CN104899078A - 一种虚拟机环境下的审计系统与方法 - Google Patents
一种虚拟机环境下的审计系统与方法 Download PDFInfo
- Publication number
- CN104899078A CN104899078A CN201510376012.9A CN201510376012A CN104899078A CN 104899078 A CN104899078 A CN 104899078A CN 201510376012 A CN201510376012 A CN 201510376012A CN 104899078 A CN104899078 A CN 104899078A
- Authority
- CN
- China
- Prior art keywords
- management
- virtual
- virtual machine
- auditing
- bookkeeping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种虚拟机环境下的审计系统与方法,属于计算系统虚拟化技术领域。该虚拟机环境下的审计系统包括:虚拟化管理平台、审计引擎、审计中心、虚拟化管理接口和虚拟机管理器;所述虚拟化管理平台将系统管理员的管理操作发送给审计引擎,所述审计引擎对所述管理操作进行事件分析和处理,并将处理结果形成审计事件发送到审计中心;所述审计引擎与虚拟化管理接口进行数据通讯,通过虚拟化管理接口将数据发送给虚拟机管理器。
Description
技术领域
本发明属于计算系统虚拟化技术领域,具体涉及一种虚拟机环境下的审计系统与方法。
背景技术
虚拟化是云计算提升基础设施资源利用率的关键技术,虚拟化机制增加了虚拟机管理器这个技术层,客户操作系统使用的是经过虚拟机管理器抽象的逻辑资源,同一台物理机上能同时运行多个虚拟机,由虚拟机管理器来控制这些虚拟机共享底层的物理资源。因此,虚拟化技术的特性使得虚拟机管理器具有较高的安全级别,所有物理机上运行的虚拟机的安全性都是建立在虚拟机管理平台的安全基础之上的,虚拟机管理平台操作的安全性显得尤为重要。然而,在应用虚拟化技术的过程中,对管理员操作的审计与监管等需求无法得到有效满足,“取证难、追溯难、责任认定难”等渐已成为阻碍虚拟化技术全面应用的主要问题之一。为了保证安全可靠地使用虚拟化技术,需要新的安全审计系统来解决虚拟化环境下的行为审计、管理员操作监控等问题。
发明内容
本发明的目的在于解决上述现有技术中存在的难题,提供一种虚拟机环境下的审计系统与方法,解决虚拟环境下行为审计、管理员操作监控等难题,并通过数据分析引擎,有效加强对云计算环境中的审计监控力度。
本发明是通过以下技术方案实现的:
一种虚拟机环境下的审计系统,包括:虚拟化管理平台、审计引擎、审计中心、虚拟化管理接口和虚拟机管理器;
所述虚拟化管理平台将系统管理员的管理操作发送给审计引擎,所述审计引擎对所述管理操作进行事件分析和处理,并将处理结果形成审计事件发送到审计中心;
所述审计引擎与虚拟化管理接口进行数据通讯,通过虚拟化管理接口将数据发送给虚拟机管理器。
所述虚拟化管理平台为系统管理员提供用户控制界面,系统管理员通过虚拟化管理平台对虚拟机及相关设备进行集中的管理控制,对物理资源进行统一的配置管理;所述相关设备包括服务器硬件资源和存储设备。
所述虚拟化管理接口接收到管理操作的命令后向虚拟机管理器发送所述管理操作对应的指令序列。
所述虚拟机管理器响应所述管理操作对应的指令序列,管理运行于其上的虚拟机系统,加载虚拟机客户端的操作系统,并分配给虚拟机所配置的物理计算资源;所述物理计算资源包括内存、CPU、网络和磁盘。
所述审计中心接收审计引擎采集的审计事件并进行存档和分析,并向管理人员提供管理后台进行管理。
一种虚拟机环境下的审计引擎,包括:适配模块、监控分析模块、转发模块、策略模块和事件上传模块;
所述适配模块用于对虚拟化基础架构进行自动识别,并探测虚拟化管理接口类别;
所述监控分析模块用于接收虚拟化管理平台发来的管理操作命令并进行事件分析;
所述转发模块用于模仿被接管的虚拟化管理接口的服务方式和通信协议,将管理操作命令转发给虚拟化管理接口;
所述策略模块用于与审计中心保持通信,接收审计中心下发的审计管理策略并配置到虚拟机服务器上;
所述事件上传模块用于将监控分析模块处理的事件分析结果和事件上传给审计中心。
一种虚拟机环境下的审计方法,该方法包括:
系统管理员在虚拟化管理平台上执行管理操作,虚拟化管理平台调用审计引擎,将所述管理操作对应的命令发送给审计引擎;
审计引擎将收到的管理操作的命令后,对所述管理操作进行事件分析和处理,并将处理结果形成审计事件发送到审计中心;
审计中心对所述管理操作的命令数据进行存档和分析,并向系统管理员提供管理后台进行管理;
审计引擎对所述管理操作进行分析,把事件记录下来传给审计中心实现审计,同时将收到的管理操作的命令转发给虚拟化管理接口;
虚拟化管理接口收到管理操作的命令后向虚拟机管理器发送所述管理操作对应的指令序列;
虚拟机管理器响应所述管理操作对应的指令序列,协调虚拟化物理资源,执行实际的管理动作。
所述审计引擎能够审计的管理操作包括:虚拟机管理、虚拟机监控、服务器管理、网络管理、网络流量过滤管理、虚拟网络管理、设备节点管理、快照管理、存储池管理、存储卷管理、用户管理。
进一步的,所述审计引擎对虚拟化基础架构进行识别,并探测管理接口类别。
所述探测管理接口类别是这样实现的:
服务扫描:扫描当前虚拟化操作系统已经安装或正在运行的管理接口服务,通过服务标识来进行识别;
进程寻找:扫描已经运行的所有进程,根据进程的特征来寻找是否有向外提供管理的关键进程;
文件定位:扫描协议栈和工具组件所在位置,感知是否存在对应的虚拟化管理接口;
协议识别:以协议的角度探测当前系统向外提供的服务形式和内容,从而区分接口类型和版本。
与现有技术相比,本发明的有益效果是:本发明通过加入审计引擎,对各种虚拟化环境下的管理操作进行全方位的审计,包括虚拟机审计、服务器审计、存储审计、网络审计,并对审计行为和数据进行统一管理和分析。审计引擎具有自适应虚拟化架构环境和虚拟化管理软件的功能,能够在多种虚拟化基础架构实施审计管理。另外,审计引擎采用了透明接管虚拟化管理接口的方式运行于虚拟服务器上,使得虚拟化管理平台无需进行任何改动就可以无缝的提供原有的服务。审计引擎能够完整接管虚拟化管理平台的所有管理请求,并且对使用虚拟化管理平台的操作行为实施详细和完整的审计。
附图说明
图1是本发明虚拟机环境下的审计系统的一个实施例框图。
图2是本发明虚拟机环境下的审计方法的一个实施例的流程示意图。
图3是本发明虚拟机环境下的审计引擎的一个实施例的框图。
具体实施方式
下面结合附图对本发明作进一步详细描述:
本发明实施例提供了一种虚拟机环境下的审计系统和方法,用于对各种虚拟化环境下的管理操作进行全面的审计,包括虚拟机审计、服务器审计、存储审计和网络审计,并对审计行为和数据进行统一管理和分析。为使本发明实施例的目的、技术方案和优点更加清楚易懂,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
图1是本发明虚拟机环境下的审计系统的一个实施例的框图,该系统至少包括:虚拟化管理平台100、审计引擎102、审计中心103、虚拟化管理接口104、虚拟机管理器105。
虚拟化管理平台100为系统管理员提供用户控制界面,系统管理员可以通过该平台对虚拟机及相关设备进行集中的管理控制,对物理资源进行统一的配置管理。
审计引擎102接管了虚拟化管理接口104的通讯数据,负责对系统管理员使用虚拟化管理平台100的相关操作进行事件分析和处理,并将处理结果形成审计事件(审计事件就是把管理操作看做一个事件进行审计)发送到审计中心103。
虚拟化管理接口104为虚拟机管理平台100提供可靠的应用程序编程接口,为上层管理应用程序提供统一的管理机制。
审计中心103接收审计引擎102采集的信息并进行存档和分析,并向管理人员提供管理后台(管理后台就相当于一个管理平台显示审计事件的日志记录,算是包含在审计中心里的一个功能,是独立于虚拟化管理平台的另一个管理平台)进行管理。所述管理后台提供了代理管理、审计分析、报表展现、存储备份、系统管理、用户管理等功能。
虚拟机管理器105管理运行于其上的虚拟机系统,加载虚拟机客户端的操作系统,并分配给虚拟机所配置的内存、CPU、网络和磁盘等物理计算资源。
优选的,所述审计引擎102可以作为一个软件系统安装在虚拟服务器上执行所述具体的功能。
审计引擎通过接管虚拟化管理接口的服务方式和通信协议,继续向上提供与原有服务内容和形式一致的服务,使得上层虚拟化管理平台无需进行任何改动,就能够无缝的被审计引擎所接管,并继续提供原有的管理功能。
图2是本发明虚拟机环境下的审计方法的一个实施例的流程示意图,主要包括:
步骤200:系统管理员在虚拟化管理平台上执行管理操作,虚拟化管理平台调用审计引擎,将所述管理操作对应的命令发送给审计引擎。
步骤202:审计引擎将收到的管理操作的命令数据进行分析处理后发送到审计中心。
步骤204:审计中心对所述管理操作的命令数据进行存档和分析,并向管理人员提供管理后台进行管理。
步骤206:审计引擎同时将收到的管理操作的命令转发给虚拟化管理接口。审计引擎是同时对管理操作进行简单的分析,主要是把事件记录下来传给审计中心实现审计,同时也是透明的存在于原有系统中,不影响虚拟机系统的正常运行,所以同时会把管理操作直接传给管理接口执行对应的管理操作。
步骤208:虚拟化管理接口收到管理操作的命令后向虚拟机管理器发送所述管理操作对应的指令序列。
步骤210:虚拟机管理器响应所述管理操作对应的指令序列,协调虚拟化物理资源,执行实际的管理动作。
其中,所述审计引擎可以审计的管理操作至少包括:虚拟机管理、虚拟机监控、服务器管理、网络管理、网络流量过滤管理、虚拟网络管理、设备节点管理、快照管理、存储池管理、存储卷管理、用户管理。
进一步的,所述审计引擎对Xen、KVM等虚拟化基础架构进行识别(审计引擎是个软件层,可以安装在xen或者kvm的虚拟机架构上,不同种类的管理接口需要采用不同的监控技术来实现审计操作,所以审计引擎需要具有自适应能力,能够自动感知当前虚拟化环境。识别的过程是在审计软件程序初始化时候执行的,对运行环境的一个适配过程。),对向外提供虚拟化管理接口的服务和相关软件进行感知,从而为审计引擎接管虚拟化管理接口提供了条件。
图3是本发明虚拟机环境下的审计引擎装置的一个实施例的框图,该审计引擎主要包含的功能模块如下:
适配模块302:负责对Xen、KVM等虚拟化基础架构进行自动识别,还能使用多种手段探测管理接口类别(同上,也是程序初始化过程的对管理接口执行的适配,不在审计操作流程里)。
监控分析模块304:用于接收虚拟化管理平台发来的管理操作命令并进行事件分析。
转发模块306:完全模仿被接管虚拟化管理接口的服务方式和通信协议,将管理操作命令转发给虚拟化管理接口。
策略模块308:用于与审计中心保持通信,接收审计中心下发的审计管理策略并配置到虚拟机服务器上。
事件上传模块310:用于将监控分析模块处理的事件分析结果和事件上传给审计中心。
进一步的,所述审计引擎探测管理接口类别的方法,包括:
服务扫描:扫描当前虚拟化操作系统已经安装或正在运行的管理接口服务,通过服务标识来进行识别;
进程寻找:扫描已经运行的所有进程,根据进程的特征来寻找是否有向外提供管理的关键进程;
文件定位:扫描常见的协议栈和工具组件所在位置,感知是否存在对应的虚拟化管理接口;
协议识别:以协议的角度探测当前系统向外提供的服务形式和内容,从而区分接口类型和版本。
上述技术方案只是本发明的一种实施方式,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施方式所描述的方法,因此前面描述的方式只是优选的,而并不具有限制性的意义。
Claims (10)
1.一种虚拟机环境下的审计系统,其特征在于:所述虚拟机环境下的审计系统包括:虚拟化管理平台、审计引擎、审计中心、虚拟化管理接口和虚拟机管理器;
所述虚拟化管理平台将系统管理员的管理操作发送给审计引擎,所述审计引擎对所述管理操作进行事件分析和处理,并将处理结果形成审计事件发送到审计中心;
所述审计引擎与虚拟化管理接口进行数据通讯,通过虚拟化管理接口将数据发送给虚拟机管理器。
2.根据权利要求1所述的虚拟机环境下的审计系统,其特征在于:所述虚拟化管理平台为系统管理员提供用户控制界面,系统管理员通过虚拟化管理平台对虚拟机及相关设备进行集中的管理控制,对物理资源进行统一的配置管理;所述相关设备包括服务器硬件资源和存储设备。
3.根据权利要求2所述的虚拟机环境下的审计系统,其特征在于:所述虚拟化管理接口接收到管理操作的命令后向虚拟机管理器发送所述管理操作对应的指令序列。
4.根据权利要求3所述的虚拟机环境下的审计系统,其特征在于:所述虚拟机管理器响应所述管理操作对应的指令序列,管理运行于其上的虚拟机系统,加载虚拟机客户端的操作系统,并分配给虚拟机所配置的物理计算资源;所述物理计算资源包括内存、CPU、网络和磁盘。
5.根据权利要求4所述的虚拟机环境下的审计系统,其特征在于:所述审计中心接收审计引擎采集的审计事件并进行存档和分析,并向管理人员提供管理后台进行管理。
6.一种用于权利要求1至5任一所述的虚拟机环境下的审计系统的审计引擎,其特征在于:所述审计引擎包括:适配模块、监控分析模块、转发模块、策略模块和事件上传模块;
所述适配模块用于对虚拟化基础架构进行自动识别,并探测虚拟化管理接口类别;
所述监控分析模块用于接收虚拟化管理平台发来的管理操作命令并进行事件分析;
所述转发模块用于模仿被接管的虚拟化管理接口的服务方式和通信协议,将管理操作命令转发给虚拟化管理接口;
所述策略模块用于与审计中心保持通信,接收审计中心下发的审计管理策略并配置到虚拟机服务器上;
所述事件上传模块用于将监控分析模块处理的事件分析结果和事件上传给审计中心。
7.一种虚拟机环境下的审计方法,其特征在于:所述方法包括:
系统管理员在虚拟化管理平台上执行管理操作,虚拟化管理平台调用审计引擎,将所述管理操作对应的命令发送给审计引擎;
审计引擎将收到的管理操作的命令后,对所述管理操作进行事件分析和处理,并将处理结果形成审计事件发送到审计中心;
审计中心对所述管理操作的命令数据进行存档和分析,并向系统管理员提供管理后台进行管理;
审计引擎对所述管理操作进行分析,把事件记录下来传给审计中心实现审计,同时将收到的管理操作的命令转发给虚拟化管理接口;
虚拟化管理接口收到管理操作的命令后向虚拟机管理器发送所述管理操作对应的指令序列;
虚拟机管理器响应所述管理操作对应的指令序列,协调虚拟化物理资源,执行实际的管理动作。
8.根据权利要求7所述的方法,其特征在于:所述审计引擎能够审计的管理操作包括:虚拟机管理、虚拟机监控、服务器管理、网络管理、网络流量过滤管理、虚拟网络管理、设备节点管理、快照管理、存储池管理、存储卷管理、用户管理。
9.根据权利要求8所述的方法,其特征在于:所述审计引擎对虚拟化基础架构进行识别,并探测管理接口类别。
10.根据权利要求9所述的方法,其特征在于:所述探测管理接口类别是这样实现的:
服务扫描:扫描当前虚拟化操作系统已经安装或正在运行的管理接口服务,通过服务标识来进行识别;
进程寻找:扫描已经运行的所有进程,根据进程的特征来寻找是否有向外提供管理的关键进程;
文件定位:扫描协议栈和工具组件所在位置,感知是否存在对应的虚拟化管理接口;
协议识别:以协议的角度探测当前系统向外提供的服务形式和内容,从而区分接口类型和版本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510376012.9A CN104899078B (zh) | 2015-07-01 | 2015-07-01 | 一种用于虚拟机环境下的审计系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510376012.9A CN104899078B (zh) | 2015-07-01 | 2015-07-01 | 一种用于虚拟机环境下的审计系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104899078A true CN104899078A (zh) | 2015-09-09 |
CN104899078B CN104899078B (zh) | 2018-03-06 |
Family
ID=54031756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510376012.9A Active CN104899078B (zh) | 2015-07-01 | 2015-07-01 | 一种用于虚拟机环境下的审计系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104899078B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105681314A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种云环境安全扫描器及方法 |
CN109408196A (zh) * | 2018-09-27 | 2019-03-01 | 中国科学院电子学研究所 | 一种基于Xen的虚拟化管理系统、构建方法及计算机可读存储介质 |
CN110569169A (zh) * | 2019-08-27 | 2019-12-13 | 北京指掌易科技有限公司 | 移动应用的监控方法和装置 |
CN112948102A (zh) * | 2019-11-26 | 2021-06-11 | 中国电信股份有限公司 | 虚拟机事件处理方法、装置和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101764703A (zh) * | 2009-09-16 | 2010-06-30 | 深圳市震有科技有限公司 | 基于虚拟技术的网元管理系统 |
CN101938368A (zh) * | 2009-06-30 | 2011-01-05 | 国际商业机器公司 | 刀片服务器系统中的虚拟机管理器和虚拟机处理方法 |
CN102158535A (zh) * | 2011-02-10 | 2011-08-17 | 浪潮(北京)电子信息产业有限公司 | 一种云计算操作系统 |
US20120030676A1 (en) * | 2007-08-10 | 2012-02-02 | Smith Ned M | Methods And Apparatus For Creating An Isolated Partition For A Virtual Trusted Platform Module |
CN102739771A (zh) * | 2012-04-18 | 2012-10-17 | 上海和辰信息技术有限公司 | 一种支持服务融合的云应用集成管理平台和方法 |
-
2015
- 2015-07-01 CN CN201510376012.9A patent/CN104899078B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120030676A1 (en) * | 2007-08-10 | 2012-02-02 | Smith Ned M | Methods And Apparatus For Creating An Isolated Partition For A Virtual Trusted Platform Module |
CN101938368A (zh) * | 2009-06-30 | 2011-01-05 | 国际商业机器公司 | 刀片服务器系统中的虚拟机管理器和虚拟机处理方法 |
CN101764703A (zh) * | 2009-09-16 | 2010-06-30 | 深圳市震有科技有限公司 | 基于虚拟技术的网元管理系统 |
CN102158535A (zh) * | 2011-02-10 | 2011-08-17 | 浪潮(北京)电子信息产业有限公司 | 一种云计算操作系统 |
CN102739771A (zh) * | 2012-04-18 | 2012-10-17 | 上海和辰信息技术有限公司 | 一种支持服务融合的云应用集成管理平台和方法 |
Non-Patent Citations (1)
Title |
---|
鲍伟民: ""基于云计算的安全审计系统研究与设计"", 《软件产业与工程》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105681314A (zh) * | 2016-01-29 | 2016-06-15 | 博雅网信(北京)科技有限公司 | 一种云环境安全扫描器及方法 |
CN109408196A (zh) * | 2018-09-27 | 2019-03-01 | 中国科学院电子学研究所 | 一种基于Xen的虚拟化管理系统、构建方法及计算机可读存储介质 |
CN110569169A (zh) * | 2019-08-27 | 2019-12-13 | 北京指掌易科技有限公司 | 移动应用的监控方法和装置 |
CN112948102A (zh) * | 2019-11-26 | 2021-06-11 | 中国电信股份有限公司 | 虚拟机事件处理方法、装置和系统 |
CN112948102B (zh) * | 2019-11-26 | 2023-10-13 | 中国电信股份有限公司 | 虚拟机事件处理方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104899078B (zh) | 2018-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9166988B1 (en) | System and method for controlling virtual network including security function | |
CN104022904B (zh) | 分布式机房it设备统一管理平台 | |
CN107689953B (zh) | 一种面向多租户云计算的容器安全监控方法及系统 | |
US10637914B2 (en) | Distributed network services | |
US20230412628A1 (en) | Application layer data protection for containers in a containerization environment | |
US11025514B2 (en) | Automatic health check and performance monitoring for applications and protocols using deep packet inspection in a datacenter | |
AU2011338482B2 (en) | Antimalware protection of virtual machines | |
US20150304343A1 (en) | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment | |
US20180191779A1 (en) | Flexible Deception Architecture | |
US9003389B2 (en) | Generating an encoded package profile based on executing host processes | |
CN102790716A (zh) | 使用物理网络交换机保护虚拟化计算环境的方法和装置 | |
CN102870377A (zh) | 虚拟端口监控方法和设备 | |
CN104899078A (zh) | 一种虚拟机环境下的审计系统与方法 | |
US20110099273A1 (en) | Monitoring apparatus, monitoring method, and a computer-readable recording medium storing a monitoring program | |
CN106919485A (zh) | 一种基于服务器上配置硬件测试工具的系统 | |
CN116305136A (zh) | 用于微服务体系结构的来源审核跟踪 | |
CN116302306A (zh) | 用于微服务体系结构的基于匹配的增强的调试 | |
KR102160119B1 (ko) | 도커 컨테이너 로그 분석 프레임워크 장치 및 이를 이용한 특성 분석 방법 | |
KR101994664B1 (ko) | 클라우드 서비스를 기반으로 제공되는 취약점 진단 시스템 | |
CN105120010B (zh) | 一种云环境下虚拟机防窃取方法 | |
CN103514044A (zh) | 一种动态行为分析系统的资源优化方法、装置和系统 | |
US10530809B1 (en) | Systems and methods for remediating computer stability issues | |
CN104615934B (zh) | Sql注入攻击安全防护方法和系统 | |
CA3183412A1 (en) | Methods and systems for managing computing virtual machine instances | |
CN203911987U (zh) | 一种基于云计算的数据处理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250101 orsus No. 1166 building 15-16 Applicant after: Shandong Zhongfu Information Industry Co., Ltd. Address before: Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250101 No. 1166 orsus No. 2 building, 16 floor Applicant before: Shandong Zhongfu Information Industry Co., Ltd. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |