CN105975328B - 基于安全虚拟机的日志文件安全审计系统及方法 - Google Patents
基于安全虚拟机的日志文件安全审计系统及方法 Download PDFInfo
- Publication number
- CN105975328B CN105975328B CN201610282023.5A CN201610282023A CN105975328B CN 105975328 B CN105975328 B CN 105975328B CN 201610282023 A CN201610282023 A CN 201610282023A CN 105975328 B CN105975328 B CN 105975328B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- journal file
- file
- request
- guest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种基于安全虚拟机的日志文件安全审计系统及方法,包括专业虚拟机,所述专业虚拟机内设置有虚拟机监控器和存储备份模块,所述虚拟机监控器,用于拦截所有客户虚拟机的I/O请求,判断是否是针对日志文件的修改或者删除操作,若否,则允许执行I/O请求;若是,则发出警告,并开启备份模块;所述备份模块,用于还原客户虚拟机中被修改或者删除的日志文件,并保存在专业虚拟机中。本发明相对现有虚拟机安全审计系统,能够在不修改客户虚拟机,不在客户虚拟机内部安装任何安全模块的情况下,为客户虚拟机提供可靠的审计服务,保证客户虚拟机的安全,进而促进虚拟机和云计算的广泛使用,带来可观的社会效益和经济效益。
Description
技术领域
本发明涉及系统虚拟化技术领域,具体地,涉及一种基于安全虚拟机的日志文件安全审计系统及方法。
背景技术
云计算和虚拟化为用户提供了更简单、更廉价的部署设备和应用的方式,受到了大量用户的信赖。云提供商为了节约成本,在同一台物理机部署了大量虚拟机,不同的用户可以访问同一台物理机。在这种情况下,云平台的安全和数据隐私显得十分重要。
工业界一直在寻求保护云平台安全的方法和策略。一种方法是安全监控,即由云提供商代替客户虚拟机提供安全防护措施,采用此方法的典型有VMware的VMsafe,McAfee的MOVE,和TrendMicro的Deep Security。目前还有很多关于VMI(虚拟机自省)的研究,来检测和防止对虚拟机的攻击。然而,当今的安全服务面临着三大问题:1)大部分安全服务要求客户虚拟机安装相应的安全模块。所以,用户需要帮忙更新和维护相应的安全模块。期间,该模块可能会被病毒或者恶意软件攻击,或者用户错误的配置可能导致该模块无法正常工作。2)有些服务严重依赖于客户操作系统的功能和语义,一旦客户操作系统升级,该服务就无法工作。3)一些安全服务会严重影响客户操作系统的性能。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于安全虚拟机的日志文件安全审计系统及方法。
根据本发明提供的基于安全虚拟机的日志文件安全审计系统,包括专业虚拟机,所述专业虚拟机内设置有虚拟机监控器和存储备份模块,其中:
所述虚拟机监控器,用于拦截所有客户虚拟机的I/O请求,判断是否是针对日志文件的修改或者删除操作,若否,则允许执行I/O请求;若是,则发出警告,并开启存储备份模块;
所述存储备份模块,用于还原客户虚拟机中被修改或者删除的日志文件,并保存在专业虚拟机中。
优选地,所述虚拟机监控器通过反向获取文件系统操作语义的方式,截取对日志文件的写操作,并通过存储备份模块还原出修改、删除前的日志文件,保存在专业虚拟机内部。
根据本发明提供的基于安全虚拟机的日志文件安全审计方法,包括如下步骤:
监控步骤:拦截所有客户虚拟机的I/O请求,判断是否是针对日志文件的修改或者删除操作,若否,则允许执行I/O请求;若是,则发出警告,并执行备份步骤;
备份步骤:还原客户虚拟机中被修改或者删除的日志文件,并保存在专业虚拟机中。
优选地,所述监控步骤包括:
步骤A1:拦截客户虚拟机I/O请求;
步骤A2:获取虚拟机I/O请求的地址、大小以及内容信息,将所述信息发送给语义分析引擎,通过语义分析引擎根据文件系统语义获得与虚拟机I/O请求对应的文件操作,并判断是否是针对日志文件的修改或者删除操作;若否,则允许执行I/O请求;若是,则发出警告。
优选地,所述备份步骤包括:
步骤B1:识别客户虚拟机内部使用的文件系统,并根据文件系统语义,获取当前文件系统包含的所有文件及对应的元数据信息;
步骤B2:当出现针对日志文件的修改或者删除操作时,根据元数据信息还原出日志文件;将还原出的日志文件备份在专业虚拟机中。
与现有技术相比,本发明具有如下的有益效果:
1、本发明相对现有虚拟机安全审计系统,能够在不修改客户虚拟机,不在客户虚拟机内部安装任何安全模块的情况下,为客户虚拟机提供可靠的审计服务,即不需要依赖客户虚拟机中的安全模块,在保障云平台的安全和数据隐私的同时,避免用户在客户虚拟机中对安全模块的维护,更好地保证客户虚拟机的安全,进而促进虚拟机和云计算的广泛使用,带来可观的社会效益和经济效益。
2、本发明通过反向获取文件系统操作语义的方式,截取对日志文件的写操作,从而在专业虚拟机中构造出日志文件的备份,能够更好保护日志数据安全;当发现对日志文件的修改操作时给出警告,从而保护日志文件不被恶意修改。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明提供的基于安全虚拟机的日志文件安全审计系统架构图。
图2为本发明提供的基于安全虚拟机的日志文件安全审计方法流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
根据本发明提供的基于安全虚拟机的日志文件安全审计系统及方法,主要利用专业虚拟机,对客户虚拟机内部的日志文件进行保护,通过反向获取文件系统操作语义的方式,截取对日志文件的写操作,从而在专业虚拟机中构造出日志文件的备份。
具体地,包括两个功能:
1、当发现对日志文件的修改操作时给出警告,从而保护日志文件不被恶意修改
当发现对日志文件的修改操作时给出警告,从而保护日志文件不被恶意修改的方法,避免了用户在客户虚拟机内安装安全模块,消除了用户维护客户虚拟机内安全模块的麻烦。同时,由于无需在每个客户虚拟机中安装安全模块,该方法降低了总的系统负担(如,节省磁盘和内存空间)。
当发现对日志文件的修改操作时给出警告,从而保护日志文件不被恶意修改的方法包含三个基本流程:(1)拦截虚拟机I/O请求;(2)分析虚拟机I/O请求,判断是否日志文件操作;(3)对于日志文件删除或者修改内容操作,给出警告。
本发明在虚拟机监控器模拟I/O设备层拦截虚拟机I/O请求,获取虚拟机I/O请求的地址、大小和内容信息。该信息发送给语义分析引擎。语义分析引擎根据文件系统语义,获得I/O请求对应的文件操作,判断是否是日志文件的删除和修改内容操作,对于日志文件的删除和修改内容操作,给出相应警报。
2、专业虚拟机的日志文件作为备份,保护日志数据本身
在虚拟机监控器层中拦截的I/O请求都是块粒度的,仅包含I/O请求的地址,大小和内容,而专业虚拟机需要备份日志文件。因此,本发明提出虚拟化I/O逆向语义推导方法,将块粒度的I/O请求逆向成文件操作,并还原出对应的虚拟机内部文件。
专业虚拟机的日志文件作为备份,保护日志数据本身包含四个基本流程:(1)初始化工作。初始化过程中,该方法会识别虚拟机内部使用的文件系统,并根据文件系统语义,获取当前文件系统包含的所有文件及其对应的元数据信息;(2)接受虚拟化I/O请求,并分析处理。根据初始化过程中收集的信息,判断是否针对日志文件的I/O;(3)对于合理的日志修改操作,根据元数据信息还原出日志文件;(4)将还原出的日志文件备份在专业虚拟机中。
综上所述,本发明可以利用专业虚拟机,对客户虚拟机内部的日志文件进行保护,并通过反向获取文件系统操作语义的方式,截取对日志文件的写操作,从而在专业虚拟机中构造出日志文件的备份。该方法对客户虚拟机透明,避免了在客户虚拟机内部安装和维护安全模块。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (4)
1.一种基于安全虚拟机的日志文件安全审计系统,其特征在于,包括专业虚拟机,所述专业虚拟机内设置有虚拟机监控器和存储备份模块,其中:
所述虚拟机监控器,用于拦截所有客户虚拟机的I/O请求,判断是否是针对日志文件的修改或者删除操作,若否,则允许执行I/O请求;若是,则发出警告,并开启存储备份模块;
所述存储备份模块,用于还原客户虚拟机中被修改或者删除的日志文件,并保存在专业虚拟机中;
所述虚拟机监控器通过反向获取文件系统操作语义的方式,截取对日志文件的写操作,并通过存储备份模块还原出修改、删除前的日志文件,保存在专业虚拟机内部。
2.一种基于安全虚拟机的日志文件安全审计方法,其特征在于,包括如下步骤:
监控步骤:拦截所有客户虚拟机的I/O请求,判断是否是针对日志文件的修改或者删除操作,若否,则允许执行I/O请求;若是,则发出警告,并执行备份步骤;
备份步骤:还原客户虚拟机中被修改或者删除的日志文件,并保存在专业虚拟机中;
所述监控步骤通过反向获取文件系统操作语义的方式,截取对日志文件的写操作,并通过备份步骤还原出修改、删除前的日志文件,保存在专业虚拟机内部。
3.根据权利要求2所述的基于安全虚拟机的日志文件安全审计方法,其特征在于,所述监控步骤包括:
步骤A1:拦截客户虚拟机I/O请求;
步骤A2:获取虚拟机I/O请求的地址、大小以及内容信息,将所述信息发送给语义分析引擎,通过语义分析引擎根据文件系统语义获得与虚拟机I/O请求对应的文件操作,并判断是否是针对日志文件的修改或者删除操作;若否,则允许执行I/O请求;若是,则发出警告。
4.根据权利要求2所述的基于安全虚拟机的日志文件安全审计方法,其特征在于,所述备份步骤包括:
步骤B1:识别客户虚拟机内部使用的文件系统,并根据文件系统语义,获取当前文件系统包含的所有文件及对应的元数据信息;
步骤B2:当出现针对日志文件的修改或者删除操作时,根据元数据信息还原出日志文件;将还原出的日志文件备份在专业虚拟机中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610282023.5A CN105975328B (zh) | 2016-04-29 | 2016-04-29 | 基于安全虚拟机的日志文件安全审计系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610282023.5A CN105975328B (zh) | 2016-04-29 | 2016-04-29 | 基于安全虚拟机的日志文件安全审计系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105975328A CN105975328A (zh) | 2016-09-28 |
| CN105975328B true CN105975328B (zh) | 2019-10-08 |
Family
ID=56993528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610282023.5A Active CN105975328B (zh) | 2016-04-29 | 2016-04-29 | 基于安全虚拟机的日志文件安全审计系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105975328B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106778274A (zh) * | 2016-12-29 | 2017-05-31 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
| CN106778275A (zh) * | 2016-12-29 | 2017-05-31 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统和物理主机 |
| CN106844005B (zh) * | 2016-12-29 | 2020-04-14 | 北京瑞星网安技术股份有限公司 | 基于虚拟化环境下的数据恢复方法及系统 |
| CN106845214A (zh) * | 2016-12-29 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
| CN106970823B (zh) * | 2017-02-24 | 2021-02-12 | 上海交通大学 | 高效的基于嵌套虚拟化的虚拟机安全保护方法及系统 |
| CN108322306B (zh) * | 2018-03-17 | 2020-11-27 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
| CN109271785A (zh) * | 2018-10-11 | 2019-01-25 | 郑州云海信息技术有限公司 | 一种虚拟机文件的监控方法和装置 |
| CN110866245B (zh) * | 2019-11-13 | 2023-11-07 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
| CN113919799B (zh) * | 2021-09-09 | 2022-04-22 | 广州鲁邦通智能科技有限公司 | 一种云管理平台审计控制器集群数据的方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102511034A (zh) * | 2009-09-24 | 2012-06-20 | 甲骨文国际公司 | 虚拟机监视器虚拟执行环境中基于使用情况的应用许可的系统和方法 |
| CN102546780A (zh) * | 2011-12-28 | 2012-07-04 | 山东大学 | 一种基于瘦客户端的文件分布式存储的运行方法 |
| CN103744765A (zh) * | 2013-10-25 | 2014-04-23 | 中国科学院计算技术研究所 | 一种虚拟化环境下的磁盘访问请求监控系统及其方法 |
| CN103984536A (zh) * | 2014-02-14 | 2014-08-13 | 中国科学院计算技术研究所 | 一种云计算平台中的 i/o 请求计数系统及其方法 |
| CN105184147A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
-
2016
- 2016-04-29 CN CN201610282023.5A patent/CN105975328B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102511034A (zh) * | 2009-09-24 | 2012-06-20 | 甲骨文国际公司 | 虚拟机监视器虚拟执行环境中基于使用情况的应用许可的系统和方法 |
| CN102546780A (zh) * | 2011-12-28 | 2012-07-04 | 山东大学 | 一种基于瘦客户端的文件分布式存储的运行方法 |
| CN103744765A (zh) * | 2013-10-25 | 2014-04-23 | 中国科学院计算技术研究所 | 一种虚拟化环境下的磁盘访问请求监控系统及其方法 |
| CN103984536A (zh) * | 2014-02-14 | 2014-08-13 | 中国科学院计算技术研究所 | 一种云计算平台中的 i/o 请求计数系统及其方法 |
| CN105184147A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105975328A (zh) | 2016-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105975328B (zh) | 基于安全虚拟机的日志文件安全审计系统及方法 | |
| Bailleu et al. | {SPEICHER}: Securing {LSM-based}{Key-Value} Stores using Shielded Execution | |
| US9069955B2 (en) | File system level data protection during potential security breach | |
| Bauman et al. | A survey on hypervisor-based monitoring: approaches, applications, and evolutions | |
| Hofmann et al. | Inktag: Secure applications on an untrusted operating system | |
| US9069992B1 (en) | System and method for reducing data loss prevention scans | |
| Krishnan et al. | Trail of bytes: efficient support for forensic analysis | |
| US8856473B2 (en) | Computer system protection based on virtualization | |
| CN101599022B (zh) | 用于虚拟机系统的可信计算基裁剪方法 | |
| Qi et al. | ForenVisor: A tool for acquiring and preserving reliable data in cloud live forensics | |
| US20140372717A1 (en) | Fast and Secure Virtual Machine Memory Checkpointing | |
| CN112269547B (zh) | 无需操作系统的、主动、可控硬盘数据删除方法及装置 | |
| CN103310152B (zh) | 基于系统虚拟化技术的内核态Rootkit检测方法 | |
| CN102147843A (zh) | 一种基于内核不变量保护的rootkit入侵检测和系统恢复方法 | |
| Zhao et al. | Towards protecting sensitive files in a compromised system | |
| CN110647744A (zh) | 使用特定于对象的文件系统视图识别和提取关键危害取证指标 | |
| Butler et al. | Rootkit-resistant disks | |
| CN110188574A (zh) | 一种Docker容器的网页防篡改系统及其方法 | |
| Ahn et al. | DiskShield: a data tamper-resistant storage for Intel SGX | |
| Wang et al. | Hypervisor-based protection of sensitive files in a compromised system | |
| Zhan et al. | A high-performance virtual machine filesystem monitor in cloud-assisted cognitive IoT | |
| Kaczmarek et al. | Operating system security by integrity checking and recovery using write‐protected storage | |
| Chakraborti et al. | Dm-x: protecting volume-level integrity for cloud volumes and local block devices | |
| Mankin et al. | Dione: a flexible disk monitoring and analysis framework | |
| Sundararaman et al. | Selective versioning in a secure disk system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |