CN106383735A - 一种实时监测云环境中虚拟机主机安全的系统及方法 - Google Patents

Abstract

一种实时监测云环境中虚拟机主机安全的系统包括云端主控服务器和虚拟机主机客户端；所述云端主控服务器对应多个虚拟机主机客户端；所述云端主控服务器主要负责控制扫描对象扫描时间、结果分析及报告生成，所述虚拟机主机客户端是预置在虚拟机中的一个守护单元，主要负责加载检测引擎、检查主机以及与云端主控服务器进行通信。本发明的有益效果在于：解决了现有技术缺乏检测云环境中虚拟机主机安全性的技术空白，实现了实时监测/检测云环境中虚拟机主机的安全状况，并将安全状况实时反馈给用户，为避免虚拟机出现内网漫游、虚拟机逃逸等安全缺陷提供了有效的防范手段。

Description

一种实时监测云环境中虚拟机主机安全的系统及方法

技术领域

本发明涉及网络信息安全领域，尤其涉及一种实时监测云环境中虚拟机主机安全的系统及方法。

背景技术

云计算安全可以促进云计算创新发展，将有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等很多问题。

在运计算中，虚拟机是非常主要的设备之一，虚拟机的安全直接关系到云环境的安全。另外，虚拟机是云环境中直接对用户开发，当虚拟机出现安全缺陷时，可能会导致内网漫游，虚拟机逃逸等攻击情况。

而现有技术中没有专门针对云环境中虚拟机主机进行安全检查的工具，为适应云计算的快速发展，因此需要一种实时监测云环境中虚拟机主机安全的系统。

发明内容

本发明的目的是针对现有技术的不足，提出了一种实时监测云环境中虚拟机主机安全的系统，该系统能实时主动对云环境中虚拟机主机进行安全性监测，解决了传统技术不能对云环境中虚拟机主机进行主动安全监测的技术缺陷。

本发明所述的一种实时监测云环境中虚拟机主机安全的系统包括云端主控服务器和虚拟机主机客户端；所述云端主控服务器对应多个虚拟机主机客户端；

所述云端主控服务器主要负责控制扫描对象扫描时间、结果分析及报告生成，所述虚拟机主机客户端是预置在虚拟机中的一个守护单元，主要负责加载检测引擎、检查主机以及与云端主控服务器进行通信；其中，

所述云端主控服务器包括任务生成模块、基线配置模块、检查启动模块、检测工具库、结果分析模块及通信模块；其中，

所述任务生成模块主要根据通信模块传递的各个虚拟机主机信息生成相对应的检测任务，且为每个检测任务分配唯一标识；

所述基线配置模块主要检测任务的基线配置，根据不同系统的预定义基线准则，生成含有不同检查用例的用例列表文件；

所述检查启动模块主要为云端主控服务器配置扫描对象并传递给通信模块；

所述检查工具库主要存放不同种类的检查工具，每种检查工具中包含了相应系统中执行检查引擎；

所述结果分析模块主要对通信模块传递检查结果进行分析，并按照不同任务生成相应的检测结果；

所述通信模块主要负责云端主控服务器与不同虚拟机主机客户端之间的数据通信，且通信模块将接收的虚拟机主机客户端传送的数据进行数据类型分析，并根据数据类型将通信模块接收的数据传递给云端主控服务器的其他模块进行数据处理；

所述虚拟机主机客户端包括通信和启动模块、信息收集模块、解析任务模块、加载引擎模块、调用引擎模块、数据收集模块；其中，

所述通信和启动模块主要与云端主控服务器进行数据通信，完成虚拟机主机客户端与云端主控服务器之间的许可认证，同时调用信息收集模块将虚拟机主机基本信息发送给云端主控服务器；另外，当云端主控服务器向虚拟机主机客户端发起安全检查要求时，所述通信和启动模块启动任务解析模块、加载引擎模块、调用引擎模块、数据传输模块；

所述信息收集模块主要用于收集虚拟机主机的系统信息；

所述解析任务模块一方面负责解密云端主控服务器下发任务和用例文件，另一方面负责解析任务和用例文件内容，获取检测项相关的信息；

所述加载引擎模块主要通过TCP/IP通信协议从云端主控服务器加载检测引擎；

所述调用引擎模块主要调用加载引擎模块加载的检测引擎对其所在的虚拟机主机进行安全检查；

所述数据收集模块一方面负责收集检测结果数据，生成固定格式文件，以便云端主控服务器的结果分析模块进行分析；另一方面负责加密检测结果数据。

进一步的，所述检查工具库中的检测工具包括windows检测工具、linux检查工具、Mac检查工具。

进一步的，所述虚拟机主机客户端传送给云端主控服务器通信模块的数据类型包括主机信息、任务及用例信息及检查结果。

进一步的，所述信息收集模块收集虚拟机主机的系统信息包括收集虚拟机主机的系统类型、版本、内核版本、内存大小、硬盘大小、系统安装时间等系统基本信息。

进一步的，解析任务模块获取检测项相关的信息包括主要包括用户权限脆弱性检查、用户认证脆弱性检查、网络配置检查、审计配置检查、违规外联检查、远程登录检查、软件服务检查、web服务检查、数据安全检查、操作系统配置检查等主机安全检查。

进一步的，所述调用引擎模块对其所在虚拟机主机进行安全检查的方法为：调用引擎模块根据解析任务模块解析的任务和用例文件，调用相应任务和用例文件动态库的检测引擎及检测方法进行安全检测，同时将检查结果实时传递给数据收集模块。

一种实时监测云环境中虚拟机主机安全的方法为：

步骤一：检查启动模块通过云端主控服务器的通信模块向虚拟机主机客户端发起检查通知，

步骤二：虚拟机主机客户端的通信和启动模块做出响应，调用信息收集模块收集主机的系统信息并回发给云端主控服务器；云端主控服务器的通信模块根据数据类型将收集的主机系统信息传递给任务生成模块；

步骤三：任务生成模块根据主机系统信息，生成相应的具有唯一标识的检测任务，同时，生成的监测任务被转发给基线配置模块；

步骤四：基线配置模块接收到检测任务后根据任务内容配置预定义的基线准则生成用例列表文件，生成的任务和用例列表文件通过云端主控服务器的通信模块下发到虚拟机主机客户端；

步骤五：虚拟机主机客户端的通信和启动模块接收任务和用例列表文件后，启动解析任务模块、加载引擎模块、调用引擎模块、数据传输模块；

解析任务模块解密云端主控服务器下发任务和用例列表文件及获取任务和用例文件的内容，同时，解析任务模块将获取任务和用例文件的内容传递给调用引擎模块和加载引擎模块；

同时，加载引擎模块根据接收的任务和用例文件内容，向云端主控服务器中的检测工具库请求响应相应的检测工具，同时将请求检测工具中的检测引擎加载至本地；

调用引擎模块根据用例文件中检测项调用规则调用相应引擎，执行检查并将检测结果传递给数据收集模块；

数据收集模块将接收的信息生成固定格式文件并加密，经加密的固定格式文件经通信和启动模块发回云端主控服务器；

步骤六：云端主控服务器的通信模块将检测结果信息传递给结果分析模块；

步骤七：结果分析模块根据基线判定检查结果，并生成报表，同数据通信模块将检查结果发送给虚拟机主机客户端。

本发明的有益效果在于：解决了现有技术缺乏检测云环境中虚拟机主机安全性的技术空白，实现了实时监测/检测云环境中虚拟机主机的安全状况，并将安全状况实时反馈给用户，为避免虚拟机出现内网漫游、虚拟机逃逸等安全缺陷提供了有效的防范手段。

附图说明

图1为一种实时监测云环境中虚拟机主机安全的系统结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是，在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

如图1所示，本发明所述的一种实时监测云环境中虚拟机主机安全的系统包括云端主控服务器和虚拟机主机客户端；所述云端主控服务器对应多个虚拟机主机客户端；

所述云端主控服务器主要负责控制扫描对象扫描时间、结果分析及报告生成，所述虚拟机主机客户端是预置在虚拟机中的一个守护单元，主要负责加载检测引擎、检查主机以及与云端主控服务器进行通信；其中，

所述云端主控服务器包括任务生成模块、基线配置模块、检查启动模块、检测工具库、结果分析模块及通信模块；其中，

所述任务生成模块主要根据通信模块传递的各个虚拟机主机信息生成相对应的检测任务，且为每个检测任务分配唯一标识；

所述基线配置模块主要检测任务的基线配置，根据不同系统的预定义基线准则，生成含有不同检查用例的用例列表文件；

所述检查启动模块主要为云端主控服务器配置扫描对象并传递给通信模块；

所述检查工具库主要存放不同种类的检查工具，每种检查工具中包含了相应系统中执行检查引擎；

所述结果分析模块主要对通信模块传递检查结果进行分析，并按照不同任务生成相应的检测结果；

所述通信模块主要负责云端主控服务器与不同虚拟机主机客户端之间的数据通信，且通信模块将接收的虚拟机主机客户端传送的数据进行数据类型分析，并根据数据类型将通信模块接收的数据传递给云端主控服务器的其他模块进行数据处理；

所述虚拟机主机客户端包括通信和启动模块、信息收集模块、解析任务模块、加载引擎模块、调用引擎模块、数据收集模块；其中，

所述通信和启动模块主要与云端主控服务器进行数据通信，完成虚拟机主机客户端与云端主控服务器之间的许可认证，同时调用信息收集模块将虚拟机主机基本信息发送给云端主控服务器；另外，当云端主控服务器向虚拟机主机客户端发起安全检查要求时，所述通信和启动模块启动任务解析模块、加载引擎模块、调用引擎模块、数据传输模块；

所述信息收集模块主要用于收集虚拟机主机的系统信息；

所述解析任务模块一方面负责解密云端主控服务器下发任务和用例文件，另一方面负责解析任务和用例文件内容，获取检测项相关的信息；

所述加载引擎模块主要通过TCP/IP通信协议从云端主控服务器加载检测引擎；

所述调用引擎模块主要调用加载引擎模块加载的检测引擎对其所在的虚拟机主机进行安全检查；

所述数据收集模块一方面负责收集检测结果数据，生成固定格式文件，以便云端主控服务器的结果分析模块进行分析；另一方面负责加密检测结果数据。

进一步的，所述检查工具库中的检测工具包括windows检测工具、linux检查工具、Mac检查工具。

进一步的，所述虚拟机主机客户端传送给云端主控服务器通信模块的数据类型包括主机信息、任务及用例信息及检查结果。

进一步的，所述信息收集模块收集虚拟机主机的系统信息包括收集虚拟机主机的系统类型、版本、内核版本、内存大小、硬盘大小、系统安装时间等系统基本信息。

进一步的，解析任务模块获取检测项相关的信息包括主要包括用户权限脆弱性检查、用户认证脆弱性检查、网络配置检查、审计配置检查、违规外联检查、远程登录检查、软件服务检查、web服务检查、数据安全检查、操作系统配置检查等主机安全检查。

进一步的，所述调用引擎模块对其所在虚拟机主机进行安全检查的方法为：调用引擎模块根据解析任务模块解析的任务和用例文件，调用相应任务和用例文件动态库的检测引擎及检测方法进行安全检测，同时将检查结果实时传递给数据收集模块。

一种实时监测云环境中虚拟机主机安全的方法为：

步骤一：检查启动模块通过云端主控服务器的通信模块向虚拟机主机客户端发起检查通知，

步骤二：虚拟机主机客户端的通信和启动模块做出响应，调用信息收集模块收集主机的系统信息并回发给云端主控服务器；云端主控服务器的通信模块根据数据类型将收集的主机系统信息传递给任务生成模块；

步骤三：任务生成模块根据主机系统信息，生成相应的具有唯一标识的检测任务，同时，生成的监测任务被转发给基线配置模块；

步骤四：基线配置模块接收到检测任务后根据任务内容配置预定义的基线准则生成用例列表文件，生成的任务和用例列表文件通过云端主控服务器的通信模块下发到虚拟机主机客户端；

步骤五：虚拟机主机客户端的通信和启动模块接收任务和用例列表文件后，启动解析任务模块、加载引擎模块、调用引擎模块、数据传输模块；

解析任务模块解密云端主控服务器下发任务和用例列表文件及获取任务和用例文件的内容，同时，解析任务模块将获取任务和用例文件的内容传递给调用引擎模块和加载引擎模块；

同时，加载引擎模块根据接收的任务和用例文件内容，向云端主控服务器中的检测工具库请求响应相应的检测工具，同时将请求检测工具中的检测引擎加载至本地；

调用引擎模块根据用例文件中检测项调用规则调用相应引擎，执行检查并将检测结果传递给数据收集模块；

数据收集模块将接收的信息生成固定格式文件并加密，经加密的固定格式文件经通信和启动模块发回云端主控服务器；

步骤六：云端主控服务器的通信模块将检测结果信息传递给结果分析模块；

步骤七：结果分析模块根据基线判定检查结果，并生成报表，同数据通信模块将检查结果发送给虚拟机主机客户端。

本领域普通技术人员可以理解上述系统/方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。

以上所述，仅为本发明的较佳实例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种实时监测云环境中虚拟机主机安全的系统，其特征在于：所述实时监测云环境中虚拟机主机安全的系统包括云端主控服务器和虚拟机主机客户端；所述云端主控服务器对应多个虚拟机主机客户端；

所述云端主控服务器主要负责控制扫描对象扫描时间、结果分析及报告生成，所述虚拟机主机客户端是预置在虚拟机中的一个守护单元，主要负责加载检测引擎、检查主机以及与云端主控服务器进行通信；其中，

所述云端主控服务器包括任务生成模块、基线配置模块、检查启动模块、检测工具库、结果分析模块及通信模块；其中，

所述任务生成模块主要根据通信模块传递的各个虚拟机主机信息生成相对应的检测任务，且为每个检测任务分配唯一标识；

所述基线配置模块主要检测任务的基线配置，根据不同系统的预定义基线准则，生成含有不同检查用例的用例列表文件；

所述检查启动模块主要为云端主控服务器配置扫描对象并传递给通信模块；

所述检查工具库主要存放不同种类的检查工具，每种检查工具中包含了相应系统中执行检查引擎；

所述结果分析模块主要对通信模块传递检查结果进行分析，并按照不同任务生成相应的检测结果；

所述通信模块主要负责云端主控服务器与不同虚拟机主机客户端之间的数据通信，且通信模块将接收的虚拟机主机客户端传送的数据进行数据类型分析，并根据数据类型将通信模块接收的数据传递给云端主控服务器的其他模块进行数据处理；

所述虚拟机主机客户端包括通信和启动模块、信息收集模块、解析任务模块、加载引擎模块、调用引擎模块、数据收集模块；其中，

所述通信和启动模块主要与云端主控服务器进行数据通信，完成虚拟机主机客户端与云端主控服务器之间的许可认证，同时调用信息收集模块将虚拟机主机基本信息发送给云端主控服务器；另外，当云端主控服务器向虚拟机主机客户端发起安全检查要求时，所述通信和启动模块启动任务解析模块、加载引擎模块、调用引擎模块、数据传输模块；

所述信息收集模块主要用于收集虚拟机主机的系统信息；

所述解析任务模块一方面负责解密云端主控服务器下发任务和用例文件，另一方面负责解析任务和用例文件内容，获取检测项相关的信息；

所述加载引擎模块主要通过TCP/IP通信协议从云端主控服务器加载检测引擎；

所述调用引擎模块主要调用加载引擎模块加载的检测引擎对其所在的虚拟机主机进行安全检查；

所述数据收集模块一方面负责收集检测结果数据，生成固定格式文件，以便云端主控服务器的结果分析模块进行分析；另一方面负责加密检测结果数据。

2.如权利要求1所述的一种实时监测云环境中虚拟机主机安全的系统，其特征在于：所述检查工具库中的检测工具包括windows检测工具、linux检查工具、Mac检查工具。

3.如权利要求1所述的一种实时监测云环境中虚拟机主机安全的系统，其特征在于：所述虚拟机主机客户端传送给云端主控服务器通信模块的数据类型包括主机信息、任务及用例信息及检查结果。

4.如权利要求1所述的一种实时监测云环境中虚拟机主机安全的系统，其特征在于：所述信息收集模块收集虚拟机主机的系统信息包括收集虚拟机主机的系统类型、版本、内核版本、内存大小、硬盘大小、系统安装时间等系统基本信息。

5.如权利要求1所述的一种实时监测云环境中虚拟机主机安全的系统，其特征在于：解析任务模块获取检测项相关的信息包括主要包括用户权限脆弱性检查、用户认证脆弱性检查、网络配置检查、审计配置检查、违规外联检查、远程登录检查、软件服务检查、web服务检查、数据安全检查、操作系统配置检查等主机安全检查。

6.如权利要求1所述的一种实时监测云环境中虚拟机主机安全的系统，其特征在于：所述调用引擎模块对其所在虚拟机主机进行安全检查的方法为：调用引擎模块根据解析任务模块解析的任务和用例文件，调用相应任务和用例文件动态库的检测引擎及检测方法进行安全检测，同时将检查结果实时传递给数据收集模块。

7.一种实时监测云环境中虚拟机主机安全的方法，其特征在于：

步骤一：检查启动模块通过云端主控服务器的通信模块向虚拟机主机客户端发起检查通知，

步骤二：虚拟机主机客户端的通信和启动模块做出响应，调用信息收集模块收集主机的系统信息并回发给云端主控服务器；云端主控服务器的通信模块根据数据类型将收集的主机系统信息传递给任务生成模块；

步骤三：任务生成模块根据主机系统信息，生成相应的具有唯一标识的检测任务，同时，生成的监测任务被转发给基线配置模块；

步骤四：基线配置模块接收到检测任务后根据任务内容配置预定义的基线准则生成用例列表文件，生成的任务和用例列表文件通过云端主控服务器的通信模块下发到虚拟机主机客户端；

步骤五：虚拟机主机客户端的通信和启动模块接收任务和用例列表文件后，启动解析任务模块、加载引擎模块、调用引擎模块、数据传输模块；

解析任务模块解密云端主控服务器下发任务和用例列表文件及获取任务和用例文件的内容，同时，解析任务模块将获取任务和用例文件的内容传递给调用引擎模块和加载引擎模块；

同时，加载引擎模块根据接收的任务和用例文件内容，向云端主控服务器中的检测工具库请求响应相应的检测工具，同时将请求检测工具中的检测引擎加载至本地；

调用引擎模块根据用例文件中检测项调用规则调用相应引擎，执行检查并将检测结果传递给数据收集模块；

数据收集模块将接收的信息生成固定格式文件并加密，经加密的固定格式文件经通信和启动模块发回云端主控服务器；

步骤六：云端主控服务器的通信模块将检测结果信息传递给结果分析模块；

步骤七：结果分析模块根据基线判定检查结果，并生成报表，同数据通信模块将检查结果发送给虚拟机主机客户端。