CN104866407A - 一种虚拟机环境下的监控系统及监控方法 - Google Patents
一种虚拟机环境下的监控系统及监控方法 Download PDFInfo
- Publication number
- CN104866407A CN104866407A CN201510347838.2A CN201510347838A CN104866407A CN 104866407 A CN104866407 A CN 104866407A CN 201510347838 A CN201510347838 A CN 201510347838A CN 104866407 A CN104866407 A CN 104866407A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- module
- monitoring
- information
- machine environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供了一种虚拟机环境下的监控系统及监控方法的技术方案,包括如下模块:监控模块、域间通信模块、规则库、分析模块、响应服务模块、响应接受模块、事件处理模块等。该方案用于对用户的虚拟机运行环境进行安全保护,能够管理和控制虚拟机使用的资源,甚至监控虚拟机内的进程,也能够修改虚拟机的虚拟机磁盘上的内容,因此将监控功能模块部署在虚拟机管理器里能够保证监控的可靠性,同时结合虚拟机自省技术能够对被监控虚拟机的内核空间实施有效的检测,防止入侵发生。
Description
技术领域
本发明涉及的是一种在虚拟机环境下的监控系统及监控方法。
背景技术
在现有技术中,公知的技术是虚拟化环境下的安全问题是虚拟化技术和云计算技术发展的一个重要问题,随着这两个技术的快速发展,虚拟化安全受到了越来越多的重视。在虚拟化环境下,增加了虚拟机管理器这个技术层,客户操作系统使用的是经过虚拟机管理器抽象的逻辑资源,同一物理机上能同时存在多个虚拟机,这些虚拟机共享底层的物理资源。虚拟化环境的特性带来了传统环境下不存在的安全问题,如虚拟化环境具有较强的动态性,安全边界模糊,管理和维护更加复杂,某台虚拟机出现安全漏洞,可能对同一物理机上的其他虚拟机造成威胁等。一些传统环境下的安全威胁如病毒、木马、恶意软件等在虚拟环境下仍然存在,针对他们的传统安全防护方法却难以适应虚拟化环境。
在虚拟环境下采用传统的防护方式在每台虚拟机上安装防病毒软件,入侵检测和入侵防护系统会消耗大量资源,大大降低系统性能,显然不是最优的方法,且防护软件安装在虚拟机上容易受到攻击和控制,需要有新的技术来解决此类安全问题。虚拟机管理器控制着整个虚拟化环境,能够监控所有虚拟机并且与其上运行的应用进行通信。虚拟机管理器负责虚拟机的启动、关闭、暂停和恢复运行,能够管理和控制虚拟机使用的资源,甚至监控虚拟机内的进程,也能够修改虚拟机的虚拟机磁盘上的内容,虚拟机管理器还能够监控所有虚拟机的网络流量,因此,借助虚拟机管理器来监控客户虚拟机的运行状态能够有效保证虚拟化环境下客户虚拟机的运行安全,另外虚拟机管理器对客户虚拟机是透明的,更加便于部署和维护。
发明内容
本发明的目的就是针对现有技术所存在的不足,而提供一种拟机环境下的网络监控系统即监控方法的技术方案,该方案用于对用户的虚拟机运行环境进行安全保护,能够管理和控制虚拟机使用的资源,甚至监控虚拟机内的进程,也能够修改虚拟机的虚拟机磁盘上的内容,因此将监控功能模块部署在虚拟机管理器里能够保证监控的可靠性,同时结合虚拟机自省技术能够对被监控虚拟机的内核空间实施有效的检测,防止入侵发生。
本方案是通过如下技术措施来实现的:一种虚拟机环境下的监控系统,包括如下模块:
监控模块,用于对被监控虚拟机的内存和文件系统进行检测;
域间通信模块,用于信息的安全传递;
规则库,是对内存段采取的监控规则以及攻击特征的集合;
分析模块,对监控模块采集到的信息与规则库里的集合进行匹配,发现异常情况是将告警信息发送到响应服务模块;
响应服务模块,对检测到的入侵事件进行日志记录,并通过域间通信模块将告警信息发送到被监控虚拟机的响应接受模块;
响应接受模块,用于接收告警信息并发送给事件处理模块;
事件处理模块,根据告警信息采取安全防范措施。
所述监控模块对被监控虚拟机的内存和文件系统进行检测,包括监控对内核中的只读内容的恶意修改,例如修改系统调用表、中断描述符表或系统调用函数;通过监控任务列表、模块列表来发现隐藏的恶意软件;对系统文件进行完整性检测或攻击特征匹配;对虚拟机网卡处于混杂模式以及隐藏的网络连接进行检测。
所述的域间通信模块是将两个不同虚拟机的设备内存空间映射到同一块机器地址空间,从而使得两个设备的操作都在同一块真实的机器地址空间中执行,通过共享内存和事件通道机制的方式来实现在不同虚拟机间的信息安全传递。
分析模块将从监控模块采集到的信息,按照用户下发的配置策略对数据进行关联分析提取特征信息,并将特征信息保存到规则库中。
所述规则库还与安全管理中心保持网络连接,以获取规则信息的在线更新服务。
所述安全防范措施包括断开连接、收集证据以及数据恢复、或者利用防火墙对入侵事件进防御。
一种虚拟机环境下的监控方法,其特征是包括如下步骤:
1)监控模块对被监控虚拟机的内存或文件执行监控扫描;
2)分析模块把采集到的信息与规则库的特征集合进行匹配来发现入侵行为;
3)分析模块检测到入侵行为就向响应服务模块发送通告;
4)响应服务模块将入侵事件保存到日志记录,并通过域间通信模块向被检测虚拟机发送告警信息;
5)响应接收模块从域间通信模块接收告警信息并发送给事件处理模块;
6)事件处理模块根据告警信息采取相应的安全防范措施。
所述的步骤1)中的监控扫描,包括监控对内核中的只读内容的恶意修改,例如修改系统调用表、中断描述符表或系统调用函数;通过监控任务列表、模块列表来发现隐藏的恶意软件;对系统文件进行完整性检测或攻击特征匹配;对虚拟机网卡处于混杂模式以及隐藏的网络连接进行检测。
所述的步骤2)中,分析模块对被监控虚拟机的内存信息和网络数据包进行分析,将用户操作与系统正常行为和规则库进行匹配来发现入侵行为。
本方案的有益效果可根据对上述方案的叙述得知,由于在该方案中有特权虚拟机、虚拟机管理器、被监控虚拟机;其中特权虚拟机包括规则库、分析模块、响应服务模块;虚拟机管理器包括监控模块和域间通信模块,在被监控虚拟机内设置有事件处理模块和响应接收模块,这样工作时,虚拟机管理器中的监控模块就可以对被监控虚拟机,特权虚拟机中的分析模块与规则库中的比较,如果检测到入侵行为,则通过响应服务模块、域间通信模块将报警信息发送到被监控虚拟机的响应接收模块,然后事件处理模块进行相应的处理。由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
图1为本发明具体实施方式的结构示意图。
图2为本发明具体实施方式的流程图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过一个具体实施方式,并结合其附图,对本方案进行阐述。
通过附图可以看出,本方案的一种虚拟机环境下的监控系统,包括如下模块:
监控模块,用于对被监控虚拟机的内存和文件系统进行检测;所述监控模块对被监控虚拟机的内存和文件系统进行检测,包括监控对内核中的只读内容的恶意修改,例如修改系统调用表、中断描述符表或系统调用函数;通过监控任务列表、模块列表来发现隐藏的恶意软件;对系统文件进行完整性检测或攻击特征匹配;对虚拟机网卡处于混杂模式以及隐藏的网络连接进行检测。
域间通信模块,用于信息的安全传递;所述的域间通信模块是将两个不同虚拟机的设备内存空间映射到同一块机器地址空间,从而使得两个设备的操作都在同一块真实的机器地址空间中执行,通过共享内存和事件通道机制的方式来实现在不同虚拟机间的信息安全传递。
规则库,是对内存段采取的监控规则以及攻击特征的集合;所述规则库还与安全管理中心保持网络连接,以获取规则信息的在线更新服务。
分析模块,对监控模块采集到的信息与规则库里的集合进行匹配,发现异常情况是将告警信息发送到响应服务模块;分析模块将从监控模块采集到的信息,按照用户下发的配置策略对数据进行关联分析提取特征信息,并将特征信息保存到规则库中。
响应服务模块,对检测到的入侵事件进行日志记录,并通过域间通信模块将告警信息发送到被监控虚拟机的响应接受模块;
响应接受模块,用于接收告警信息并发送给事件处理模块。
事件处理模块,根据告警信息采取安全防范措施。所述安全防范措施包括断开连接、收集证据以及数据恢复、或者利用防火墙对入侵事件进防御。
一种虚拟机环境下的监控方法,包括如下步骤:
1)监控模块对被监控虚拟机的内存或文件执行监控扫描;
2)分析模块把采集到的信息与规则库的特征集合进行匹配来发现入侵行为;
3)分析模块检测到入侵行为就向响应服务模块发送通告;
4)响应服务模块将入侵事件保存到日志记录,并通过域间通信模块向被检测虚拟机发送告警信息;
5)响应接收模块从域间通信模块接收告警信息并发送给事件处理模块;
6)事件处理模块根据告警信息采取相应的安全防范措施。
所述的步骤1)中的监控扫描,包括监控对内核中的只读内容的恶意修改,例如修改系统调用表、中断描述符表或系统调用函数;通过监控任务列表、模块列表来发现隐藏的恶意软件;对系统文件进行完整性检测或攻击特征匹配;对虚拟机网卡处于混杂模式以及隐藏的网络连接进行检测。
所述的步骤2)中,分析模块对被监控虚拟机的内存信息和网络数据包进行分析,将用户操作与系统正常行为和规则库进行匹配来发现入侵行为。
本发明并不仅限于上述具体实施方式,本领域普通技术人员在本发明的实质范围内做出的变化、改型、添加或替换,也应属于本发明的保护范围。
Claims (9)
1.一种虚拟机环境下的监控系统,其特征是包括如下模块:
监控模块,用于对被监控虚拟机的内存和文件系统进行检测;
域间通信模块,用于信息的安全传递;
规则库,是对内存段采取的监控规则以及攻击特征的集合;
分析模块,对监控模块采集到的信息与规则库里的集合进行匹配,发现异常情况是将告警信息发送到响应服务模块;
响应服务模块,对检测到的入侵事件进行日志记录,并通过域间通信模块将告警信息发送到被监控虚拟机的响应接受模块;
响应接受模块,用于接收告警信息并发送给事件处理模块;
事件处理模块,根据告警信息采取安全防范措施。
2.根据权利要求1所述的虚拟机环境下的监控系统,其特征是:所述监控模块对被监控虚拟机的内存和文件系统进行检测,包括监控对内核中的只读内容的恶意修改,例如修改系统调用表、中断描述符表或系统调用函数;通过监控任务列表、模块列表来发现隐藏的恶意软件;对系统文件进行完整性检测或攻击特征匹配;对虚拟机网卡处于混杂模式以及隐藏的网络连接进行检测。
3.根据权利要求1所述的虚拟机环境下的监控系统,其特征是:所述的域间通信模块是将两个不同虚拟机的设备内存空间映射到同一块机器地址空间,从而使得两个设备的操作都在同一块真实的机器地址空间中执行,通过共享内存和事件通道机制的方式来实现在不同虚拟机间的信息安全传递。
4.根据权利要求1所述的虚拟机环境下的监控系统,其特征是:分析模块将从监控模块采集到的信息,按照用户下发的配置策略对数据进行关联分析提取特征信息,并将特征信息保存到规则库中。
5.根据权利要求1或4所述的虚拟机环境下的监控系统,其特征是:所述规则库还与安全管理中心保持网络连接,以获取规则信息的在线更新服务。
6.根据权利要求1所述的虚拟机环境下的监控系统,其特征是:所述安全防范措施包括断开连接、收集证据以及数据恢复、或者利用防火墙对入侵事件进防御。
7.一种虚拟机环境下的监控方法,其特征是包括如下步骤:
1)监控模块对被监控虚拟机的内存或文件执行监控扫描;
2)分析模块把采集到的信息与规则库的特征集合进行匹配来发现入侵行为;
3)分析模块检测到入侵行为就向响应服务模块发送通告;
4)响应服务模块将入侵事件保存到日志记录,并通过域间通信模块向被检测虚拟机发送告警信息;
5)响应接收模块从域间通信模块接收告警信息并发送给事件处理模块;
6)事件处理模块根据告警信息采取相应的安全防范措施。
8.根据权利要求7所述的虚拟机环境下的监控方法,其特征是:所述的步骤1)中的监控扫描,包括监控对内核中的只读内容的恶意修改,例如修改系统调用表、中断描述符表或系统调用函数;通过监控任务列表、模块列表来发现隐藏的恶意软件;对系统文件进行完整性检测或攻击特征匹配;对虚拟机网卡处于混杂模式以及隐藏的网络连接进行检测。
9.根据权利要求7所述的虚拟机环境下的监控方法,其特征是:所述的步骤2)中,分析模块对被监控虚拟机的内存信息和网络数据包进行分析,将用户操作与系统正常行为和规则库进行匹配来发现入侵行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510347838.2A CN104866407A (zh) | 2015-06-23 | 2015-06-23 | 一种虚拟机环境下的监控系统及监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510347838.2A CN104866407A (zh) | 2015-06-23 | 2015-06-23 | 一种虚拟机环境下的监控系统及监控方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104866407A true CN104866407A (zh) | 2015-08-26 |
Family
ID=53912253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510347838.2A Pending CN104866407A (zh) | 2015-06-23 | 2015-06-23 | 一种虚拟机环境下的监控系统及监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104866407A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
| CN105488388A (zh) * | 2015-12-22 | 2016-04-13 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 |
| CN105912417A (zh) * | 2016-04-11 | 2016-08-31 | 北京金山安全软件有限公司 | 虚拟系统的检测方法和相关软件运行方法以及相关装置 |
| CN106899977A (zh) * | 2015-12-18 | 2017-06-27 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
| CN108322421A (zh) * | 2017-01-16 | 2018-07-24 | 医渡云(北京)技术有限公司 | 计算机系统安全管理方法及装置 |
| CN108762888A (zh) * | 2018-05-17 | 2018-11-06 | 湖南文盾信息技术有限公司 | 一种基于虚拟机自省的病毒检测系统及方法 |
| CN109857520A (zh) * | 2019-01-18 | 2019-06-07 | 四川大学 | 一种虚拟机自省中的语义重构改进方法及系统 |
| CN112636965A (zh) * | 2020-12-17 | 2021-04-09 | 浪潮云信息技术股份公司 | 一种云环境下虚机网络连通性监控方法 |
| WO2022120974A1 (zh) * | 2020-12-10 | 2022-06-16 | 中国科学院深圳先进技术研究院 | 一种虚拟化安全网关系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101976200A (zh) * | 2010-10-15 | 2011-02-16 | 浙江大学 | 在虚拟机监控器外进行输入输出设备虚拟化的虚拟机系统 |
| CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
| CN103399812A (zh) * | 2013-07-22 | 2013-11-20 | 西安电子科技大学 | 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法 |
| US20140282539A1 (en) * | 2013-03-15 | 2014-09-18 | Adventium Enterprises, Llc | Wrapped nested virtualization |
| US20150052519A1 (en) * | 2013-08-14 | 2015-02-19 | Bank Of America Corporation | Hypervisor driven embedded endpoint security monitoring |
-
2015
- 2015-06-23 CN CN201510347838.2A patent/CN104866407A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101976200A (zh) * | 2010-10-15 | 2011-02-16 | 浙江大学 | 在虚拟机监控器外进行输入输出设备虚拟化的虚拟机系统 |
| CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
| US20140282539A1 (en) * | 2013-03-15 | 2014-09-18 | Adventium Enterprises, Llc | Wrapped nested virtualization |
| CN103399812A (zh) * | 2013-07-22 | 2013-11-20 | 西安电子科技大学 | 基于Xen硬件虚拟化的磁盘文件操作监控系统及监控方法 |
| US20150052519A1 (en) * | 2013-08-14 | 2015-02-19 | Bank Of America Corporation | Hypervisor driven embedded endpoint security monitoring |
Non-Patent Citations (2)
| Title |
|---|
| 任国力: "基于VMI的入侵检测系统的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 冯登国等: "《可信计算理论与实践》", 31 May 2013, 北京:清华大学出版社 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
| CN106899977A (zh) * | 2015-12-18 | 2017-06-27 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
| CN106899977B (zh) * | 2015-12-18 | 2020-02-18 | 中国电信股份有限公司 | 异常流量检验方法和装置 |
| CN105488388A (zh) * | 2015-12-22 | 2016-04-13 | 中软信息系统工程有限公司 | 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法 |
| CN105912417A (zh) * | 2016-04-11 | 2016-08-31 | 北京金山安全软件有限公司 | 虚拟系统的检测方法和相关软件运行方法以及相关装置 |
| CN105912417B (zh) * | 2016-04-11 | 2019-03-15 | 珠海豹趣科技有限公司 | 虚拟系统的检测方法和相关软件运行方法以及相关装置 |
| CN108322421A (zh) * | 2017-01-16 | 2018-07-24 | 医渡云(北京)技术有限公司 | 计算机系统安全管理方法及装置 |
| CN108762888A (zh) * | 2018-05-17 | 2018-11-06 | 湖南文盾信息技术有限公司 | 一种基于虚拟机自省的病毒检测系统及方法 |
| CN109857520A (zh) * | 2019-01-18 | 2019-06-07 | 四川大学 | 一种虚拟机自省中的语义重构改进方法及系统 |
| WO2022120974A1 (zh) * | 2020-12-10 | 2022-06-16 | 中国科学院深圳先进技术研究院 | 一种虚拟化安全网关系统 |
| CN112636965A (zh) * | 2020-12-17 | 2021-04-09 | 浪潮云信息技术股份公司 | 一种云环境下虚机网络连通性监控方法 |
| CN112636965B (zh) * | 2020-12-17 | 2023-03-28 | 浪潮云信息技术股份公司 | 一种云环境下虚机网络连通性监控方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104866407A (zh) | 一种虚拟机环境下的监控系统及监控方法 | |
| EP3214568B1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
| CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
| Tupakula et al. | Intrusion detection techniques for infrastructure as a service cloud | |
| US10311235B2 (en) | Systems and methods for malware evasion management | |
| US9686293B2 (en) | Systems and methods for malware detection and mitigation | |
| Roschke et al. | Intrusion detection in the cloud | |
| US10003606B2 (en) | Systems and methods for detecting security threats | |
| US20150052520A1 (en) | Method and apparatus for virtual machine trust isolation in a cloud environment | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| CN104038466A (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| US20160110544A1 (en) | Disabling and initiating nodes based on security issue | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
| CN105550574B (zh) | 基于内存活动的边信道攻击取证系统及方法 | |
| Fischer et al. | CloudIDEA: a malware defense architecture for cloud data centers | |
| Yin et al. | Research of security as a service for VMs in IaaS platform | |
| Araújo et al. | Virtualization in intrusion detection systems: a study on different approaches for cloud computing environments | |
| Chouhan et al. | Network based malware detection within virtualised environments | |
| KR101454838B1 (ko) | 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템 | |
| CN107516039B (zh) | 虚拟化系统的安全防护方法及装置 | |
| Zhou et al. | Agentless and uniform introspection for various security services in iaas cloud | |
| Aborujilah et al. | Critical review of intrusion detection systems in cloud computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250101 orsus No. 1166 building 15-16 Applicant after: Shandong Zhongfu Information Industry Co., Ltd. Address before: Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250101 No. 1166 orsus No. 2 building, 16 floor Applicant before: Shandong Zhongfu Information Industry Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150826 |