CN103929502A - 基于虚拟机自省技术的云平台安全监控系统及方法 - Google Patents
基于虚拟机自省技术的云平台安全监控系统及方法 Download PDFInfo
- Publication number
- CN103929502A CN103929502A CN201410194534.2A CN201410194534A CN103929502A CN 103929502 A CN103929502 A CN 103929502A CN 201410194534 A CN201410194534 A CN 201410194534A CN 103929502 A CN103929502 A CN 103929502A
- Authority
- CN
- China
- Prior art keywords
- data
- subsystem
- virtual machine
- platform safety
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于虚拟机自省技术的云平台安全监控系统及方法,系统包括本地安全数据采集子系统、平台安全数据处理子系统、平台安全报告子系统和安全数据存储子系统;本地安全数据采集子系统用于采集各被监控系统的安全数据;平台安全数据处理子系统用于按照探测策略和算法对本地安全数据采集子系统所采集到的每个被监控系统的数据进行分析和处理;平台安全报告子系统用于向用户产生安全报告;安全数据存储子系统用于存储各个本地数据采集器采集到的安全数据及原始安全数据。本发明可实现对虚拟机的不间断监控,能够在虚拟机迁移时提供监控数据的平滑移交;可快速停止受入侵攻击的虚拟机,避免更多的虚拟机受到入侵攻击。
Description
技术领域
本发明涉及云平台入侵检测领域,特别是涉及一种基于虚拟机自省技术的云平台安全监控系统及方法。
背景技术
基于虚拟机自省技术VMI(Virtual Machine Introspection)的IDS是一种在虚拟机外部监控虚拟机内部运行状态的方法,能够观察到被监控系统的内部状态,同时与被监控系统相隔离,从而解决了传统IDS带来的难题。
现在基于VMI的入侵检测系统的架构都是以物理服务器为基本单位,每台物理服务器上都部署一台监控虚拟机用来监控同服务器上的其它虚拟机。但是这些入侵检测系统之间是相互独立的,不支持信息共享,也不进行通信。每个入侵检测系统都是根据本地信息对本地虚拟机进行检测。
现有VMI技术架构如图1所示,因为现有的基于VMI技术的入侵检测系统是以物理服务器为单位独立进行的,因此在云平台上使用该架构存在着如下问题:
第一,云平台管理员无法得到云平台的整体检测状况。因为每个检测系统都只能提供本地服务器的检测状况,而云平台上会有上百、上千、甚至上万台服务器,所以让管理员从这么多检测系统来总结出整个平台的检测情况几乎是不可能的。
第二,无法检测到对多台虚拟机的联合攻击。有些对云平台的攻击,比如分布式拒绝服务攻击(DDoS),在攻击刚开始的时候,因为云平台的资源池巨大,不易从单台服务器上检测出轻微攻击,只有当攻击程度相当高的时候,才能从单台服务器上检测出来,而这个时候已经为时过晚。
第三, 在虚拟机迁移时,如何保持对虚拟机的不间断监控问题。当一台虚拟机从一台物理服务器迁移到另一台物理服务器的时候,意味着对该虚拟机的检测会从原来物理服务器上的入侵检测系统转移到目标物理服务器上的入侵检测系统。因为传统架构下这两个检测系统是相互独立的,所以就无法将原检测系统上的有关数据传送到新的检测系统中去,并且在迁移的过程中会有一段时间没有任何检测系统对该虚拟机进行检测,出现监控间断。
第四,因为每个物理服务器上都部署一个入侵检测系统,所有部署、维护和更新入侵检测,以及相应的检测策略规则、病毒库等资源需要逐一进行。这不仅仅带来了大量的管理工作量,而且容易产生更新遗露,以及更新不及时,从而给整个平台的安全性带来威胁。
第五,因为一台虚拟机在其生命周期中会运行在不同的物理服务器上,所以对该虚拟机的监控信息也是分散在多台物理服务器上的。所以,如果需要审计一台虚拟机,只能从所有平台的物理服务器监控记录中寻找相关的信息,这将是一个很复杂费时的工作。并且,也会存在监控空隙。
发明内容
本发明的目的在于克服现有技术的不足,提供一种新型的基于虚拟机自省技术的云平台安全监控系统及方法,对整个平台的所有虚拟机和物理服务器进行统一的监控,即使是每一台虚拟机的资源使用量只有小量上升的联合攻击,也能予以准确检测;对于虚拟机的监控放在平台级,而不是物理服务器级,当虚拟机从一台物理服务器迁移到另一台物理服务器时,只是数据采集地点发生变化,新的物理服务器上的数据采集系统自动采集迁移前物理服务器上的数据,从而实现对虚拟机的不间断监控,能够在虚拟机迁移时提供监控数据的平滑移交;可快速停止受入侵攻击的虚拟机,避免更多的虚拟机受到入侵攻击。
本发明的目的是通过以下技术方案来实现的:基于虚拟机自省技术的云平台安全监控系统,它包括本地安全数据采集子系统、平台安全数据处理子系统、平台安全报告子系统和安全数据存储子系统;
所述的本地安全数据采集子系统用于通过虚拟机管理器VMM提供的操作系统接口采集各被监控系统的安全数据;
所述的平台安全数据处理子系统用于按照探测策略和算法对本地安全数据采集子系统所采集到的每个被监控系统的数据进行分析和处理,以发现各种入侵威胁;同时用于根据需要向本地安全数据采集子系统发出获取数据的请求;
所述的平台安全报告子系统用于向用户产生安全报告:当平台安全数据处理子系统检测到入侵威胁时,在把检测到的结果写入安全数据存储子系统的同时,直接把数据发给平台安全报告子系统以向用户发起通知;当平台安全数据处理子系统没有检测到入侵威胁时,平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统,以便管理员或者用户进行查询或审计;
所述的安全数据存储子系统一方面用于存储各个本地数据采集器采集到的安全数据,以便供平台安全数据处理子系统进行数据分析和处理;另一方面用于存储原始安全数据,以便供审计和数据挖掘。
所述的安全数据包括物理内存、磁盘内容或网络连接状态。
所述的本地安全数据采集子系统至少一个本地数据采集单元和一个数据收发单元,本地数据采集单元包括本地数据采集器和虚拟机管理器VMM,虚拟机管理器VMM通过操作系统接口与至少一个被监控系统相连,本地数据采集器包括操作系统接口库和数据采集模块,虚拟机管理器VMM的硬件状态输出端通过操作系统接口库与数据采集模块连接,数据采集模块分别与数据收发单元相连。
所述的平台安全数据处理子系统包括多个策略模块,采用模块插件方式,每种探测策略实现为一个模块插入到系统中;平台安全数据处理子系统还包括策略引擎和策略架构,安全数据存储子模块通过策略架构与各策略模块连接。
所述的数据收发单元通过策略架构与各策略模块连接,数据收发单元还直接与安全数据存储子系统连接。
所述的平台安全报告子系统包括报告架构和多个报告生成模块,采用模块插件方式,每种报告生成方式实现为一个模块插入到系统中。
基于虚拟机自省技术的云平台安全监控方法,它包括以下步骤:
S1:各本地数据采集单元的虚拟机管理器VMM分别通过操作系统接口采集各被监控系统的安全数据;
S2:所采集到的安全数据分别通过数据收发单元存储至安全数据存储子系统;
S3:在需要进行安全数据处理时,平台安全数据处理子系统调用安全数据存储子系统中存储的安全数据,按照探测策略和算法对每个被监控系统的安全数据进行分析和处理,以发现各种入侵威胁;
S4:检测入侵威胁:当平台安全数据处理子系统检测到入侵威胁时,在把检测到的结果写入安全数据存储子系统的同时,直接把数据发给平台安全报告子系统以向用户发起通知;当平台安全数据处理子系统没有检测到入侵威胁时,平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统,以便管理员或者用户进行查询或审计。
所述的平台安全数据处理子系统还包括一个根据需要向本地安全数据采集子系统发出获取数据的请求的步骤,本地安全数据采集子系统接收到该请求后,通过操作系统接口将该请求转发给各本地数据采集单元的虚拟机管理器VMM;当数据采集模块接收到虚拟机管理器VMM对请求的反馈后,通过数据收发单元将该反馈数据转发至平台安全数据处理子系统。
在对反馈的数据进行处理的同时,平台安全数据处理子系统将这些反馈数据写入安全数据存储子系统。
基于虚拟机自省技术的云平台安全监控方法还包括一个平台安全数据处理子系统通过虚拟机管理器VMM对所监控的虚拟机进行暂停或继续操作的步骤。
本发明的有益效果是:
(1)云平台管理员可以时刻掌握云平台的整体检测状况。在本发明监控架构中,所有的信息都集中存放在安全数据存储子系统中,所以平台安全报告子系统可以时刻得到整个平台的监控信息,并通过多种展示和报告方式及时呈现给平台管理员。
(2)可以及时发现对多台虚拟机的联合攻击。云平台监控架构对整个平台的所有虚拟机和物理服务器进行统一的监控,即使是每一台虚拟机的资源使用量只有小量上升的联合攻击,通过对整个云平台的资源使用量进行监控,也可以快速发现整个云平台的资源使用量发生意外的上升,从而尽早把这些攻击化解掉。
(3)支持对虚拟机的不间断监控,并且能够在虚拟机迁移时提供监控数据的平滑移交。云平台监控架构中对于虚拟机的监控放在平台级,而不是在物理服务器级,所以,当虚拟机从一台物理服务器迁移到另一台物理服务器时,只是数据采集地点发生了变化,而对虚拟机的监控始终是在平台级进行,当虚拟机迁移到新的物理服务器时,新的物理服务器上的数据采集系统自动采集迁移前物理服务器上的数据。
(4)监控系统的部署、更新、维护和管理简单方便。除了安全数据采集是在每个物理服务器上进行以外,安全数据的存储、入侵检测以及所使用的探测策略、病毒库等信息都在平台级进行,所以不管是部署新的策略,更新原有的策略,还是对系统进行维护都集中在同一地方进行,大大减少了这方面的工作量,也避免了更新不及时可能给平台安全性带来的威胁。比如说,为了抵制一种新的病毒而需要部署一个新的探测算法:如果采用传统架构,那么就需要对部署在每一台物理服务器上的安全监控系统进行更新;而在本发明的架构中,只需要对平台安全数据处理子系统的策略模块插件进行更新就可以了。这一方面减少了部署的工作量,同时因为及时部署也减少了平台和应用受到新病毒攻击的时间段。
(5)数据完整,对虚拟机以及整个平台的审计简单易行。因为安全数据存储子系统存储了关于整个云计算平台的监控信息,包括所有物理服务器、虚拟机、网络,所以,可以很方便地提供对任何虚拟机、物理服务器以及整个平台的完整的审计数据。
(6)可以快速停止受到入侵攻击的虚拟机,避免更多的虚拟机受到伤害。支持对整个云平台上虚拟机的掌控,因此,如果平台安全数据处理子系统发现了一个新的比较有威胁的病毒,可根据需要给平台上相关的虚拟机发出暂停命令,从而防止或减少病毒对这些虚拟机的损害,并且防止了入侵蔓延的可能性。而在传统架构下,每个安全监控系统只能对同一物理机上的有关虚拟机进行控制,从而不能够给运行在其它物理服务器上的虚拟机提供同样的保护。
(7)方便进行数据挖掘,发现入侵检测系统的弱点,进行针对性改进。云平台架构对安全数据、入侵报告、入侵警告等统一集中存储,有利于对这些数据进行挖掘发现系统弱点和露洞,并进行改进。
(8)节省系统资源。云平台监控架构避免了在每台物理服务器上部署一个完整的安全监控系统造成的资源浪费问题。因为功能的大幅度简化,部署在每台物理服务器上的本地安全数据采集子系统所需要的系统资源将远远降低,每个本地监控系统会比原来的整体监控系统降低资源70%左右,考虑到云计算数据中心物理服务器的数量会达到上千台以上,那么将会节省几百台虚拟机。
(9)方便加入新的入侵检测机制。云平台监控架构的平台安全数据处理子系统采用插件式方式对入侵检测机制进行部署和管理,所以,当新的检测机制开发完成后,可以快速、简便地加入系统以提供服务。
(10)云平台需要同时为不同系统环境要求的云用户提供服务,这势必会在一定程度上增加安全监控的复杂性,云平台安全监控系统采用模块插件式结构,为解决这类问题提供了方便,云平台管理员可以根据用户的系统环境安装相应的模块插件来提供针对性保护。
附图说明
图1为现有VMI架构图;
图2为本发明监控系统架构图;
图3为本发明监控方法流程图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
如图2所示,基于虚拟机自省技术的云平台安全监控系统,它包括本地安全数据采集子系统、平台安全数据处理子系统、平台安全报告子系统和安全数据存储子系统;
所述的本地安全数据采集子系统用于通过虚拟机管理器VMM提供的操作系统接口采集各被监控系统的安全数据;
所述的平台安全数据处理子系统用于按照探测策略和算法对本地安全数据采集子系统所采集到的每个被监控系统的数据进行分析和处理,以发现各种入侵威胁;同时用于根据需要向本地安全数据采集子系统发出获取数据的请求;
所述的平台安全报告子系统用于向用户产生安全报告:当平台安全数据处理子系统检测到入侵威胁时,在把检测到的结果写入安全数据存储子系统的同时,直接把数据发给平台安全报告子系统以向用户发起通知;当平台安全数据处理子系统没有检测到入侵威胁时,平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统,以便管理员或者用户进行查询或审计;
所述的安全数据存储子系统一方面用于存储各个本地数据采集器采集到的安全数据,以便供平台安全数据处理子系统进行数据分析和处理;另一方面用于存储原始安全数据,以便供审计和数据挖掘。
所述的安全数据包括物理内存、磁盘内容或网络连接状态。
所述的本地安全数据采集子系统至少一个本地数据采集单元和一个数据收发单元,本地数据采集单元包括本地数据采集器和虚拟机管理器VMM,虚拟机管理器VMM通过操作系统接口与至少一个被监控系统相连,本地数据采集器包括操作系统接口库和数据采集模块,虚拟机管理器VMM的硬件状态输出端通过操作系统接口库与数据采集模块连接,数据采集模块分别与数据收发单元相连。
所述的平台安全数据处理子系统包括多个策略模块,采用模块插件方式,每种探测策略实现为一个模块插入到系统中,这样便于系统根据实际情况加入新的探测方法,或者对原有的探测方法进行升级;平台安全数据处理子系统还包括策略引擎和策略架构,安全数据存储子模块通过策略架构与各策略模块连接。
所述的数据收发单元通过策略架构与各策略模块连接,数据收发单元还直接与安全数据存储子系统连接。
所述的平台安全报告子系统包括报告架构和多个报告生成模块,采用模块插件方式,每种报告生成方式实现为一个模块插入到系统中。
用户报告的形式可以根据情况而不同,并且对于入侵危险的提醒报告,可以同时采用多种方式发给用户。报告的形式可以为电子邮件、文档文件、图像文件等,还可以通过一个监控界面对平台管理员提供整个云平台的安全检测情况的实时展示。平台安全报告子系统的结构也是插件式的,以便不断添加新的和改进原有的报告方式。
如图3所示,基于虚拟机自省技术的云平台安全监控方法,它包括以下步骤:
S1:各本地数据采集单元的虚拟机管理器VMM分别通过操作系统接口采集各被监控系统的安全数据;
S2:所采集到的安全数据分别通过数据收发单元存储至安全数据存储子系统;
S3:在需要进行安全数据处理时,平台安全数据处理子系统调用安全数据存储子系统中存储的安全数据,按照探测策略和算法对每个被监控系统的安全数据进行分析和处理,以发现各种入侵威胁;
S4:检测入侵威胁:当平台安全数据处理子系统检测到入侵威胁时,在把检测到的结果写入安全数据存储子系统的同时,直接把数据发给平台安全报告子系统以向用户发起通知;当平台安全数据处理子系统没有检测到入侵威胁时,平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统,以便管理员或者用户进行查询或审计。
所述的平台安全数据处理子系统还包括一个根据需要向本地安全数据采集子系统发出获取数据的请求的步骤,本地安全数据采集子系统接收到该请求后,通过操作系统接口将该请求转发给各本地数据采集单元的虚拟机管理器VMM;当数据采集模块接收到虚拟机管理器VMM对请求的反馈后,通过数据收发单元将该反馈数据转发至平台安全数据处理子系统。
在对反馈的数据进行处理的同时,平台安全数据处理子系统将这些反馈数据写入安全数据存储子系统。
基于虚拟机自省技术的云平台安全监控方法还包括一个平台安全数据处理子系统通过虚拟机管理器VMM对所监控的虚拟机进行暂停或继续操作的步骤,如果平台安全数据处理子系统探测到比较严重的恶意行为,为了避免用户数据的丢失或者系统遭到破坏,平台安全数据处理子系统可以向受到威胁的虚拟机发出暂停的命令。
(1)云平台管理员可以时刻掌握云平台的整体检测状况。在本发明监控架构中,所有的信息都集中存放在安全数据存储子系统中,所以平台安全报告子系统可以时刻得到整个平台的监控信息,并通过多种展示和报告方式及时呈现给平台管理员。
(2)可以及时发现对多台虚拟机的联合攻击。云平台监控架构对整个平台的所有虚拟机和物理服务器进行统一的监控,即使是每一台虚拟机的资源使用量只有小量上升的联合攻击,通过对整个云平台的资源使用量进行监控,也可以快速发现整个云平台的资源使用量发生意外的上升,从而尽早把这些攻击化解掉。
(3)支持对虚拟机的不间断监控,并且能够在虚拟机迁移时提供监控数据的平滑移交。云平台监控架构中对于虚拟机的监控放在平台级,而不是在物理服务器级,所以,当虚拟机从一台物理服务器迁移到另一台物理服务器时,只是数据采集地点发生了变化,而对虚拟机的监控始终是在平台级进行,当虚拟机迁移到新的物理服务器时,新的物理服务器上的数据采集系统自动采集迁移前物理服务器上的数据。
(4)监控系统的部署、更新、维护和管理简单方便。除了安全数据采集是在每个物理服务器上进行以外,安全数据的存储、入侵检测以及所使用的探测策略、病毒库等信息都在平台级进行,所以不管是部署新的策略,更新原有的策略,还是对系统进行维护都集中在同一地方进行,大大减少了这方面的工作量,也避免了更新不及时可能给平台安全性带来的威胁。比如说,为了抵制一种新的病毒而需要部署一个新的探测算法:如果采用传统架构,那么就需要对部署在每一台物理服务器上的安全监控系统进行更新;而在本发明的架构中,只需要对平台安全数据处理子系统的策略模块插件进行更新就可以了。这一方面减少了部署的工作量,同时因为及时部署也减少了平台和应用受到新病毒攻击的时间段。
(5)数据完整,对虚拟机以及整个平台的审计简单易行。因为安全数据存储子系统存储了关于整个云计算平台的监控信息,包括所有物理服务器、虚拟机、网络,所以,可以很方便地提供对任何虚拟机、物理服务器以及整个平台的完整的审计数据。
(6)可以快速停止受到入侵攻击的虚拟机,避免更多的虚拟机受到伤害。支持对整个云平台上虚拟机的掌控,因此,如果平台安全数据处理子系统发现了一个新的比较有威胁的病毒,可根据需要给平台上相关的虚拟机发出暂停命令,从而防止或减少病毒对这些虚拟机的损害,并且防止了入侵蔓延的可能性。而在传统架构下,每个安全监控系统只能对同一物理机上的有关虚拟机进行控制,从而不能够给运行在其它物理服务器上的虚拟机提供同样的保护。
(7)方便进行数据挖掘,发现入侵检测系统的弱点,进行针对性改进。云平台架构对安全数据、入侵报告、入侵警告等统一集中存储,有利于对这些数据进行挖掘发现系统弱点和露洞,并进行改进。
(8)节省系统资源。云平台监控架构避免了在每台物理服务器上部署一个完整的安全监控系统造成的资源浪费问题。因为功能的大幅度简化,部署在每台物理服务器上的本地安全数据采集子系统所需要的系统资源将远远降低,每个本地监控系统会比原来的整体监控系统降低资源70%左右,考虑到云计算数据中心物理服务器的数量会达到上千台以上,那么将会节省几百台虚拟机。
(9)方便加入新的入侵检测机制。云平台监控架构的平台安全数据处理子系统采用插件式方式对入侵检测机制进行部署和管理,所以,当新的检测机制开发完成后,可以快速、简便地加入系统以提供服务。
(10)云平台需要同时为不同系统环境要求的云用户提供服务,这势必会在一定程度上增加安全监控的复杂性,云平台安全监控系统采用模块插件式结构,为解决这类问题提供了方便,云平台管理员可以根据用户的系统环境安装相应的模块插件来提供针对性保护。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.基于虚拟机自省技术的云平台安全监控系统,其特征在于:它包括本地安全数据采集子系统、平台安全数据处理子系统、平台安全报告子系统和安全数据存储子系统;
所述的本地安全数据采集子系统用于通过虚拟机管理器VMM提供的操作系统接口采集各被监控系统的安全数据;
所述的平台安全数据处理子系统用于按照探测策略和算法对本地安全数据采集子系统所采集到的每个被监控系统的数据进行分析和处理,以发现各种入侵威胁;同时用于根据需要向本地安全数据采集子系统发出获取数据的请求;
所述的平台安全报告子系统用于向用户产生安全报告:当平台安全数据处理子系统检测到入侵威胁时,在把检测到的结果写入安全数据存储子系统的同时,直接把数据发给平台安全报告子系统以向用户发起通知;当平台安全数据处理子系统没有检测到入侵威胁时,平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统,以便管理员或者用户进行查询或审计;
所述的安全数据存储子系统一方面用于存储各个本地数据采集器采集到的安全数据,以便供平台安全数据处理子系统进行数据分析和处理;另一方面用于存储原始安全数据,以便供审计和数据挖掘。
2.根据权利要求1所述的基于虚拟机自省技术的云平台安全监控系统,其特征在于:所述的安全数据包括物理内存、磁盘内容或网络连接状态。
3.根据权利要求1所述的基于虚拟机自省技术的云平台安全监控系统,其特征在于:所述的本地安全数据采集子系统至少一个本地数据采集单元和一个数据收发单元,本地数据采集单元包括本地数据采集器和虚拟机管理器VMM,虚拟机管理器VMM通过操作系统接口与至少一个被监控系统相连,本地数据采集器包括操作系统接口库和数据采集模块,虚拟机管理器VMM的硬件状态输出端通过操作系统接口库与数据采集模块连接,数据采集模块分别与数据收发单元相连。
4.根据权利要求1所述的基于虚拟机自省技术的云平台安全监控系统,其特征在于:所述的平台安全数据处理子系统包括多个策略模块,采用模块插件方式,每种探测策略实现为一个模块插入到系统中;平台安全数据处理子系统还包括策略引擎和策略架构,安全数据存储子模块通过策略架构与各策略模块连接。
5.根据权利要求3或4所述的基于虚拟机自省技术的云平台安全监控系统,其特征在于:所述的数据收发单元通过策略架构与各策略模块连接,数据收发单元还直接与安全数据存储子系统连接。
6.根据权利要求1所述的基于虚拟机自省技术的云平台安全监控系统,其特征在于:所述的平台安全报告子系统包括报告架构和多个报告生成模块,采用模块插件方式,每种报告生成方式实现为一个模块插入到系统中。
7.基于虚拟机自省技术的云平台安全监控方法,其特征在于:它包括以下步骤:
S1:各本地数据采集单元的虚拟机管理器VMM分别通过操作系统接口采集各被监控系统的安全数据;
S2:所采集到的安全数据分别通过数据收发单元存储至安全数据存储子系统;
S3:在需要进行安全数据处理时,平台安全数据处理子系统调用安全数据存储子系统中存储的安全数据,按照探测策略和算法对每个被监控系统的安全数据进行分析和处理,以发现各种入侵威胁;
S4:检测入侵威胁:当平台安全数据处理子系统检测到入侵威胁时,在把检测到的结果写入安全数据存储子系统的同时,直接把数据发给平台安全报告子系统以向用户发起通知;当平台安全数据处理子系统没有检测到入侵威胁时,平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统,以便管理员或者用户进行查询或审计。
8.根据权利要求7所述的基于虚拟机自省技术的云平台安全监控方法,其特征在于:所述的平台安全数据处理子系统还包括一个根据需要向本地安全数据采集子系统发出获取数据的请求的步骤,本地安全数据采集子系统接收到该请求后,通过操作系统接口将该请求转发给各本地数据采集单元的虚拟机管理器VMM;当数据采集模块接收到虚拟机管理器VMM对请求的反馈后,通过数据收发单元将该反馈数据转发至平台安全数据处理子系统。
9.根据权利要求8所述的基于虚拟机自省技术的云平台安全监控方法,其特征在于:在对反馈的数据进行处理的同时,平台安全数据处理子系统将这些反馈数据写入安全数据存储子系统。
10.根据权利要求7所述的基于虚拟机自省技术的云平台安全监控方法,其特征在于:它还包括一个平台安全数据处理子系统通过虚拟机管理器VMM对所监控的虚拟机进行暂停或继续操作的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410194534.2A CN103929502B (zh) | 2014-05-09 | 2014-05-09 | 基于虚拟机自省技术的云平台安全监控系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410194534.2A CN103929502B (zh) | 2014-05-09 | 2014-05-09 | 基于虚拟机自省技术的云平台安全监控系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103929502A true CN103929502A (zh) | 2014-07-16 |
| CN103929502B CN103929502B (zh) | 2018-01-19 |
Family
ID=51147574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410194534.2A Active CN103929502B (zh) | 2014-05-09 | 2014-05-09 | 基于虚拟机自省技术的云平台安全监控系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103929502B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| WO2015192664A1 (zh) * | 2014-06-19 | 2015-12-23 | 中兴通讯股份有限公司 | 设备监控方法及装置 |
| CN106445639A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 监测虚拟机的方法及装置 |
| CN107169347A (zh) * | 2017-05-08 | 2017-09-15 | 中国科学院信息工程研究所 | 一种增强arm平台虚拟机自省安全的方法及装置 |
| CN107483292A (zh) * | 2017-09-11 | 2017-12-15 | 电子科技大学 | 用于云平台的动态监控方法 |
| CN108762888A (zh) * | 2018-05-17 | 2018-11-06 | 湖南文盾信息技术有限公司 | 一种基于虚拟机自省的病毒检测系统及方法 |
| CN114363035A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种流量牵引方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271019A1 (en) * | 2007-04-24 | 2008-10-30 | Stratton Robert J | System and Method for Creating a Virtual Assurance System |
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN101399698A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种安全管理系统、装置和方法 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
-
2014
- 2014-05-09 CN CN201410194534.2A patent/CN103929502B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271019A1 (en) * | 2007-04-24 | 2008-10-30 | Stratton Robert J | System and Method for Creating a Virtual Assurance System |
| CN101399698A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种安全管理系统、装置和方法 |
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015192664A1 (zh) * | 2014-06-19 | 2015-12-23 | 中兴通讯股份有限公司 | 设备监控方法及装置 |
| CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN104461678B (zh) * | 2014-11-03 | 2017-11-24 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN106445639A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 监测虚拟机的方法及装置 |
| CN107169347A (zh) * | 2017-05-08 | 2017-09-15 | 中国科学院信息工程研究所 | 一种增强arm平台虚拟机自省安全的方法及装置 |
| CN107169347B (zh) * | 2017-05-08 | 2019-07-05 | 中国科学院信息工程研究所 | 一种增强arm平台虚拟机自省安全的方法及装置 |
| CN107483292A (zh) * | 2017-09-11 | 2017-12-15 | 电子科技大学 | 用于云平台的动态监控方法 |
| CN107483292B (zh) * | 2017-09-11 | 2020-10-16 | 电子科技大学 | 用于云平台的动态监控方法 |
| CN108762888A (zh) * | 2018-05-17 | 2018-11-06 | 湖南文盾信息技术有限公司 | 一种基于虚拟机自省的病毒检测系统及方法 |
| CN114363035A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种流量牵引方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103929502B (zh) | 2018-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103929502A (zh) | 基于虚拟机自省技术的云平台安全监控系统及方法 | |
| KR101810762B1 (ko) | 클라우드 환경에서 hdfs 기반의 도커 컨테이너 보안 로그 분석 방법 및 시스템 | |
| US11797684B2 (en) | Methods and systems for hardware and firmware security monitoring | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| CN106775929B (zh) | 一种虚拟化平台安全监控方法及系统 | |
| CN102999716B (zh) | 虚拟机器监控系统及方法 | |
| CN102684944B (zh) | 入侵检测方法和装置 | |
| US20230096032A1 (en) | Hybrid Approach To Data Governance | |
| CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
| CN107995049A (zh) | 电力安全区跨区同步故障监测方法、装置和系统 | |
| CN103563302A (zh) | 网络资产信息管理 | |
| CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
| CN104038466A (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| Wang et al. | A centralized HIDS framework for private cloud | |
| CN104866407A (zh) | 一种虚拟机环境下的监控系统及监控方法 | |
| CN102902615A (zh) | 一种Lustre并行文件系统错误报警方法及其系统 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN112688914A (zh) | 一种智慧型云平台动态感知方法 | |
| KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| CN109213657B (zh) | 一种电网运行数据云储存装置 | |
| CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
| CN107770153B (zh) | 一种基于协同安全防护模型的电力信息通用采集系统 | |
| CN105025067A (zh) | 一种信息安全技术研究平台 | |
| CN116662112A (zh) | 一种使用全自动扫描和系统状态评估的数字监控平台 | |
| CN105511952A (zh) | 基于云计算平台的资源自迁移方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |