(tǒng)自動(dòng)采集遷移前物理服務(wù)器上的數(shù)據(jù)。
[0023](4)監(jiān)控系統(tǒng)的部署、更新、維護(hù)和管理簡單方便。除了安全數(shù)據(jù)采集是在每個(gè)物理服務(wù)器上進(jìn)行以外,安全數(shù)據(jù)的存儲、入侵檢測以及所使用的探測策略、病毒庫等信息都在平臺級進(jìn)行,所以不管是部署新的策略,更新原有的策略,還是對系統(tǒng)進(jìn)行維護(hù)都集中在同一地方進(jìn)行,大大減少了這方面的工作量,也避免了更新不及時(shí)可能給平臺安全性帶來的威脅。比如說,為了抵制一種新的病毒而需要部署一個(gè)新的探測算法:如果采用傳統(tǒng)架構(gòu),那么就需要對部署在每一臺物理服務(wù)器上的安全監(jiān)控系統(tǒng)進(jìn)行更新;而在本發(fā)明的架構(gòu)中,只需要對平臺安全數(shù)據(jù)處理子系統(tǒng)的策略模塊插件進(jìn)行更新就可以了。這一方面減少了部署的工作量,同時(shí)因?yàn)榧皶r(shí)部署也減少了平臺和應(yīng)用受到新病毒攻擊的時(shí)間段。
[0024](5)數(shù)據(jù)完整,對虛擬機(jī)以及整個(gè)平臺的審計(jì)簡單易行。因?yàn)榘踩珨?shù)據(jù)存儲子系統(tǒng)存儲了關(guān)于整個(gè)云計(jì)算平臺的監(jiān)控信息,包括所有物理服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò),所以,可以很方便地提供對任何虛擬機(jī)、物理服務(wù)器以及整個(gè)平臺的完整的審計(jì)數(shù)據(jù)。
[0025](6)可以快速停止受到入侵攻擊的虛擬機(jī),避免更多的虛擬機(jī)受到傷害。支持對整個(gè)云平臺上虛擬機(jī)的掌控,因此,如果平臺安全數(shù)據(jù)處理子系統(tǒng)發(fā)現(xiàn)了一個(gè)新的比較有威脅的病毒,可根據(jù)需要給平臺上相關(guān)的虛擬機(jī)發(fā)出暫停命令,從而防止或減少病毒對這些虛擬機(jī)的損害,并且防止了入侵蔓延的可能性。而在傳統(tǒng)架構(gòu)下,每個(gè)安全監(jiān)控系統(tǒng)只能對同一物理機(jī)上的有關(guān)虛擬機(jī)進(jìn)行控制,從而不能夠給運(yùn)行在其它物理服務(wù)器上的虛擬機(jī)提供同樣的保護(hù)。
[0026](7)方便進(jìn)行數(shù)據(jù)挖掘,發(fā)現(xiàn)入侵檢測系統(tǒng)的弱點(diǎn),進(jìn)行針對性改進(jìn)。云平臺架構(gòu)對安全數(shù)據(jù)、入侵報(bào)告、入侵警告等統(tǒng)一集中存儲,有利于對這些數(shù)據(jù)進(jìn)行挖掘發(fā)現(xiàn)系統(tǒng)弱點(diǎn)和露洞,并進(jìn)行改進(jìn)。
[0027](8)節(jié)省系統(tǒng)資源。云平臺監(jiān)控架構(gòu)避免了在每臺物理服務(wù)器上部署一個(gè)完整的安全監(jiān)控系統(tǒng)造成的資源浪費(fèi)問題。因?yàn)楣δ艿拇蠓群喕渴鹪诿颗_物理服務(wù)器上的本地安全數(shù)據(jù)采集子系統(tǒng)所需要的系統(tǒng)資源將遠(yuǎn)遠(yuǎn)降低,每個(gè)本地監(jiān)控系統(tǒng)會比原來的整體監(jiān)控系統(tǒng)降低資源70%左右,考慮到云計(jì)算數(shù)據(jù)中心物理服務(wù)器的數(shù)量會達(dá)到上千臺以上,那么將會節(jié)省幾百臺虛擬機(jī)。
[0028](9)方便加入新的入侵檢測機(jī)制。云平臺監(jiān)控架構(gòu)的平臺安全數(shù)據(jù)處理子系統(tǒng)采用插件式方式對入侵檢測機(jī)制進(jìn)行部署和管理,所以,當(dāng)新的檢測機(jī)制開發(fā)完成后,可以快速、簡便地加入系統(tǒng)以提供服務(wù)。
[0029](10)云平臺需要同時(shí)為不同系統(tǒng)環(huán)境要求的云用戶提供服務(wù),這勢必會在一定程度上增加安全監(jiān)控的復(fù)雜性,云平臺安全監(jiān)控系統(tǒng)采用模塊插件式結(jié)構(gòu),為解決這類問題提供了方便,云平臺管理員可以根據(jù)用戶的系統(tǒng)環(huán)境安裝相應(yīng)的模塊插件來提供針對性保護(hù)。
【專利附圖】
【附圖說明】
[0030]圖1為現(xiàn)有VMI架構(gòu)圖;
圖2為本發(fā)明監(jiān)控系統(tǒng)架構(gòu)圖;
圖3為本發(fā)明監(jiān)控方法流程圖。
【具體實(shí)施方式】
[0031]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案,但本發(fā)明的保護(hù)范圍不局限于以下所述。
[0032]如圖2所示,基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),它包括本地安全數(shù)據(jù)采集子系統(tǒng)、平臺安全數(shù)據(jù)處理子系統(tǒng)、平臺安全報(bào)告子系統(tǒng)和安全數(shù)據(jù)存儲子系統(tǒng);
所述的本地安全數(shù)據(jù)采集子系統(tǒng)用于通過虛擬機(jī)管理器VMM提供的操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù);
所述的平臺安全數(shù)據(jù)處理子系統(tǒng)用于按照探測策略和算法對本地安全數(shù)據(jù)采集子系統(tǒng)所采集到的每個(gè)被監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行分析和處理,以發(fā)現(xiàn)各種入侵威脅;同時(shí)用于根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請求; 所述的平臺安全報(bào)告子系統(tǒng)用于向用戶產(chǎn)生安全報(bào)告:當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)檢測到入侵威脅時(shí),在把檢測到的結(jié)果寫入安全數(shù)據(jù)存儲子系統(tǒng)的同時(shí),直接把數(shù)據(jù)發(fā)給平臺安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知;當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)沒有檢測到入侵威脅時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測任務(wù)情況寫入安全數(shù)據(jù)存儲子系統(tǒng),以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì);
所述的安全數(shù)據(jù)存儲子系統(tǒng)一方面用于存儲各個(gè)本地?cái)?shù)據(jù)采集器采集到的安全數(shù)據(jù),以便供平臺安全數(shù)據(jù)處理子系統(tǒng)進(jìn)行數(shù)據(jù)分析和處理;另一方面用于存儲原始安全數(shù)據(jù),以便供審計(jì)和數(shù)據(jù)挖掘。
[0033]所述的安全數(shù)據(jù)包括物理內(nèi)存、磁盤內(nèi)容或網(wǎng)絡(luò)連接狀態(tài)。
[0034]所述的本地安全數(shù)據(jù)采集子系統(tǒng)至少一個(gè)本地?cái)?shù)據(jù)采集單元和一個(gè)數(shù)據(jù)收發(fā)單元,本地?cái)?shù)據(jù)采集單元包括本地?cái)?shù)據(jù)采集器和虛擬機(jī)管理器VMM,虛擬機(jī)管理器VMM通過操作系統(tǒng)接口與至少一個(gè)被監(jiān)控系統(tǒng)相連,本地?cái)?shù)據(jù)采集器包括操作系統(tǒng)接口庫和數(shù)據(jù)采集模塊,虛擬機(jī)管理器VMM的硬件狀態(tài)輸出端通過操作系統(tǒng)接口庫與數(shù)據(jù)采集模塊連接,數(shù)據(jù)采集模塊分別與數(shù)據(jù)收發(fā)單元相連。
[0035]所述的平臺安全數(shù)據(jù)處理子系統(tǒng)包括多個(gè)策略模塊,采用模塊插件方式,每種探測策略實(shí)現(xiàn)為一個(gè)模塊插入到系統(tǒng)中,這樣便于系統(tǒng)根據(jù)實(shí)際情況加入新的探測方法,或者對原有的探測方法進(jìn)行升級;平臺安全數(shù)據(jù)處理子系統(tǒng)還包括策略引擎和策略架構(gòu),安全數(shù)據(jù)存儲子模塊通過策略架構(gòu)與各策略模塊連接。
[0036]所述的數(shù)據(jù)收發(fā)單元通過策略架構(gòu)與各策略模塊連接,數(shù)據(jù)收發(fā)單元還直接與安全數(shù)據(jù)存儲子系統(tǒng)連接。
[0037]所述的平臺安全報(bào)告子系統(tǒng)包括報(bào)告架構(gòu)和多個(gè)報(bào)告生成模塊,采用模塊插件方式,每種報(bào)告生成方式實(shí)現(xiàn)為一個(gè)模塊插入到系統(tǒng)中。
[0038]用戶報(bào)告的形式可以根據(jù)情況而不同,并且對于入侵危險(xiǎn)的提醒報(bào)告,可以同時(shí)采用多種方式發(fā)給用戶。報(bào)告的形式可以為電子郵件、文檔文件、圖像文件等,還可以通過一個(gè)監(jiān)控界面對平臺管理員提供整個(gè)云平臺的安全檢測情況的實(shí)時(shí)展示。平臺安全報(bào)告子系統(tǒng)的結(jié)構(gòu)也是插件式的,以便不斷添加新的和改進(jìn)原有的報(bào)告方式。
[0039]如圖3所示,基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法,它包括以下步驟:
51:各本地?cái)?shù)據(jù)采集單元的虛擬機(jī)管理器VMM分別通過操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù);
52:所采集到的安全數(shù)據(jù)分別通過數(shù)據(jù)收發(fā)單元存儲至安全數(shù)據(jù)存儲子系統(tǒng);
53:在需要進(jìn)行安全數(shù)據(jù)處理時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)調(diào)用安全數(shù)據(jù)存儲子系統(tǒng)中存儲的安全數(shù)據(jù),按照探測策略和算法對每個(gè)被監(jiān)控系統(tǒng)的安全數(shù)據(jù)進(jìn)行分析和處理,以發(fā)現(xiàn)各種入侵威脅;
54:檢測入侵威脅:當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)檢測到入侵威脅時(shí),在把檢測到的結(jié)果寫入安全數(shù)據(jù)存儲子系統(tǒng)的同時(shí),直接把數(shù)據(jù)發(fā)給平臺安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知;當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)沒有檢測到入侵威脅時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測任務(wù)情況寫入安全數(shù)據(jù)存儲子系統(tǒng),以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì)。
[0040]所述的平臺安全數(shù)據(jù)處理子系統(tǒng)還包括一個(gè)根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請求的步驟,本地安全數(shù)據(jù)采集子系統(tǒng)接收到該請求后,通過操作系統(tǒng)接口將該請求轉(zhuǎn)發(fā)給各本地?cái)?shù)據(jù)采集單元的虛擬機(jī)管理器VMM ;當(dāng)數(shù)據(jù)采集模塊接收到虛擬機(jī)管理器VMM對請求的反饋后,通過數(shù)據(jù)收發(fā)單元將該反饋數(shù)據(jù)轉(zhuǎn)發(fā)至平臺安全數(shù)據(jù)處理子系統(tǒng)。
[0041]在對反饋的數(shù)據(jù)進(jìn)行處理的同時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將這些反饋數(shù)據(jù)寫入安全數(shù)據(jù)存儲子系統(tǒng)。
[0042]基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法還包括一個(gè)平臺安全數(shù)據(jù)處理子系統(tǒng)通過虛擬機(jī)管理器VMM對所監(jiān)控的虛擬機(jī)進(jìn)行暫?;蚶^續(xù)操作的步驟,如果平臺安全數(shù)據(jù)處理子系統(tǒng)探測到比較嚴(yán)重的惡意行為,為了避免用戶數(shù)據(jù)的丟失或者系統(tǒng)遭到破壞,平臺安全數(shù)據(jù)處理子系統(tǒng)可以向受到威脅的虛擬機(jī)發(fā)出暫停的命令。
[0043](I)云平臺管理員可以時(shí)刻掌握云平臺的整體檢測狀況。在本發(fā)明監(jiān)控架構(gòu)中,所有的信息都集中存放在安全數(shù)據(jù)存儲子系統(tǒng)中,所以平臺安全報(bào)告子系統(tǒng)可以時(shí)刻得到整個(gè)平臺的監(jiān)控信息,并通過多種展示和報(bào)告方式及時(shí)呈現(xiàn)給平臺管理員。
[0044](2)可以及時(shí)發(fā)現(xiàn)對多臺虛擬機(jī)的聯(lián)合攻擊。云平臺監(jiān)控架構(gòu)對整個(gè)平臺的所有虛擬機(jī)和物理服務(wù)器進(jìn)行統(tǒng)一的監(jiān)控,即使是每一臺虛擬機(jī)的資源使用量只有小量上升的聯(lián)合攻擊,通過對整個(gè)云平臺的資源使用量進(jìn)行監(jiān)控,也可以快速發(fā)現(xiàn)整個(gè)云平臺的資源使用量發(fā)生意外的上升,從而盡早把這些攻擊化解掉。
[0045](3)支持對虛擬機(jī)的不間斷監(jiān)控,并且能夠在虛擬機(jī)遷移時(shí)提供監(jiān)控?cái)?shù)據(jù)的平滑移交。云平臺監(jiān)控架構(gòu)中對于虛擬機(jī)的監(jiān)控放在平臺級,而不是在物理服務(wù)器級,所以,當(dāng)虛擬機(jī)從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器時(shí),只是數(shù)據(jù)采集地點(diǎn)發(fā)生了變化,而對虛擬機(jī)的監(jiān)控始終是在平臺級進(jìn)行,當(dāng)虛擬機(jī)遷移到新的物理服務(wù)器時(shí),新的物理服務(wù)器上的數(shù)據(jù)采集系統(tǒng)自動(dòng)采集遷移前物理服務(wù)器上的數(shù)據(jù)。
[0046](4)監(jiān)控系統(tǒng)的部署、更新、維護(hù)和管理簡單方便。除了安全數(shù)據(jù)采集是在每個(gè)物理服務(wù)器上進(jìn)行以外,安全數(shù)據(jù)的存儲、入侵檢測以及所使用的探測策略、病毒庫等信息都在平臺級進(jìn)行,所以不管是部署新的策略,更新原有的策略,還是對系統(tǒng)進(jìn)行維護(hù)都集中在同一地方進(jìn)行,大大減少了這方面的工作量,也避免了更新不及時(shí)可能給平臺安全性帶來的威脅。比如說,為了抵制一種新的病毒而需要部署一個(gè)新的探測算法:如果采用傳統(tǒng)架構(gòu),那么就需要對部署在每一臺物理服務(wù)器上的安全監(jiān)控系統(tǒng)進(jìn)行更新;而在本發(fā)明的架構(gòu)中,只需要對平臺安全數(shù)據(jù)處理子系統(tǒng)的策略模塊插件進(jìn)行更新就可以了。這一方面減少了部署的工作量,同時(shí)因?yàn)榧皶r(shí)部署也減少了平臺和應(yīng)用受到新病毒攻擊的時(shí)間段。
[0047](5)數(shù)據(jù)完整,對虛擬機(jī)以及整個(gè)平臺的審計(jì)簡單易行。因?yàn)榘踩珨?shù)據(jù)存儲子系統(tǒng)存儲了關(guān)于整個(gè)云計(jì)算平臺的監(jiān)控信息,包括所有物理服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò),所以,可以很方便地提供對任何虛擬機(jī)、物理服務(wù)器以及整個(gè)平臺的完整的審計(jì)數(shù)據(jù)。
[0048](6)可以快速停止受到入侵攻擊的虛擬機(jī),避免更多的虛擬機(jī)受到傷害。支持對整個(gè)云平臺上虛擬機(jī)的掌控,因此,如果平臺安全數(shù)據(jù)處理子系統(tǒng)發(fā)現(xiàn)了一個(gè)新的比較有威脅的病毒,可根據(jù)需要給平臺上相關(guān)的虛擬機(jī)發(fā)出暫停命令,從而防止或減少病毒對這些虛擬機(jī)的損害,并且防止了入侵蔓延的可能性。而在傳統(tǒng)架構(gòu)下,每個(gè)安全監(jiān)控系統(tǒng)只能對同一物理機(jī)上的有關(guān)虛擬機(jī)進(jìn)行控制,從而不能夠給運(yùn)行在其它物理服務(wù)器上的虛擬機(jī)提供同樣的保護(hù)。
[0049](7)方便進(jìn)行數(shù)據(jù)挖掘,發(fā)現(xiàn)入侵檢測系統(tǒng)的弱點(diǎn),進(jìn)行針對性改進(jìn)。云平臺架構(gòu)對安全數(shù)據(jù)、入侵報(bào)告、入侵警告等統(tǒng)一集中存儲,有利于對這些數(shù)據(jù)進(jìn)行挖掘發(fā)現(xiàn)系統(tǒng)弱點(diǎn)和露洞,并進(jìn)行改進(jìn)。
[0050](8)節(jié)省系統(tǒng)資源。云平臺監(jiān)控架構(gòu)避免了在每臺物理服務(wù)器上部署一個(gè)完整的安全監(jiān)控系統(tǒng)造成的資源浪費(fèi)問題。因?yàn)楣δ艿拇蠓群喕渴鹪诿颗_物理服務(wù)器上的本地安全數(shù)據(jù)采集子系統(tǒng)所需要的系統(tǒng)資源將遠(yuǎn)遠(yuǎn)降低,每個(gè)本地監(jiān)控系統(tǒng)會比原來的整體監(jiān)控系統(tǒng)降低資源70%左右,考慮到云計(jì)算數(shù)據(jù)中心物理服務(wù)器的數(shù)量會達(dá)到上千臺以上,那么將會節(jié)省幾百臺虛擬機(jī)。
[0051](9)方便加入新的入侵檢測機(jī)制。云平臺監(jiān)控架構(gòu)的平臺安全數(shù)據(jù)處理子系統(tǒng)采用插件式方式對入侵檢測機(jī)制進(jìn)行部署和管理,所以,當(dāng)新的檢測機(jī)制開發(fā)完成后,可以快速、簡便地加入系統(tǒng)以提供服務(wù)。
[0052](10)云平臺需要同時(shí)為不同系統(tǒng)環(huán)境要求的云用戶提供服務(wù),這勢必會在一定程度上增加安全監(jiān)控的復(fù)雜性,云平臺安全監(jiān)控系統(tǒng)采用模塊插件式結(jié)構(gòu),為解決這類問題提供了方便,云平臺管理員可以根據(jù)用戶的系統(tǒng)環(huán)境安裝相應(yīng)的模塊插件來提供針對性保護(hù)。
[0053]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式,不應(yīng)看作是對其他實(shí)施例的排除,而可用于各種其他組合、修改和環(huán)境,并能夠在本文所述構(gòu)想范圍內(nèi),通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進(jìn)行改動(dòng)。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍,則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),其特征在于:它包括本地安全數(shù)據(jù)采集子系統(tǒng)、平臺安全數(shù)據(jù)處理子系統(tǒng)、平臺安全報(bào)告子系統(tǒng)和安全數(shù)據(jù)存儲子系統(tǒng); 所述的本地安全數(shù)據(jù)采集子系統(tǒng)用于通過虛擬機(jī)管理器VMM提供的操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù); 所述的平臺安全數(shù)據(jù)處理子系統(tǒng)用于按照探測策略和算法對本地安全數(shù)據(jù)采集子系統(tǒng)所采集到的每個(gè)被監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行分析和處理,以發(fā)現(xiàn)各種入侵威脅;同時(shí)用于根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請求; 所述的平臺安全報(bào)告子系統(tǒng)用于向用戶產(chǎn)生安全報(bào)告:當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)檢測到入侵威脅時(shí),在把檢測到的結(jié)果寫入安全數(shù)據(jù)存儲子系統(tǒng)的同時(shí),直接把數(shù)據(jù)發(fā)給平臺安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知;當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)沒有檢測到入侵威脅時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測任務(wù)情況寫入安全數(shù)據(jù)存儲子系統(tǒng),以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì); 所述的安全數(shù)據(jù)存儲子系統(tǒng)一方面用于存儲各個(gè)本地?cái)?shù)據(jù)采集器采集到的安全數(shù)據(jù),以便供平臺安全數(shù)據(jù)處理子系統(tǒng)進(jìn)行數(shù)據(jù)分析和處理;另一方面用于存儲原始安全數(shù)據(jù),以便供審計(jì)和數(shù)據(jù)挖掘。
2.根據(jù)權(quán)利要求1所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),其特征在于:所述的安全數(shù)據(jù)包括物理內(nèi)存、磁盤內(nèi)容或網(wǎng)絡(luò)連接狀態(tài)。
3.根據(jù)權(quán)利要求1所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),其特征在于:所述的本地安全數(shù)據(jù)采集子系統(tǒng)至少一個(gè)本地?cái)?shù)據(jù)采集單元和一個(gè)數(shù)據(jù)收發(fā)單元,本地?cái)?shù)據(jù)采集單元包括本地?cái)?shù)據(jù)采集器和虛擬機(jī)管理器VMM,虛擬機(jī)管理器VMM通過操作系統(tǒng)接口與至少一個(gè)被監(jiān)控系統(tǒng)相連,本地?cái)?shù)據(jù)采集器包括操作系統(tǒng)接口庫和數(shù)據(jù)采集模塊,虛擬機(jī)管理器VMM的硬件狀態(tài)輸出端通過操作系統(tǒng)接口庫與數(shù)據(jù)采集模塊連接,數(shù)據(jù)采集模塊分別與數(shù)據(jù)收發(fā)單元相連。
4.根據(jù)權(quán)利要求1所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),其特征在于:所述的平臺安全數(shù)據(jù)處理子系統(tǒng)包括多個(gè)策略模塊,采用模塊插件方式,每種探測策略實(shí)現(xiàn)為一個(gè)模塊插入到系統(tǒng)中;平臺安全數(shù)據(jù)處理子系統(tǒng)還包括策略引擎和策略架構(gòu),安全數(shù)據(jù)存儲子模塊通過策略架構(gòu)與各策略模塊連接。
5.根據(jù)權(quán)利要求3或4所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),其特征在于:所述的數(shù)據(jù)收發(fā)單元通過策略架構(gòu)與各策略模塊連接,數(shù)據(jù)收發(fā)單元還直接與安全數(shù)據(jù)存儲子系統(tǒng)連接。
6.根據(jù)權(quán)利要求1所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控系統(tǒng),其特征在于:所述的平臺安全報(bào)告子系統(tǒng)包括報(bào)告架構(gòu)和多個(gè)報(bào)告生成模塊,采用模塊插件方式,每種報(bào)告生成方式實(shí)現(xiàn)為一個(gè)模塊插入到系統(tǒng)中。
7.基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法,其特征在于:它包括以下步驟: 51:各本地?cái)?shù)據(jù)采集單元的虛擬機(jī)管理器VMM分別通過操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù); 52:所采集到的安全數(shù)據(jù)分別通過數(shù)據(jù)收發(fā)單元存儲至安全數(shù)據(jù)存儲子系統(tǒng); 53:在需要進(jìn)行安全數(shù)據(jù)處理時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)調(diào)用安全數(shù)據(jù)存儲子系統(tǒng)中存儲的安全數(shù)據(jù),按照探測策略和算法對每個(gè)被監(jiān)控系統(tǒng)的安全數(shù)據(jù)進(jìn)行分析和處理,以發(fā)現(xiàn)各種入侵威脅; S4:檢測入侵威脅:當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)檢測到入侵威脅時(shí),在把檢測到的結(jié)果寫入安全數(shù)據(jù)存儲子系統(tǒng)的同時(shí),直接把數(shù)據(jù)發(fā)給平臺安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知;當(dāng)平臺安全數(shù)據(jù)處理子系統(tǒng)沒有檢測到入侵威脅時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測任務(wù)情況寫入安全數(shù)據(jù)存儲子系統(tǒng),以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì)。
8.根據(jù)權(quán)利要求7所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法,其特征在于:所述的平臺安全數(shù)據(jù)處理子系統(tǒng)還包括一個(gè)根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請求的步驟,本地安全數(shù)據(jù)采集子系統(tǒng)接收到該請求后,通過操作系統(tǒng)接口將該請求轉(zhuǎn)發(fā)給各本地?cái)?shù)據(jù)采集單元的虛擬機(jī)管理器VMM ;當(dāng)數(shù)據(jù)采集模塊接收到虛擬機(jī)管理器VMM對請求的反饋后,通過數(shù)據(jù)收發(fā)單元將該反饋數(shù)據(jù)轉(zhuǎn)發(fā)至平臺安全數(shù)據(jù)處理子系統(tǒng)。
9.根據(jù)權(quán)利要求8所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法,其特征在于:在對反饋的數(shù)據(jù)進(jìn)行處理的同時(shí),平臺安全數(shù)據(jù)處理子系統(tǒng)將這些反饋數(shù)據(jù)寫入安全數(shù)據(jù)存儲子系統(tǒng)。
10.根據(jù)權(quán)利要求7所述的基于虛擬機(jī)自省技術(shù)的云平臺安全監(jiān)控方法,其特征在于:它還包括一個(gè)平臺安全數(shù)據(jù)處理子系統(tǒng)通過虛擬機(jī)管理器VMM對所監(jiān)控的虛擬機(jī)進(jìn)行暫?;蚶^續(xù)操作的步驟。
【文檔編號】H04L29/08GK103929502SQ201410194534
【公開日】2014年7月16日 申請日期:2014年5月9日 優(yōu)先權(quán)日:2014年5月9日
【發(fā)明者】武志學(xué), 趙陽, 馬超英, 趙啟衛(wèi), 田盛 申請人:成都國騰實(shí)業(yè)集團(tuán)有限公司