CN108418815A - 用户虚拟机数据访问证据收集方法及系统 - Google Patents

用户虚拟机数据访问证据收集方法及系统 Download PDF

Info

Publication number
CN108418815A
CN108418815A CN201810145688.0A CN201810145688A CN108418815A CN 108418815 A CN108418815 A CN 108418815A CN 201810145688 A CN201810145688 A CN 201810145688A CN 108418815 A CN108418815 A CN 108418815A
Authority
CN
China
Prior art keywords
behavior
evidence
access
user
machine data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810145688.0A
Other languages
English (en)
Inventor
姚杨
姚一杨
赵保华
安宁钰
王彦波
韩嘉佳
卢新岱
张旭东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Zhejiang Electric Power Co Ltd
Global Energy Interconnection Research Institute
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
State Grid Zhejiang Electric Power Co Ltd
Global Energy Interconnection Research Institute
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Zhejiang Electric Power Co Ltd, Global Energy Interconnection Research Institute, Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd filed Critical State Grid Zhejiang Electric Power Co Ltd
Priority to CN201810145688.0A priority Critical patent/CN108418815A/zh
Publication of CN108418815A publication Critical patent/CN108418815A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了用户虚拟机数据访问证据收集方法及系统,属于信息安全领域,包括申请收集可信性证据;云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,向虚拟机相关的宿主机发起采集请求;访问行为监控器收集本地可信性证据;将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,通过上述信息还原出正常和恶意的用户虚拟机数据访问行为。通过在证据收集过程中对用户ID信息进行认证并且使用本地可信性证据进行恶意访问请求关联认证,能够解决获取作为IaaS云服务用户在云中访问数据行为证据的问题,同时解决了用户能够关联分析是否有恶意IaaS云服务商的非法访问数据行为的问题。

Description

用户虚拟机数据访问证据收集方法及系统
技术领域
本发明属于信息安全领域,特别涉及用户虚拟机数据访问证据收集方法及系统。
背景技术
当前,来自内部员工盗取公司数据的威胁,对于企业以及用户来说非常严重。如沃达丰200万客户银行资料泄露事件等案例中,都是特权用户访问权限过大导致了客户数据被窃取。
在基础设施即服务(Infrastructure as a Service,IaaS)中,云用户使用的数据以虚拟机镜像的方式存放于云宿主机平台上,而云服务商(管理员)具有用户虚拟机所在宿主机的管理员特权。因此,恶意的IaaS云服务商(管理员)完全能够通过操纵宿主机读取用户虚拟机镜像的方式非法获取用户数据。
然而,当前宿主机访问云虚拟机数据的方式众多,当前的云安全测试技术没有对相关行为进行建模及全面覆盖采集;没有区分恶意云服务商通过宿主机访问虚拟机数据的行为和云用户正常访问虚拟机数据的行为;这都阻碍了用户察觉恶意IaaS云服务商对其数据的非法窃取,无法有效保障用户数据不受恶意IaaS云服务商的威胁。
发明内容
为了解决现有技术中存在的缺点和不足,本发明提供了用于防止出现IaaS云服务商的非法访问数据行为的用户虚拟机数据访问证据收集方法及系统。
为了达到上述技术目的,一方面,本发明提供了用户虚拟机数据访问证据收集方法,所述收集方法,包括:
用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程;
向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据;
云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,通过nova数据库查找到用户虚拟机相关的宿主机,向这些宿主机发起采集请求;
云端宿主机用户数据访问行为监控器收集本地可信性证据;
将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为;
将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。
可选的,所述可信性证据,包括:
来自服务组件、虚拟化管理工具和虚拟化进程访问三个层次的正常的用户访问行为和非法的恶意服务商访问行为信息。
可选的,所述可信性证据的层级结构表现为虚拟机数据访问可信性证据树,在可信性证据树中的第二层节点包含证据来源层次信息,叶子节点包含访问行为名称及发生时间信息;服务组件监控采集到的行为证据为用户发起的请求如对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化管理工具监控采集到的行为证据为对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化进程监控采集到的行为证据为对虚拟机的qemu-img,qemu-system,qemu-nbd等操作及时间信息。
可选的,所述云端宿主机用户数据访问行为监控器收集本地可信性证据,包括:
服务组件访问虚拟机数据行为监控模块获得用户ID对应的行为名称以及时间信息,记为nova-access.log;
虚拟化管理工具访问虚拟机数据行为监控模块通过虚拟机镜像日志获得对用户虚拟机数据的访问行为证据信息,包括访问行为名称以及时间信息,信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vtool-access.log;
虚拟化进程访问虚拟机数据行为监控模块通过对系统调用的监控获取对用户虚拟机数据的访问行为证据信息,包括访问行为名称以及时间信息,上述信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vp-access.log。
可选的,所述虚拟化进程监控信息获取算法包括:
判断当前访问进程的操作op是否为被监控的关键访问操作,如open,read,write,append等;如果是,继续下一操作;如果否,不进行监控;
获取需要保护的虚拟机镜像文件地址;
判断当前访问进程是否是合法的虚拟化进程,如qemu-system或qemu-kvm等;如果是,则继续下一步;如果否,不允许未经允许的虚拟化进程直接访问用户虚拟机数据,并报警;
获取当前访问的系统时间time;
将当前访问行为主体(虚拟化进程)、客体(虚拟机文件)及时间(当前访问时间)记录到虚拟化日志vp-access.log中。
可选的,所述由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为,包括:
根据获取的层次行为数据集得到行为集合;
关联分析得到恶意IaaS服务商非法行为集合。
可选的,所述根据获取的层次行为数据集得到行为集合,包括:
用户合法行为集合={服务组件访问虚拟机数据行为},这些数据从nova-access.log中获取;
虚拟化管理工具访问行为集合={虚拟化管理工具访问虚拟机数据行为}这些数据从vtool-access.log中获取;
虚拟化进程访问虚拟机数据行为集合={虚拟化进程访问虚拟机数据行为}这些数据从vp-access.log中获取。
所述关联分析得到恶意IaaS服务商非法行为集合,包括:
来自虚拟化管理层的恶意IaaS服务商非法行为集合={虚拟化管理工具访问虚拟机数据行为}-{服务组件访问虚拟机数据行为};
来自虚拟化进程的恶意IaaS服务商非法行为集合={虚拟化进程访问虚拟机数据行为}-{虚拟化进程访问虚拟机数据行为};
恶意IaaS服务商非法行为集合={虚拟化进程访问虚拟机数据行为}-{服务组件访问虚拟机数据行为}。
另一方面,本发明实施例还提供了用户虚拟机数据访问证据收集系统,所述收集系统,包括:
云端宿主机用户数据访问行为监控器,用于全程监控IaaS用户访问数据请求从发出到执行的过程;
云端IaaS服务虚拟机数据访问可信性证据采集器,用于获取云用户与云用户虚拟机之间的关联关系,以及集中收集云端所有宿主机上监控到的行为信息;
第三方IaaS服务虚拟机数据访问可信性接收器,用于从云端获取云端访问数据行为信息;
第三方恶意访问行为关联器,用于关联云端的访问行为监控信息,得出恶意行为分析结果;
第三方可信性证据展示服务器,用于接收用户分析请求和向用户展示行为分析结果;
第三方可信性证据收集用户登录服务器,用于获取用户登录账号及密码信息。
可选的,所述云端宿主机用户数据访问行为监控器,包括:
计算服务组件监控模块、虚拟化管理工具监控模块和虚拟化进程监控模块。
本发明提供的技术方案带来的有益效果是:
通过在证据收集过程中对用户ID信息进行认证并且使用本地可信性证据进行恶意访问请求关联认证,能够解决获取作为IaaS云服务用户在云中访问数据行为证据的问题,同时解决了用户能够关联分析是否有恶意IaaS云服务商的非法访问数据行为的问题。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的用户虚拟机数据访问证据收集方法的流程示意图;
图2是本发明提供的虚拟机数据访问可信性证据树的结构示意图。
具体实施方式
为使本发明的结构和优点更加清楚,下面将结合附图对本发明的结构作进一步地描述。
实施例一
为了解决现有技术中存在的缺点和不足,本发明提供了用户虚拟机数据访问证据收集方法,如图1所示,所述收集方法,包括:
11、用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程;
12、向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据;
13、云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,通过nova数据库查找到用户虚拟机相关的宿主机,向这些宿主机发起采集请求;
14、云端宿主机用户数据访问行为监控器收集本地可信性证据;
15、将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为;
16、将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。
在实施中,在云端部署云端宿主机用户数据访问行为监控器和云端IaaS服务虚拟机数据访问可信性证据采集器。在第三方部署第三方IaaS服务虚拟机数据访问可信性接收器、第三方恶意访问行为关联器、第三方可信性证据展示服务器和第三方可信性证据收集用户登录服务器。本发明系统管理员负责添加云用户相关信息到第三方可信性证据收集用户登录服务器中。当本发明系统6个组件能够正常通讯的情况下,本方法可以正常生效。
以Openstack云平台为例,具体实施步骤如下:
第一步,用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程。
第二步,向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据。请求收集的证据包括来自服务组件(nova组件)、虚拟化管理工具(libvirt工具)和虚拟化进程(qemu进程)访问三个层次的正常的用户访问行为和非法的恶意服务商访问行为信息。
虚拟机数据访问可信性证据树如图2所示,第二层节点包含证据来源层次信息,叶子节点包含访问行为名称及发生时间信息。服务组件监控采集到的行为证据为用户发起的请求如对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化管理工具监控采集到的行为证据为对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化进程监控采集到的行为证据为对虚拟机的qemu-img,qemu-system,qemu-nbd等操作及时间信息。
第三步,云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息(如:4da38c3965694447a268645625c40f68),通过nova数据库查找到用户虚拟机相关的宿主机,向这些宿主机发起采集请求。
第四步,云端宿主机用户数据访问行为监控器收集本地可信性证据。其中包括三个部分:
1.服务组件访问虚拟机数据行为监控模块通过nova组件日志获得用户ID对应的行为名称(如shutdown)以及时间信息(如2017-12-01 09:23:54.623),这些是用户正常访问行为证据,记为nova-access.log。
2.虚拟化管理工具访问虚拟机数据行为监控模块通过虚拟机镜像日志获得对用户虚拟机数据的访问行为证据信息,包括访问行为名称(如shutdown)以及时间信息(如2017-12-01 09:23:54.623和2017-12-01 09:24:51.541)。上述信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vtool-access.log。
3.虚拟化进程访问虚拟机数据行为监控模块通过对系统调用的监控获取对用户虚拟机数据的访问行为证据信息,包括访问行为名称(如shutdown)以及时间信息(如2017-12-01 09:23:54.623,2017-12-01 09:24:51.541和2017-12-01 04:21:31.121)。上述信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vp-access.log。虚拟化进程监信息获取算法具体流程如下:
3.1判断当前访问进程的操作op是否为被监控的关键访问操作,如open,read,write,append等;如果是,继续3.2;如果否,不进行监控;
3.2获取需要保护的虚拟机镜像文件地址,如
/var/lib/nova/instances/36c97be5-8fea-432a-99f8-1a740926ee51/disk;
3.3判断当前访问进程是否是合法的虚拟化进程,如qemu-system或qemu-kvm等;如果是,则继续3.4;如果否,不允许未经允许的虚拟化进程直接访问用户虚拟机数据,并报警。
3.4获取当前访问的系统时间time;
3.5将当前访问行为主体(虚拟化进程)、客体(虚拟机文件)及时间(当前访问时间)记录到虚拟化日志vp-access.log中。
第五步,将上述所有日志证据(包括nova-access.log,vtool-access.log和vp-access.log)共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器。由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为。关联分析方法如下:
5.1根据第四步获取的三个层次行为数据集得到三个行为集合:
5.1.1用户合法行为集合={服务组件访问虚拟机数据行为},这些数据从nova-access.log中获取。
5.1.2虚拟化管理工具访问行为集合={虚拟化管理工具访问虚拟机数据行为}这些数据从vtool-access.log中获取。
5.1.3虚拟化进程访问虚拟机数据行为集合={虚拟化进程访问虚拟机数据行为}这些数据从vp-access.log中获取。
5.2关联分析得到恶意IaaS服务商非法行为集合:
5.2.1来自虚拟化管理层的恶意IaaS服务商非法行为集合={虚拟化管理工具访问虚拟机数据行为}-{服务组件访问虚拟机数据行为}
5.2.2来自虚拟化进程的恶意IaaS服务商非法行为集合={虚拟化进程访问虚拟机数据行为}-{虚拟化进程访问虚拟机数据行为}
5.2.3恶意IaaS服务商非法行为集合={虚拟化进程访问虚拟机数据行为}-{服务组件访问虚拟机数据行为}
第六步,将上述第五步关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。
本发明提供了用户虚拟机数据访问证据收集方法,包括:向第三方可信性证据展示服务器申请收集可信性证据;云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,向虚拟机相关的宿主机发起采集请求;云端宿主机用户数据访问行为监控器收集本地可信性证据;将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为。通过在证据收集过程中对用户ID信息进行认证并且使用本地可信性证据进行恶意访问请求关联认证,能够解决了用户能够全面获取作为IaaS云服务用户在云中访问数据行为证据的问题,同时解决了用户能够关联分析是否有恶意IaaS云服务商的非法访问数据行为的问题。
另一方面,本发明实施例还提供了用户虚拟机数据访问证据收集系统,所述收集系统,包括:
云端宿主机用户数据访问行为监控器,用于全程监控IaaS用户访问数据请求从发出到执行的过程;
云端IaaS服务虚拟机数据访问可信性证据采集器,用于获取云用户与云用户虚拟机之间的关联关系,以及集中收集云端所有宿主机上监控到的行为信息;
第三方IaaS服务虚拟机数据访问可信性接收器,用于从云端获取云端访问数据行为信息;
第三方恶意访问行为关联器,用于关联云端的访问行为监控信息,得出恶意行为分析结果;
第三方可信性证据展示服务器,用于接收用户分析请求和向用户展示行为分析结果;
第三方可信性证据收集用户登录服务器,用于获取用户登录账号及密码信息。
在实施中,本发明系统总共分为六个组件:
1.云端宿主机用户数据访问行为监控器
2.云端IaaS服务虚拟机数据访问可信性证据采集器
3.第三方IaaS服务虚拟机数据访问可信性接收器
4.第三方恶意访问行为关联器
5.第三方可信性证据展示服务器
6.第三方可信性证据收集用户登录服务器
其中
1.云端宿主机用户数据访问行为监控器负责全程监控IaaS用户访问数据请求从发出到执行的过程,包括三个监控模块:计算服务组件监控模块、虚拟化管理工具监控模块和虚拟化进程监控模块。
2.云端IaaS服务虚拟机数据访问可信性证据采集器负责管理云用户与云用户虚拟机之间的关联关系,以及集中收集云端所有宿主机上监控到的行为信息。
3.第三方IaaS服务虚拟机数据访问可信性接收器负责从云端获取云端访问数据行为信息。
4.第三方恶意访问行为关联器负责关联云端的访问行为监控信息,得出恶意行为分析结果。
5.第三方可信性证据展示服务器负责接收用户分析请求和向用户展示行为分析结果。
6.第三方可信性证据收集用户登录服务器负责获取用户登录账号及密码信息。
用户进行IaaS云服务虚拟机数据访问可信性证据收集时,首先需要绑定一个云用户身份,相关信息主要包括:
1.云用户身份唯一标识符ID信息
2.用户账号信息
用户登录本发明系统后,首先通过第三方可信性证据收集用户登录服务器进行身份认证。然后向第三方可信性证据展示服务器申请收集可信性证据。
第三方可信性证据展示服务器请求第三方IaaS服务虚拟机数据访问可信性接收器接收最新可信性证据。
第三方IaaS服务虚拟机数据访问可信性接收器请求云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据。
云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息查找到用户虚拟机相关的宿主机地址信息,向这些宿主机发起采集请求。
云端宿主机用户数据访问行为监控器收集本地可信性证据,并将这些证据回传给云端IaaS服务虚拟机数据访问可信性证据采集器。可信性证据包括:
1.服务组件访问虚拟机镜像行为信息
2.虚拟化管理工具访问虚拟机镜像行为信息
3.虚拟化进程访问虚拟机镜像行为信息
云端IaaS服务虚拟机数据访问可信性证据采集器将上述信息返回给第三方IaaS服务虚拟机数据访问可信性接收器。
第三方IaaS服务虚拟机数据访问可信性接收器接着将上述信息返回给第三方恶意访问行为关联器。由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为。
第三方恶意访问行为关联器将关联分析的结果返回给第三方可信性证据展示服务器,展示给用户查看。
本发明提供了用户虚拟机数据访问证据收集系统,属于信息安全领域,包括云端宿主机用户数据访问行为监控器、云端IaaS服务虚拟机数据访问可信性证据采集器、第三方IaaS服务虚拟机数据访问可信性接收器、第三方恶意访问行为关联器、第三方可信性证据展示服务器、第三方可信性证据收集用户登录服务器。通过在证据收集过程中对用户ID信息进行认证并且使用本地可信性证据进行恶意访问请求关联认证,能够解决获取作为IaaS云服务用户在云中访问数据行为证据的问题,同时解决了用户能够关联分析是否有恶意IaaS云服务商的非法访问数据行为的问题。
上述实施例中的各个序号仅仅为了描述,不代表各部件的组装或使用过程中的先后顺序。
以上所述仅为本发明的实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.用户虚拟机数据访问证据收集方法,其特征在于,所述收集方法,包括:
用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程;
向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据;
云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,通过nova数据库查找到用户虚拟机相关的宿主机,向这些宿主机发起采集请求;
云端宿主机用户数据访问行为监控器收集本地可信性证据;
将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为;
将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。
2.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述可信性证据,包括:
来自服务组件、虚拟化管理工具和虚拟化进程访问三个层次的正常的用户访问行为和非法的恶意服务商访问行为信息。
3.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述可信性证据的层级结构表现为虚拟机数据访问可信性证据树,在可信性证据树中的第二层节点包含证据来源层次信息,叶子节点包含访问行为名称及发生时间信息;服务组件监控采集到的行为证据为用户发起的请求如对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化管理工具监控采集到的行为证据为对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化进程监控采集到的行为证据为对虚拟机的qemu-img,qemu-system,qemu-nbd等操作及时间信息。
4.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述云端宿主机用户数据访问行为监控器收集本地可信性证据,包括:
服务组件访问虚拟机数据行为监控模块获得用户ID对应的行为名称以及时间信息,记为nova-access.log;
虚拟化管理工具访问虚拟机数据行为监控模块通过虚拟机镜像日志获得对用户虚拟机数据的访问行为证据信息,包括访问行为名称以及时间信息,信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vtool-access.log;
虚拟化进程访问虚拟机数据行为监控模块通过对系统调用的监控获取对用户虚拟机数据的访问行为证据信息,包括访问行为名称以及时间信息,上述信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vp-access.log。
5.根据权利要求4所述的用户虚拟机数据访问证据收集方法,其特征在于,所述虚拟化进程监控信息获取算法包括:
判断当前访问进程的操作op是否为被监控的关键访问操作,如open,read,write,append等;如果是,继续下一操作;如果否,不进行监控;
获取需要保护的虚拟机镜像文件地址;
判断当前访问进程是否是合法的虚拟化进程,如qemu-system或qemu-kvm等;如果是,则继续下一步;如果否,不允许未经允许的虚拟化进程直接访问用户虚拟机数据,并报警;
获取当前访问的系统时间time;
将当前访问行为主体(虚拟化进程)、客体(虚拟机文件)及时间(当前访问时间)记录到虚拟化日志vp-access.log中。
6.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为,包括:
根据获取的层次行为数据集得到行为集合;
关联分析得到恶意IaaS服务商非法行为集合。
7.根据权利要求4所述的用户虚拟机数据访问证据收集方法,其特征在于,所述根据获取的层次行为数据集得到行为集合,包括:
用户合法行为集合={服务组件访问虚拟机数据行为},这些数据从nova-access.log中获取;
虚拟化管理工具访问行为集合={虚拟化管理工具访问虚拟机数据行为}这些数据从vtool-access.log中获取;
虚拟化进程访问虚拟机数据行为集合={虚拟化进程访问虚拟机数据行为}这些数据从vp-access.log中获取。
8.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述关联分析得到恶意IaaS服务商非法行为集合,包括:
来自虚拟化管理层的恶意IaaS服务商非法行为集合={虚拟化管理工具访问虚拟机数据行为}-{服务组件访问虚拟机数据行为};
来自虚拟化进程的恶意IaaS服务商非法行为集合={虚拟化进程访问虚拟机数据行为}-{虚拟化进程访问虚拟机数据行为};
恶意IaaS服务商非法行为集合={虚拟化进程访问虚拟机数据行为}-{服务组件访问虚拟机数据行为}。
9.用户虚拟机数据访问证据收集系统,其特征在于,所述收集系统,包括:
云端宿主机用户数据访问行为监控器,用于全程监控IaaS用户访问数据请求从发出到执行的过程;
云端IaaS服务虚拟机数据访问可信性证据采集器,用于获取云用户与云用户虚拟机之间的关联关系,以及集中收集云端所有宿主机上监控到的行为信息;
第三方IaaS服务虚拟机数据访问可信性接收器,用于从云端获取云端访问数据行为信息;
第三方恶意访问行为关联器,用于关联云端的访问行为监控信息,得出恶意行为分析结果;
第三方可信性证据展示服务器,用于接收用户分析请求和向用户展示行为分析结果;
第三方可信性证据收集用户登录服务器,用于获取用户登录账号及密码信息。
10.根据权利要求9所述的用户虚拟机数据访问证据收集系统,其特征在于,所述云端宿主机用户数据访问行为监控器,包括:
计算服务组件监控模块、虚拟化管理工具监控模块和虚拟化进程监控模块。
CN201810145688.0A 2018-02-12 2018-02-12 用户虚拟机数据访问证据收集方法及系统 Pending CN108418815A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810145688.0A CN108418815A (zh) 2018-02-12 2018-02-12 用户虚拟机数据访问证据收集方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810145688.0A CN108418815A (zh) 2018-02-12 2018-02-12 用户虚拟机数据访问证据收集方法及系统

Publications (1)

Publication Number Publication Date
CN108418815A true CN108418815A (zh) 2018-08-17

Family

ID=63128525

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810145688.0A Pending CN108418815A (zh) 2018-02-12 2018-02-12 用户虚拟机数据访问证据收集方法及系统

Country Status (1)

Country Link
CN (1) CN108418815A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111522625A (zh) * 2020-04-23 2020-08-11 公安部第三研究所 一种云端数据在线取证系统及方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103106277A (zh) * 2013-02-18 2013-05-15 浪潮(北京)电子信息产业有限公司 一种基于云计算的取证方法
CN103179129A (zh) * 2013-03-29 2013-06-26 华南理工大学 一种基于云计算IaaS环境的远程证明方法
CN103905461A (zh) * 2014-04-14 2014-07-02 北京工业大学 一种基于可信第三方的云服务行为可信证明方法和系统
CN105577369A (zh) * 2016-02-03 2016-05-11 深圳云安宝科技有限公司 一种可信证据的远程验证方法、装置及系统
CN106059801A (zh) * 2016-05-24 2016-10-26 北京哈工大计算机网络与信息安全技术研究中心 基于云计算平台网络的虚拟机可信证据收集方法和装置
CN106803796A (zh) * 2017-03-05 2017-06-06 北京工业大学 基于云平台的多租户网络拓扑重构方法
CN107133520A (zh) * 2016-02-26 2017-09-05 华为技术有限公司 云计算平台的可信度量方法和装置
US20170344391A1 (en) * 2016-05-26 2017-11-30 International Business Machines Corporation Extending trusted hypervisor functions with existing device drivers
CN107545184A (zh) * 2017-08-17 2018-01-05 大唐高鸿信安(浙江)信息科技有限公司 云主机的可信度量系统及方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103106277A (zh) * 2013-02-18 2013-05-15 浪潮(北京)电子信息产业有限公司 一种基于云计算的取证方法
CN103179129A (zh) * 2013-03-29 2013-06-26 华南理工大学 一种基于云计算IaaS环境的远程证明方法
CN103905461A (zh) * 2014-04-14 2014-07-02 北京工业大学 一种基于可信第三方的云服务行为可信证明方法和系统
CN105577369A (zh) * 2016-02-03 2016-05-11 深圳云安宝科技有限公司 一种可信证据的远程验证方法、装置及系统
CN107133520A (zh) * 2016-02-26 2017-09-05 华为技术有限公司 云计算平台的可信度量方法和装置
CN106059801A (zh) * 2016-05-24 2016-10-26 北京哈工大计算机网络与信息安全技术研究中心 基于云计算平台网络的虚拟机可信证据收集方法和装置
US20170344391A1 (en) * 2016-05-26 2017-11-30 International Business Machines Corporation Extending trusted hypervisor functions with existing device drivers
CN106803796A (zh) * 2017-03-05 2017-06-06 北京工业大学 基于云平台的多租户网络拓扑重构方法
CN107545184A (zh) * 2017-08-17 2018-01-05 大唐高鸿信安(浙江)信息科技有限公司 云主机的可信度量系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LI LIN,ETL.: "TVGuarder:A Trace-Enable Virtualization Protection Framework against Insider Threats for IaaS Environments", 《INTERNATIONAL JOURNAL OF GRID AND HIGH PERFORMANCE COMPUTING》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111522625A (zh) * 2020-04-23 2020-08-11 公安部第三研究所 一种云端数据在线取证系统及方法
CN111522625B (zh) * 2020-04-23 2023-02-28 公安部第三研究所 一种云端数据在线取证系统及方法

Similar Documents

Publication Publication Date Title
US10140453B1 (en) Vulnerability management using taxonomy-based normalization
CN115733681A (zh) 一种防止数据丢失的数据安全管理平台
CN112787992B (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
Pasquale et al. Adaptive evidence collection in the cloud using attack scenarios
DK2677718T3 (en) SECONDARY ASYNCHRONIC BACKGROUND AUTHORIZATION (SABA)
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
US11481478B2 (en) Anomalous user session detector
CN108667835A (zh) 一种控制远程设备进行网络取证的方法、系统及存储介质
Fu et al. Security threats to Hadoop: data leakage attacks and investigation
US10587652B2 (en) Generating false data for suspicious users
CN113177205B (zh) 一种恶意应用检测系统及方法
Mishra et al. Cloud forensics: State-of-the-art and research challenges
WO2021046637A1 (en) Methods and systems for data self-protection
CN113132318A (zh) 面向配电自动化系统主站信息安全的主动防御方法及系统
CN110049028A (zh) 监控域控管理员的方法、装置、计算机设备及存储介质
US20190018751A1 (en) Digital Asset Tracking System And Method
US11595193B2 (en) Secure data storage for anonymized contact tracing
Wongthai et al. Logging solutions to mitigate risks associated with threats in infrastructure as a service cloud
CN108418815A (zh) 用户虚拟机数据访问证据收集方法及系统
CN109145536A (zh) 一种网页防篡改方法及装置
Wu et al. Public cloud security protection research
Xing Design of a network security audit system based on log data mining
CN110263008A (zh) 终端离线日志管理系统、方法、设备及存储介质
CN111931218A (zh) 一种用于客户端数据安全防护装置和防护方法
Hemdan et al. Exploring digital forensic investigation issues for cyber crimes in cloud computing environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180817

RJ01 Rejection of invention patent application after publication