CN107196803A - 异构云主机的动态生成与维护方法 - Google Patents
异构云主机的动态生成与维护方法 Download PDFInfo
- Publication number
- CN107196803A CN107196803A CN201710401151.1A CN201710401151A CN107196803A CN 107196803 A CN107196803 A CN 107196803A CN 201710401151 A CN201710401151 A CN 201710401151A CN 107196803 A CN107196803 A CN 107196803A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- software
- diversified
- cleaning
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及网络空间安全技术领域,特别是涉及一种异构云主机的动态生成与维护方法,包括:1)异构的云主机节点,其异构性体现在多样化的物理设施、虚拟机和软件;2)镜像库管理机制,包括创建多样化的虚拟机和软件镜像;3)异构虚拟机和软件动态部署,在虚拟机或软件实例化时,根据物理节点和应用的属性,生成不同版本的虚拟机或软件并部署到物理节点上;4)虚拟机动态迁移机制,开发运维单元对当前的虚拟机及其运行环境进行安全态势评估,依据策略对虚拟机进行主动迁移;5)虚拟机和软件动态清洗机制,依据安全态势或者定期地对在线的虚拟机清洗。该方法提高云数据中心抗攻击能力,满足用户及提供商对于云服务和基础设施更高的安全需求。
Description
技术领域
本发明涉及网络空间安全技术领域,特别是涉及一种异构云主机的动态生成与维护方法。
背景技术
云计算是以虚拟化技术为基础,以网络为载体提供基础架构、平台、软件等服务为形式,整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作的超级计算模式。在云计算模式中,用户不再需要硬件购买和软件部署,只需要支付相应的费用,通过网络就可以方便地获取所需要的计算和存储资源。《福布斯》最新的一份报告显示,预计2020年,全球云计算市场规模将达到3900亿美元。在《财富》全球50强企业中,有48家公司与云计算相关。云计算这一新的模式将会给传统的IT产业带来一场巨大的变革。
但是近年来,云服务提供商频频出现各种不安全的事件,由此云安全成为了人们广泛关注的焦点。云计算依托虚拟化技术,构建了多租户共存的运营模式,在带来利润的同时,也无形中增大了云平台的攻击面,攻击者可以合法的租用虚拟机并以其作为跳板,对整个云系统实施攻击,比如攻击者可以利用虚拟平台漏洞获取宿主机权限,进而窃取或纂改其它租户数据、信息等。
云计算由于其大规模、分布式的系统架构,使得传统安全手段,如漏洞扫描,病毒查杀,入侵检测等技术难以发挥功效。因此云安全问题有待新的技术手段来实现。
发明内容
针对现有技术中存在的缺陷,本发明提供一种异构云主机的动态生成与维护方法,该方法改善同质化云数据中心,提高云数据中心抗攻击能力,满足用户及提供商对于云服务和基础设施更高的安全需求。
为了实现上述目的,本发明采用以下的技术方案:
本发明提供一种异构云主机的动态生成与维护方法,包括以下步骤:
步骤1,异构的云主机节点:
对云数据中心进行结构重构和功能重组,其云数据中心包括三层结构,分别是多样化的物理设施、多样化的虚拟机和多样化的软件;
步骤2,镜像库的管理:
针对同一功能软件,采用软件多样化技术构建功能相同但实现方式不同的软件镜像库,多样化的虚拟机镜像库由不同类型和版本的操作系统镜像构成;此外,对库中的软件镜像和操作系统镜像动态的进行漏洞修复和版本升级;
步骤3,异构虚拟机和异构软件的动态部署:
在虚拟机实例化时,根据用户和业务的安全需求,以及目标物理节点的属性,从多样化的虚拟机镜像库或者软件镜像库中选取虚拟机镜像或者软件镜像进行实例化,并依据策略将实例化的虚拟机或者软件部署到目标物理节点上;
步骤4,虚拟机动态迁移:
对于正在运行的虚拟机,实时对其运行的物理节点宿主机和虚拟机本身进行安全检测和评估,若物理节点或者虚拟机的安全态势与用户安全需求不吻合时,则将虚拟机依据策略迁移至其它的物理节点上;
步骤5,虚拟机和软件动态清洗:
当检测到虚拟机或者软件异常时,根据异常的类型采用不同层级的方法对虚拟机或者软件进行清洗,即采用对象级清洗、进程级清洗、软件级清洗或者系统级清洗。
进一步地,所述步骤1中,所述多样化的物理设施采用不同架构的服务器构建,所述多样化的虚拟机是采用系统多样化设计技术和系统多样化编译技术生成,所述多样化的软件是采用多样化软件设计技术和多样化软件编译技术生成。
进一步地,所述步骤2的具体实现过程为:
步骤201,采用系统多样化设计技术和系统多样化编译技术生成多样化的虚拟机镜像,并通过开发运维一体化平台导入到虚拟机镜像库;
步骤202,采用多样化软件设计技术和多样化软件编译技术生成多种功能相同、实现相异的软件镜像,通过开发运维一体化平台导入到软件镜像库;
步骤203,当发现镜像库中的系统或者软件存在安全缺陷时,对镜像进行漏洞修复;
步骤204,当新的系统或者软件版本发布时或者生成新的软件漏洞版本时,对镜像库中的镜像进行版本更新。
进一步地,所述步骤3中异构虚拟机的动态部署方法为:
步骤301a,开发运维一体化平台对虚拟机镜像和目标物理机的安全性进行评估,根据评估结果为每个虚拟机镜像和目标物理机赋予一定的安全性指数;
步骤302a,虚拟机动态部署与迁移模块根据用户需求、虚拟机镜像和目标物理机的安全性指数为用户进行最优化设计,选择最佳的虚拟机部署方案;
步骤303a,依据步骤302a的虚拟机部署方案从镜像库中选出符合条件的虚拟机镜像,实例化后部署到步骤302a选择的物理节点上。
进一步地,所述步骤3中异构软件的动态部署方法为:
步骤301b,开发运维一体化平台对软件镜像的安全性进行评估,根据评估结果为每个软件版本赋予一定的安全性指数;
步骤302b,软件动态部署模块根据用户需求、虚拟机镜像、目标物理机和软件镜像的安全性指数为用户进行最优化设计,选出最佳的软件部署方案;
步骤303b,依据步骤302b的软件部署方案从镜像库中选出符合条件的软件镜像,实例化后部署到步骤302b选择的物理节点上。
进一步地,所述步骤4的具体实现过程为:
步骤401,部署在虚拟机宿主机上的威胁信息收集模块实时将系统运行状态和安全状态信息发送给运维一体化平台上的安全态势感知模块;
步骤402,安全态势感知模块实时收集各威胁信息收集模块上报的运行状态和安全状态信息,利用预先训练好的模型对虚拟机宿主机或虚拟机本身进行安全态势评估,当检测到威胁或异常时,触发迁移或者轮换策略;
步骤403,在迁移时,虚拟机动态部署与迁移模块根据用户的安全需求、运行的物理宿主机的安全态势规划出最佳的迁移方案,将需要迁移的虚拟机迁到目标物理机上,并执行清洗和恢复工作;
步骤404,在轮换时,虚拟机动态部署与迁移模块从镜像库中选择出满足安全需求的虚拟机镜像替换目标虚拟机镜像,进行实例化后,将虚拟机部署到满足需求的物理节点上;
进一步地,所述步骤5的具体实现过程为:
步骤501,安全态势感知模块实时收集各威胁信息收集模块上报的运行状态和安全状态信息,当检测到威胁或者异常时,执行清洗;
步骤502,检测到的异常或者威胁类型按照范围划分为四个层面,分别为对象级、进程级、软件级和系统级,根据异常或者威胁类型,选择对应的清洗策略;
步骤503,运维一体化平台中的清洗控制单元向目标对象清洗代理发送清洗命令;
步骤504,清洗代理根据清洗命令类型,执行清洗,并上报清洗结果。
与现有技术相比,本发明具有以下优点:
本发明异构云主机的动态生成与维护方法改善同质化云数据中心,提高云数据中心抗攻击能力,满足用户及提供商对于云服务和基础设施更高的安全需求。
附图说明
图1是本发明实施例的一种异构云主机的动态生成与维护方法的流程图;
图2是本发明实施例一种异构云主机节点示意图;
图3是本发明实施例一种镜像库的管理流程图;
图4是本发明实施例一种异构虚拟机的动态部署流程图;
图5是本发明实施例一种异构软件的动态部署流程图;
图6是本发明实施例一种虚拟机动态迁移流程图;
图7是本发明实施例一种虚拟机和软件动态清洗流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
实施例一,参见图1,一种异构云主机的动态生成与维护方法,包括以下步骤:
步骤1,异构的云主机节点:
参见图2,对云数据中心进行结构重构和功能重组,结构重构和功能重组后的云数据中心包括三层结构,分别是多样化的物理设施、多样化的虚拟机和多样化的软件;
第一层是多样化的物理设施,物理设施是云数据中心的基础,本发明的物理设施主要包括云主机采用的处理器(CPU)、存储等,本方法采用不同CPU架构的服务器(如x86服务器、ARM服务器和MIPS服务器等)构建物理设施,实现物理硬件的多样化,降低同质物理设施带来的安全风险。
第二层是多样化的虚拟机,虚拟机是云数据中心的基本计算单元,即虚拟层利用不同的虚拟化工具(如KVM、XEN和LXC等),同时,虚拟机基于不同的操作系统版本生成(如Windows操作系统、Linux操作系统以及BSD操作系统等),增强虚拟机的异构型,降低漏洞和后门的可利用度。
第三层是多样化的软件,采用多样化软件设计技术和多样化软件编译技术等实现功能相同、实现相异的软件,比如采用不同语言、不同算法实现同一功能软件,增强软件层面的多样化,遏制共性漏洞和后门引入的安全威胁。
步骤2,镜像库的管理:
针对同一功能软件,采用软件多样化技术构建功能相同但实现方式不同(如语言、算法)的软件镜像库,多样化的虚拟机镜像库由不同类型和版本的操作系统镜像构成;此外,对库中的软件镜像和操作系统镜像动态的进行漏洞修复和版本升级;
步骤3,异构虚拟机和异构软件的动态部署:
在虚拟机实例化时,根据用户和业务的安全需求,以及目标物理节点的属性,从多样化的虚拟机镜像库或者软件镜像库中选取虚拟机镜像或者软件镜像进行实例化,并依据策略将实例化的虚拟机或者软件部署到目标物理节点上;
另外,对于正在运行的虚拟机,实时对其运行状态和安全状态进行监测和评估,根据评估结果对虚拟机进行在线一致性轮换。
步骤4,虚拟机动态迁移:
对于正在运行的虚拟机,实时对其运行的物理节点宿主机和虚拟机本身进行安全检测和评估,若物理节点或者虚拟机的安全态势与用户安全需求不吻合时,则将虚拟机依据策略迁移至其它的物理节点上;此外,为了防止侧信道攻击,定期对所有在线虚拟机进行迁移;
步骤5,虚拟机和软件动态清洗:
当检测到虚拟机或者软件异常时,根据异常的类型采用不同层级的方法对虚拟机或者软件进行清洗,即采用对象级清洗、进程级清洗、软件级清洗或者系统级清洗。此外,该机制还可以设置固定周期的清洗模式。
参见图3,本实施例公开了一种镜像库的管理方法,该方法具体流程为:
步骤201,采用系统多样化设计技术和系统多样化编译技术生成多样化的虚拟机镜像,并通过开发运维一体化平台导入到虚拟机镜像库;
步骤202,采用多样化软件设计技术和多样化软件编译技术生成多种功能相同、实现相异(如不同团队采用不同语言、不同算法、不同编译工具)的软件镜像,通过开发运维一体化平台导入到软件镜像库;
步骤203,当发现镜像库中的系统或者软件存在漏洞、后门等安全缺陷时(如发布了新系统或者软件漏洞),对镜像进行漏洞修复;
步骤204,当新的系统或者软件版本发布时或者生成新的软件漏洞版本时,对镜像库中的镜像进行版本更新。
参见图4,本实施例公开了一种异构虚拟机的动态部署方法,该方法具体流程为:
步骤301a,开发运维一体化平台依据先验知识(如操作系统类型、历史暴露漏洞数等)对虚拟机镜像和目标物理机的安全性进行评估,根据评估结果为每个虚拟机镜像和目标物理机赋予一定的安全性指数;
步骤302a,虚拟机动态部署与迁移模块根据用户需求、虚拟机镜像和目标物理机的安全性指数为用户进行最优化设计,选择最佳的虚拟机部署方案(如最大安全性、最优安全投入收益比等策略);
步骤303a,依据步骤302a的虚拟机部署方案从镜像库中选出符合条件的虚拟机镜像,实例化后部署到步骤302a选择的物理节点上。
参见图5,本实施例公开了一种异构软件的动态部署方法,该方法具体流程为:
步骤301b,开发运维一体化平台依据先验知识(如软件采用的语言、编译技术以及历史暴露漏洞数等)对软件镜像的安全性进行评估,根据评估结果为每个软件版本赋予一定的安全性指数;
步骤302b,软件动态部署模块根据用户需求、虚拟机镜像、目标物理机和软件镜像的安全性指数为用户进行最优化设计,选出最佳的软件部署方案(如最大安全性、最优安全投入收益比等);
步骤303b,依据步骤302b的软件部署方案从镜像库中选出符合条件的软件镜像,实例化后部署到步骤302b选择的物理节点上。
参见图6,本实施例公开了一种虚拟机动态迁移方法,该方法具体流程为:
步骤401,部署在虚拟机宿主机上的威胁信息收集模块实时将系统运行状态和安全状态信息(如CPU使用率、内存使用率、数据包丢包率、攻击行为、异常流量等)发送给运维一体化平台上的安全态势感知模块;
步骤402,安全态势感知模块实时收集各威胁信息收集模块上报的运行状态和安全状态信息,利用预先训练好的模型对虚拟机宿主机或虚拟机本身进行安全态势评估,当检测到威胁或异常时,触发迁移或者轮换策略;
步骤403,在迁移时,虚拟机动态部署与迁移模块根据用户的安全需求、运行的物理宿主机的安全态势规划出最佳的迁移方案,将需要迁移的虚拟机迁到目标物理机上,并执行清洗和恢复工作等;
步骤404,在轮换时,虚拟机动态部署与迁移模块依据步骤301a从镜像库中选择出满足安全需求的虚拟机镜像替换目标虚拟机镜像,进行实例化后,依据步骤302a和步骤303a将虚拟机部署到满足需求的物理节点上;
此外,本方法还对在线的虚拟机周期性的主动迁移。
参见图7,本实施例公开了一种虚拟机和软件动态清洗方法,该方法具体流程为:
步骤501,安全态势感知模块实时收集各威胁信息收集模块上报的运行状态和安全状态信息,当检测到威胁或者异常时,执行清洗,清洗方式包括:数据清零、对象清除、进程或者系统重启等方式;
步骤502,检测到的异常或者威胁类型按照范围划分为四个层面,分别为对象级、进程级、软件级和系统级,根据异常或者威胁类型,选择对应的清洗策略,如对象级清洗、进程级清洗、软件级清洗或者系统级清洗;
步骤503,运维一体化平台中的清洗控制单元向目标对象(软件、虚拟机、Hypervisor层)清洗代理发送清洗命令;
步骤504,清洗代理根据清洗命令类型,执行清洗,并上报清洗结果。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种异构云主机的动态生成与维护方法,其特征在于,包括以下步骤:
步骤1,异构的云主机节点:
对云数据中心进行结构重构和功能重组,其云数据中心包括三层结构,分别是多样化的物理设施、多样化的虚拟机和多样化的软件;
步骤2,镜像库的管理:
针对同一功能软件,采用软件多样化技术构建功能相同但实现方式不同的软件镜像库,多样化的虚拟机镜像库由不同类型和版本的操作系统镜像构成;此外,对库中的软件镜像和操作系统镜像动态的进行漏洞修复和版本升级;
步骤3,异构虚拟机和异构软件的动态部署:
在虚拟机实例化时,根据用户和业务的安全需求,以及目标物理节点的属性,从多样化的虚拟机镜像库或者软件镜像库中选取虚拟机镜像或者软件镜像进行实例化,并依据策略将实例化的虚拟机或者软件部署到目标物理节点上;
步骤4,虚拟机动态迁移:
对于正在运行的虚拟机,实时对其运行的物理节点宿主机和虚拟机本身进行安全检测和评估,若物理节点或者虚拟机的安全态势与用户安全需求不吻合时,则将虚拟机依据策略迁移至其它的物理节点上;
步骤5,虚拟机和软件动态清洗:
当检测到虚拟机或者软件异常时,根据异常的类型采用不同层级的方法对虚拟机或者软件进行清洗,即采用对象级清洗、进程级清洗、软件级清洗或者系统级清洗。
2.根据权利要求1所述的异构云主机的动态生成与维护方法,其特征在于,所述步骤1中,所述多样化的物理设施采用不同架构的服务器构建,所述多样化的虚拟机是采用系统多样化设计技术和系统多样化编译技术生成,所述多样化的软件是采用多样化软件设计技术和多样化软件编译技术生成。
3.根据权利要求1所述的异构云主机的动态生成与维护方法,其特征在于,所述步骤2的具体实现过程为:
步骤201,采用系统多样化设计技术和系统多样化编译技术生成多样化的虚拟机镜像,并通过开发运维一体化平台导入到虚拟机镜像库;
步骤202,采用多样化软件设计技术和多样化软件编译技术生成多种功能相同、实现相异的软件镜像,通过开发运维一体化平台导入到软件镜像库;
步骤203,当发现镜像库中的系统或者软件存在安全缺陷时,对镜像进行漏洞修复;
步骤204,当新的系统或者软件版本发布时或者生成新的软件漏洞版本时,对镜像库中的镜像进行版本更新。
4.根据权利要求1所述的异构云主机的动态生成与维护方法,其特征在于,所述步骤3中异构虚拟机的动态部署方法为:
步骤301a,开发运维一体化平台对虚拟机镜像和目标物理机的安全性进行评估,根据评估结果为每个虚拟机镜像和目标物理机赋予一定的安全性指数;
步骤302a,虚拟机动态部署与迁移模块根据用户需求、虚拟机镜像和目标物理机的安全性指数为用户进行最优化设计,选择最佳的虚拟机部署方案;
步骤303a,依据步骤302a的虚拟机部署方案从镜像库中选出符合条件的虚拟机镜像,实例化后部署到步骤302a选择的物理节点上。
5.根据权利要求1所述的异构云主机的动态生成与维护方法,其特征在于,所述步骤3中异构软件的动态部署方法为:
步骤301b,开发运维一体化平台对软件镜像的安全性进行评估,根据评估结果为每个软件版本赋予一定的安全性指数;
步骤302b,软件动态部署模块根据用户需求、虚拟机镜像、目标物理机和软件镜像的安全性指数为用户进行最优化设计,选出最佳的软件部署方案;
步骤303b,依据步骤302b的软件部署方案从镜像库中选出符合条件的软件镜像,实例化后部署到步骤302b选择的物理节点上。
6.根据权利要求1所述的异构云主机的动态生成与维护方法,其特征在于,所述步骤4的具体实现过程为:
步骤401,部署在虚拟机宿主机上的威胁信息收集模块实时将系统运行状态和安全状态信息发送给运维一体化平台上的安全态势感知模块;
步骤402,安全态势感知模块实时收集各威胁信息收集模块上报的运行状态和安全状态信息,利用预先训练好的模型对虚拟机宿主机或虚拟机本身进行安全态势评估,当检测到威胁或异常时,触发迁移或者轮换策略;
步骤403,在迁移时,虚拟机动态部署与迁移模块根据用户的安全需求、运行的物理宿主机的安全态势规划出最佳的迁移方案,将需要迁移的虚拟机迁到目标物理机上,并执行清洗和恢复工作;
步骤404,在轮换时,虚拟机动态部署与迁移模块从镜像库中选择出满足安全需求的虚拟机镜像替换目标虚拟机镜像,进行实例化后,将虚拟机部署到满足需求的物理节点上。
7.根据权利要求1所述的异构云主机的动态生成与维护方法,其特征在于,所述步骤5的具体实现过程为:
步骤501,安全态势感知模块实时收集各威胁信息收集模块上报的运行状态和安全状态信息,当检测到威胁或者异常时,执行清洗;
步骤502,检测到的异常或者威胁类型按照范围划分为四个层面,分别为对象级、进程级、软件级和系统级,根据异常或者威胁类型,选择对应的清洗策略;
步骤503,运维一体化平台中的清洗控制单元向目标对象清洗代理发送清洗命令;
步骤504,清洗代理根据清洗命令类型,执行清洗,并上报清洗结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710401151.1A CN107196803B (zh) | 2017-05-31 | 2017-05-31 | 异构云主机的动态生成与维护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710401151.1A CN107196803B (zh) | 2017-05-31 | 2017-05-31 | 异构云主机的动态生成与维护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107196803A true CN107196803A (zh) | 2017-09-22 |
| CN107196803B CN107196803B (zh) | 2019-11-22 |
Family
ID=59876239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710401151.1A Active CN107196803B (zh) | 2017-05-31 | 2017-05-31 | 异构云主机的动态生成与维护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107196803B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108255576A (zh) * | 2017-12-08 | 2018-07-06 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 虚拟机热迁移异常处理方法、装置和存储介质 |
| CN108563945A (zh) * | 2018-03-26 | 2018-09-21 | 烽火通信科技股份有限公司 | 一种异构冗余实现方法及实现系统 |
| CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
| CN109284204A (zh) * | 2018-09-10 | 2019-01-29 | 福建星瑞格软件有限公司 | 一种基于虚拟化计算的大数据平台运维方法以及系统 |
| CN109325344A (zh) * | 2018-09-13 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种云环境中防御侧信道攻击的虚拟机迁移方法及系统 |
| CN109814882A (zh) * | 2018-12-13 | 2019-05-28 | 国网信通亿力科技有限责任公司 | 一种可定制化的虚拟机快速部署方法 |
| CN109828822A (zh) * | 2018-12-25 | 2019-05-31 | 武汉烽火信息集成技术有限公司 | 基于国产平台和x86平台的异构资源池管理方法及系统 |
| CN109951440A (zh) * | 2019-01-22 | 2019-06-28 | 中国人民解放军战略支援部队信息工程大学 | 一种5g网络切片实例动态切换方法和功能 |
| WO2019154202A1 (zh) * | 2018-02-09 | 2019-08-15 | 中兴通讯股份有限公司 | 一种安全防护方法及装置 |
| CN110347474A (zh) * | 2019-05-30 | 2019-10-18 | 苏州浪潮智能科技有限公司 | 一种管理虚拟机的方法及装置 |
| CN110661868A (zh) * | 2019-09-25 | 2020-01-07 | 浙江九州云信息科技有限公司 | 一种可拓展的可视化应用部署的解决方法 |
| CN111078355A (zh) * | 2019-11-22 | 2020-04-28 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于安全态势感知的计算环境重构动态防御方法及系统 |
| CN111090491A (zh) * | 2019-07-03 | 2020-05-01 | 杭州海康威视系统技术有限公司 | 虚拟机任务状态的恢复方法、装置及电子设备 |
| CN111309450A (zh) * | 2020-03-17 | 2020-06-19 | 中科天御(苏州)科技有限公司 | 一种基于云的主动免疫安全防御方法及装置 |
| CN112286632A (zh) * | 2020-10-27 | 2021-01-29 | 龙芯中科技术股份有限公司 | 云平台、云平台管理方法、装置、电子设备及储存介质 |
| CN115643058A (zh) * | 2022-10-09 | 2023-01-24 | 上海有孚网络股份有限公司 | 云虚拟机零信任处理及运维方法、装置、电子设备、介质 |
| US11954524B2 (en) | 2021-05-26 | 2024-04-09 | International Business Machines Corporation | Compliance aware application scheduling |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103442036A (zh) * | 2013-08-09 | 2013-12-11 | 苏州蓝海彤翔系统科技有限公司 | 一种基于云平台的设计开发、后期制作及数据存储一体化系统 |
| US20150052517A1 (en) * | 2013-08-13 | 2015-02-19 | Vmware, Inc. | Method and system for migration of virtual machines and virtual applications between cloud-computing facilities |
| CN104932956A (zh) * | 2015-06-19 | 2015-09-23 | 华南理工大学 | 一种面向大数据的云容灾备份方法 |
-
2017
- 2017-05-31 CN CN201710401151.1A patent/CN107196803B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103442036A (zh) * | 2013-08-09 | 2013-12-11 | 苏州蓝海彤翔系统科技有限公司 | 一种基于云平台的设计开发、后期制作及数据存储一体化系统 |
| US20150052517A1 (en) * | 2013-08-13 | 2015-02-19 | Vmware, Inc. | Method and system for migration of virtual machines and virtual applications between cloud-computing facilities |
| CN104932956A (zh) * | 2015-06-19 | 2015-09-23 | 华南理工大学 | 一种面向大数据的云容灾备份方法 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786568A (zh) * | 2017-11-03 | 2018-03-09 | 中国人民解放军信息工程大学 | 一种拟态云主机的自动构建装置、方法及系统 |
| CN108255576A (zh) * | 2017-12-08 | 2018-07-06 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 虚拟机热迁移异常处理方法、装置和存储介质 |
| CN108255576B (zh) * | 2017-12-08 | 2021-02-26 | 未鲲(上海)科技服务有限公司 | 虚拟机热迁移异常处理方法、装置和存储介质 |
| JP2021513706A (ja) * | 2018-02-09 | 2021-05-27 | 中興通訊股▲ふん▼有限公司Zte Corporation | セキュリティ保護方法および装置 |
| US11934530B2 (en) | 2018-02-09 | 2024-03-19 | Zte Corporation | Security protection method and apparatus |
| WO2019154202A1 (zh) * | 2018-02-09 | 2019-08-15 | 中兴通讯股份有限公司 | 一种安全防护方法及装置 |
| KR102419704B1 (ko) | 2018-02-09 | 2022-07-12 | 지티이 코포레이션 | 보안 보호 방법 및 장치 |
| JP7082673B2 (ja) | 2018-02-09 | 2022-06-08 | 中興通訊股▲ふん▼有限公司 | セキュリティ保護方法および装置 |
| KR20200119849A (ko) * | 2018-02-09 | 2020-10-20 | 지티이 코포레이션 | 보안 보호 방법 및 장치 |
| CN108563945A (zh) * | 2018-03-26 | 2018-09-21 | 烽火通信科技股份有限公司 | 一种异构冗余实现方法及实现系统 |
| CN108563945B (zh) * | 2018-03-26 | 2020-07-07 | 烽火通信科技股份有限公司 | 一种异构冗余实现方法及实现系统 |
| CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
| CN109150831B (zh) * | 2018-07-16 | 2021-03-23 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
| CN109284204A (zh) * | 2018-09-10 | 2019-01-29 | 福建星瑞格软件有限公司 | 一种基于虚拟化计算的大数据平台运维方法以及系统 |
| CN109325344A (zh) * | 2018-09-13 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种云环境中防御侧信道攻击的虚拟机迁移方法及系统 |
| CN109814882A (zh) * | 2018-12-13 | 2019-05-28 | 国网信通亿力科技有限责任公司 | 一种可定制化的虚拟机快速部署方法 |
| CN109828822A (zh) * | 2018-12-25 | 2019-05-31 | 武汉烽火信息集成技术有限公司 | 基于国产平台和x86平台的异构资源池管理方法及系统 |
| CN109951440A (zh) * | 2019-01-22 | 2019-06-28 | 中国人民解放军战略支援部队信息工程大学 | 一种5g网络切片实例动态切换方法和功能 |
| CN110347474A (zh) * | 2019-05-30 | 2019-10-18 | 苏州浪潮智能科技有限公司 | 一种管理虚拟机的方法及装置 |
| CN111090491A (zh) * | 2019-07-03 | 2020-05-01 | 杭州海康威视系统技术有限公司 | 虚拟机任务状态的恢复方法、装置及电子设备 |
| CN111090491B (zh) * | 2019-07-03 | 2023-10-10 | 杭州海康威视系统技术有限公司 | 虚拟机任务状态的恢复方法、装置及电子设备 |
| CN110661868A (zh) * | 2019-09-25 | 2020-01-07 | 浙江九州云信息科技有限公司 | 一种可拓展的可视化应用部署的解决方法 |
| CN111078355A (zh) * | 2019-11-22 | 2020-04-28 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于安全态势感知的计算环境重构动态防御方法及系统 |
| CN111078355B (zh) * | 2019-11-22 | 2023-06-30 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 基于安全态势感知的计算环境重构动态防御方法及系统 |
| CN111309450A (zh) * | 2020-03-17 | 2020-06-19 | 中科天御(苏州)科技有限公司 | 一种基于云的主动免疫安全防御方法及装置 |
| CN112286632A (zh) * | 2020-10-27 | 2021-01-29 | 龙芯中科技术股份有限公司 | 云平台、云平台管理方法、装置、电子设备及储存介质 |
| CN112286632B (zh) * | 2020-10-27 | 2023-07-11 | 龙芯中科技术股份有限公司 | 云平台、云平台管理方法、装置、电子设备及储存介质 |
| US11954524B2 (en) | 2021-05-26 | 2024-04-09 | International Business Machines Corporation | Compliance aware application scheduling |
| CN115643058A (zh) * | 2022-10-09 | 2023-01-24 | 上海有孚网络股份有限公司 | 云虚拟机零信任处理及运维方法、装置、电子设备、介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107196803B (zh) | 2019-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107196803B (zh) | 异构云主机的动态生成与维护方法 | |
| Jhawar et al. | Fault tolerance and resilience in cloud computing environments | |
| Amin et al. | Review on fault tolerance techniques in cloud computing | |
| US20190253367A1 (en) | Automated failure recovery of subsystems in a management system | |
| US9003239B2 (en) | Monitoring and resolving deadlocks, contention, runaway CPU and other virtual machine production issues | |
| CN103890715B (zh) | 路由器和虚拟受信任运行时bios | |
| US20130198840A1 (en) | Systems, methods and computer programs providing impact mitigation of cyber-security failures | |
| Koslovski et al. | Reliability support in virtual infrastructures | |
| Araujo et al. | Software aging issues on the eucalyptus cloud computing infrastructure | |
| CN107408064A (zh) | 在虚拟机实例内执行命令 | |
| Ganga et al. | A fault tolerent approach in scientific workflow systems based on cloud computing | |
| Caton et al. | Towards autonomic management for cloud services based upon volunteered resources | |
| Rehman et al. | Fault-tolerance in the scope of cloud computing | |
| Di Pietro et al. | CloRExPa: Cloud resilience via execution path analysis | |
| Goutam et al. | The performance evaluation of proactive fault tolerant scheme over cloud using CloudSim simulator | |
| US11656856B2 (en) | Optimizing a just-in-time compilation process in a container orchestration system | |
| Munhoz et al. | Enabling the execution of HPC applications on public clouds with HPC@ Cloud toolkit | |
| CN115840691A (zh) | 远程修复崩溃进程 | |
| US7987391B2 (en) | Fault tolerance using digests | |
| Amin Azad et al. | Role Models: Role-based Debloating for Web Applications | |
| KR20210107099A (ko) | 비정상 이벤트에 대한 가상 머신의 처리 용량 증가 | |
| Yao et al. | Decentralized executions of privacy awareness data analytics workflows in the cloud | |
| Munir et al. | Current trends in cloud computing | |
| Jhawar | Dependability in cloud computing | |
| Minnich et al. | Ten Million and One Penguins, or, Lessons Learned from booting millions of virtual machines on HPC systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |