CN109688139A - 云平台安全检测系统 - Google Patents
云平台安全检测系统 Download PDFInfo
- Publication number
- CN109688139A CN109688139A CN201811614048.6A CN201811614048A CN109688139A CN 109688139 A CN109688139 A CN 109688139A CN 201811614048 A CN201811614048 A CN 201811614048A CN 109688139 A CN109688139 A CN 109688139A
- Authority
- CN
- China
- Prior art keywords
- data
- submodule
- module
- test
- cloud platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明涉及信息安全技术领域,提供了一种云平台安全检测系统,旨在提高云平台面对攻击的抵御能力。所述云平台安全检测系统包括网站服务模块、交换模块和若干检测子系统;其中,所述网站服务模块用于接收测试请求,并将所述测试请求传递给交换模块;所述交换模块用于根据所述测试请求的类型,将所述测试请求转发给相应的检测子系统;每个所述检测子系统包括测试模块和数据汇总模块,所述测试模块用于提供测试功能,所述数据汇总模块用于生成测试报告,并将所述测试报告反馈给所述交换模块;其中,所述交换模块还用于将所述测试报告转发给所述网站服务模块;所述网站服务模块还用于接收所述交换模块反馈的所述测试报告,并展示。
Description
技术领域
本发明涉及信息安全技术领域,具体而言,涉及一种云平台安全检测系统。
背景技术
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术――“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。随着云计算的发展,集中管理的云计算中心容易成为黑客攻击的重点目标。由于系统的巨大规模以及前所未有的开放性与复杂性,其安全性面临着比以往更为严峻的考验。
发明内容
有鉴于此,本发明的目的在于提供一种云平台安全检测系统,基于所述检测系统,可以为云平台安全性提供检测方法,提高云平台面对攻击的抵御能力。
为了实现上述目的,本发明提供以下技术方案:
一种云平台安全检测系统,包括:
网站服务模块,用于接收测试请求,并将所述测试请求传递给交换模块;
所述交换模块,用于接收所述测试请求,并根据所述测试请求的类型,将所述测试请求转发给相应的检测子系统;以及,
若干所述检测子系统,每个所述检测子系统包括测试模块和数据汇总模块,所述测试模块用于提供测试功能,所述数据汇总模块用于生成测试报告,并将所述测试报告反馈给所述交换模块;
其中,所述交换模块还用于接收所述检测子系统反馈的所述测试报告,并将所述测试报告转发给所述网站服务模块;所述网站服务模块还用于接收所述交换模块反馈的所述测试报告,并展示。
本技术方案中,所述检测系统为云平台提供了安全性检测方法,所述检测系统涉及数据隔离安全性检测、数据加密安全性检测和漏洞扫描安全性检测等,检测涉及的范围较宽,检测的全面性更高,提高了云平台面对攻击的抵御能力。
作为上述技术方案的优选,若干所述检测子系统包括数据隔离检测子系统、数据加密检测子系统和漏洞扫描子系统。
作为上述技术方案的优选,所述数据隔离检测子系统的测试模块包括虚拟磁盘隔离测试模块、虚拟网卡隔离测试模块以及虚拟机故障隔离测试模块中的至少一种。
作为上述技术方案的优选,所述虚拟磁盘隔离测试模块包括:
数据旁路子模块;
数据持久化子模块;以及,
数据分析子模块;
其中,所述数据旁路子模块和数据持久化子模块均工作于QEMU模拟处理器中,所述数据分析子模块工作于宿主机后端;所述数据旁路子模块用于以virtio环形缓冲区为旁路点,以来宾操作系统调用virtqueue API中的kick函数之后为旁路时间,旁路出virtio缓冲池中的磁盘数据信息,并将所述磁盘数据信息传递给所述数据持久化子模块;所述数据持久化子模块用于接收所述磁盘数据信息,并将所述磁盘数据信息保存至宿主机硬盘中;所述数据分析子模块用于分析所述磁盘数据信息。
作为上述技术方案的优选,所述虚拟网卡隔离测试模块包括:
数据旁路子模块;
数据持久化子模块;以及,
HTTP数据解析子模块;
其中,所述数据旁路子模块和数据持久化子模块均工作于宿主机内核模块的vhost_net驱动模块中,所述HTTP数据解析子模块工作于宿主机用户空间;所述数据旁路子模块用于在vhost_net驱动模块读取vring缓冲区数据之前将vring缓冲区数据复制,并将所述vring缓冲区数据传递给所述数据持久化子模块;所述数据持久化子模块用于接收所述vring缓冲区数据,并通过操作内核IO读写函数将所述vring缓冲区数据转移到应用层,保存在宿主机磁盘中;所述HTTP数据解析子模块用于解析保存在宿主机磁盘中的所述vring缓冲区数据,从中筛选HTTP数据包,并解析HTTP协议,再还原成html网页。
作为上述技术方案的优选,所述虚拟机故障隔离测试模块包括:
批处理子模块;以及,
Libvirt调用子模块;
其中,所述批处理子模块用于构造蓝屏批处理文件,并根据手动输入信息以调用所述蓝屏批处理文件,从而触发测试条件;所述Libvirt调用子模块用于当测试条件被触发后,通过上层函数bluescreen_scan()以调用下层函数libvirt_memory(),从而调用libvirt的virth命令而获取运行状态中的虚拟机的内存信息,并将所述内存信息返回给上层函数bluescreen_scan()。
作为上述技术方案的优选,所述数据加密检测子系统的测试模块包括Engine服务器与VDSM间通信加密测试模块、Engine服务器云平台管理协议通信加密测试模块以及Engine服务器与LDAP之间通信加密测试模块中的至少一种。
作为上述技术方案的优选,所述Engine服务器与VDSM间通信加密测试模块包括:
数据包截取子模块;以及,
规则匹配子模块;
其中,所述数据包截取子模块用于在半虚拟化管理程序hypervisor上监听VDSM的54321端口,并截取客户端发来的数据包;所述规则匹配子模块用于从所述数据包中截取出相应的数据段内容,并对数据段内容进行规则匹配。
作为上述技术方案的优选,所述Engine服务器云平台管理协议通信加密测试模块包括:
数据包截取子模块;以及,
加密标志位查找子模块;
其中,所述数据包截取模块用于在半虚拟化管理程序hypervisor上监听node的22端口,当ovirt-engine中创建虚拟机时,截取ovirt-engine访问主机的数据包;所述加密标志位查找子模块用于查找截取数据包中的数据是否具有加密标志位信息。
作为上述技术方案的优选,所述Engine服务器与LDAP之间通信加密测试模块包括:
数据流抓取子模块;以及,
加密标志位查找子模块;
其中,所述数据流抓取子模块监控LDAP服务器端口映射和IP,并抓取相应的数据流;所述加密标志位查找子模块用于查找数据流中是否有加密标志位,或者数据流是否存在明文传输现象。
与现有技术相比,本发明具有以有益效果:
所述检测系统为云平台提供了安全性检测方法,所述检测系统涉及数据隔离安全性检测、数据加密安全性检测和漏洞扫描安全性检测等,检测涉及的范围较宽,检测的全面性更高,提高了云平台面对攻击的抵御能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简要介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关附图。
图1所示为实施例中提供的云平台安全检测系统的结构示意图。
图2所示为实施例中提供的云平台安全检测系统的又一种结构示意图。
图3所示为实施例中所述的虚拟磁盘隔离测试模块的结构示意图。
图4所示为实施例中所述的虚拟网卡隔离测试模块的结构示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚完整的描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。基于本发明的实施例,本领域技术人员在没有创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
请参阅图1所示,本实施例提供了一种云平台安全检测系统,所述检测系统主要包括网站服务模块、交换模块和若干检测子系统。
其中,所述网站服务模块用于接收测试请求,并将所述测试请求传递给交换模块;所述交换模块用于接收所述测试请求,并根据所述测试请求的类型,将所述测试请求转发给相应的检测子系统;每个所述检测子系统包括测试模块和数据汇总模块,所述测试模块用于提供测试功能,所述数据汇总模块用于生成测试报告,并将所述测试报告反馈给所述交换模块。
其中,所述交换模块还用于接收所述检测子系统反馈的所述测试报告,并将所述测试报告转发给所述网站服务模块;所述网站服务模块还用于接收所述交换模块反馈的所述测试报告,并展示。
具体的,请参阅图2所示,所述云平台安全检测系统可细分为四层,即图2所示的web service层、switch层、engine_ta/node_ta层,以及检测子系统层。其中,web service层对应网站服务模块,switch层对应交换模块,engine_ta/node_ta层和检测子系统层对应若干检测子系统。所示switch层与engine_ta/node_ta层之间采用Master-Slave结构,即唯一一个Master负责管理和控制所有Slave并负责尝试与数据库沟通,Slave负责自己的安全测试与报告,switch层对应为Master,engine_ta/node_ta层对应为Slave,engine_ta/node_ta层中含有switch层的代理。Web后端想要调用测试子系统,不能直接与代理通信,必须委托switch层来实现对代理的控制,因为只有Master才知道自己的Slave在哪里以及哪个Slave提供这种服务。switch层使用restful命令来与engine_ta/node_ta层通讯。这些restful命令都是基于HTTP协议,相当于HTTP的载荷。调用方式跟普通的HTTP是一样的,共有GET、POST、PUT、DELETE这四种。
更具体的,网站服务模块可基于flask框架,其内含一个switch client模块来与switch层的switch server交互,当用户发起测试请求时,switch client首先找到switchserver,只有switch server知道测试请求对应的服务应该在哪台主机上运行,switchserver将请求信息转发给engine_ta/node_ta层对应的代理,代理完成测试后将结果返回给switch server,由switch server通知web测试完成。
工作时,首先启动switch server,switch server启动后第一步先读取配置文件即switch_server.conf,该配置文件包含以下信息:
switch server根据配置文件做必要的设置后,会注册API_MAP。注册API_MAP的过程就是注册restful api接口的过程,switchserver通过restful api来和其它节点通信。启动时注册的资源及路径列表如下:
restful路径 | 资源类 | 说明 |
switch/version | Version | 获取或设置版本信息 |
switch/node | Node | 节点列表信息 |
switch/node/<string:ip> | NodeID | 指定节点信息 |
switch/target | Target | 指定执行测试模块的主机 |
switch/servtag | Servtag | 测试服务标识 |
switch/task | Task | 测试任务 |
switch/report | Report | 测试报告信息 |
switch/global | Global | 全局变量信息 |
switch server注册这些资源后继续监听8083端口,接收并相应传送来的restful信息。
当engine_ta/node_ta层启动后,首先调用switch server的restful api注册自己,然后解析自己的配置文件(与switch server方式相同),最后向switch server注册自己的服务(如数据隔离检测、数据加密检测等),engine_ta和node_ta继续监听8085端口,通过restful api与switch server 进行信息交互。
基于上述检测系统,本实施例提供以下具体可实施方式的举例。
例如,若干所述检测子系统包括数据隔离检测子系统、数据加密检测子系统和漏洞扫描子系统。
例如,所述数据隔离检测子系统的测试模块可具体包括虚拟磁盘隔离测试模块、虚拟网卡隔离测试模块以及虚拟机故障隔离测试模块中的至少一种。
例如,请参阅图3所示,所述虚拟磁盘隔离测试模块可包括数据旁路子模块、数据持久化子模块和数据分析子模块。其中,所述数据旁路子模块和数据持久化子模块均工作于QEMU模拟处理器中,所述数据分析子模块工作于宿主机后端。所述数据旁路子模块用于以virtio环形缓冲区为旁路点,以来宾操作系统调用virtqueue API中的kick函数之后为旁路时间,旁路出virtio缓冲池中的磁盘数据信息,并将所述磁盘数据信息传递给所述数据持久化子模块;所述数据持久化子模块用于接收所述磁盘数据信息,并将所述磁盘数据信息保存至宿主机硬盘中;所述数据分析子模块用于分析所述磁盘数据信息。
本虚拟磁盘隔离测试模块中,所述数据旁路子模块以上述位置和时间点作为旁路点进行磁盘数据信息提取,该旁路点对于虚拟队列Virtqueue传输机制而言是合适的安全点,不影响设备功能。所述虚拟队列Virtqueue传输机制是virtio设备传输大块数据的方法,客户机将缓冲区插入虚拟队列Virtqueue中,每个缓冲区都是一个分散聚集数组。
虚拟磁盘隔离检测具体的函数调用过程为:虚拟磁盘隔离测试模块的入口地址在宿主机后端的vdisk.py文件中,入口函数为vdisk(),该函数作为后端模块调用的入口。虚拟机启动时自动调用数据旁路子模块和数据持久化子模块,数据持久化子模块获取的数据由vdisk()分析。数据旁路子模块和数据持久化子模块被打包在qemu-kvm中,数据旁路模块通过操作virtio框架的iovec结构体获取数据。iovec结构体如下:
其中,Iov_base为数据地址,iov_len为数据长度。数据旁路子模块通过缓冲区描述符表拿到的是iovec结构体的集合,即获取了缓冲区的地址;接下来读取缓冲区数据传给数据持久化子模块。数据持久化子模块将调用系统IO,将用户数据保存在宿主机硬盘上。
其中,qemu-kvm解释为:kvm负责cpu虚拟化+内存虚拟化,实现了cpu和内存的虚拟化,但kvm并不能模拟其他设备,还必须有个运行在用户空间的工具才行。于是选择比较成熟的开源虚拟化软件qemu来作为这个工具,qemu模拟IO设备(网卡,磁盘等),对其进行了修改,最后形成了qemu-kvm。
例如,请参阅图4所示,所述虚拟网卡隔离测试模块可具体包括数据旁路子模块、数据持久化子模块和HTTP数据解析子模块。其中,所述数据旁路子模块和数据持久化子模块均工作于宿主机内核模块的vhost_net驱动模块中,所述HTTP数据解析子模块工作于宿主机用户空间。其中,所述数据旁路子模块用于在vhost_net驱动模块读取vring缓冲区数据之前将vring缓冲区数据复制,并将所述vring缓冲区数据传递给所述数据持久化子模块;所述数据持久化子模块用于接收所述vring缓冲区数据,并通过操作内核IO读写函数将所述vring缓冲区数据转移到应用层,保存在宿主机磁盘中;所述HTTP数据解析子模块用于解析保存在宿主机磁盘中的所述vring缓冲区数据,从中筛选HTTP数据包,并解析HTTP协议,再还原成html网页。
具体的,用户使用虚拟机访问网络时,当数据被写入vring缓冲区后,vhost_net驱动模块将读取缓冲区的内容,并将数据传送到宿主机的TCP/IP协议栈中。数据旁路子模块在vhost_net驱动模块读取缓冲区数据之前将缓冲区数据复制,并发送给数据持久化子模块。
数据旁路子模块读取缓冲区数据方式与虚拟磁盘驱动读取缓冲区的方式类似,通过描述符表获取各个缓冲区的描述符,描述符中记录缓冲区的物理地址,数据长度等信息。调用vhost_net驱动模块的size_t iov_from_buf()方法将缓冲区转换为iovec的数据结构。读取iovec数据结构中保存的用户数据,将它们传送给数据持久化子模块,数据持久化子模块通过操作内核IO读写函数将数据转移到应用层,保存在宿主机磁盘中。
在应用层,用户测试虚拟网卡驱动时,调用HTTP数据解析子模块,该模块的主要任务是解析保存在文件中的数据,由于这些数据中包含网络各种协议的数据如ICMP,HTTP等,HTTP解析模块的任务筛选HTTP数据包,并解析HTTP协议,将这些数据还原成用户容易识别的html网页。数据的解析和筛选工作委托给第三方工具Tshark,HTTP解析模块首先使用linux终端下的text2pcap命令将数据持久化子模块保存的文件转化为pcap格式文件,pcap格式是常用的数据包存储格式,能直接被tshark解析。然后调用tshark命令解析并筛选得到的pcap文件。
例如,所述虚拟机故障隔离测试模块可包括批处理子模块和Libvirt调用子模块。其中,所述批处理子模块用于构造蓝屏批处理文件,并根据手动输入信息以调用所述蓝屏批处理文件,从而触发测试条件;所述Libvirt调用子模块用于当测试条件被触发后,通过上层函数bluescreen_scan()以调用下层函数libvirt_memory(),从而调用libvirt的virth命令而获取运行状态中的虚拟机的内存信息,并将所述内存信息返回给上层函数bluescreen_scan()。
具体的,基于所述测试模块,虚拟机故障隔离检测的方法包括以下步骤:前端测试请求;手动启动虚拟机中的批处理文件使虚拟机蓝屏;调用libvirt接口监控虚拟机内存信息。更具体的,当接收到手动启动虚拟机蓝屏的命令后,调用python的os模块,切换当前目录至蓝屏批处理文件夹并调用该批处理文件,从而使虚拟机蓝屏。
其中,python的os模块解释为:在自动化测试中,经常需要查找操作文件,比如说查找配置文件(从而读取配置文件的信息),查找测试报告(从而发送测试报告邮件),经常要对大量文件和大量路径进行操作,这就依赖于os模块。所述Libvirt解释为用于管理虚拟化平台的开源的API,后台程序和管理工具。它可以用于管理KVM、Xen、VMware ESX,QEMU和其他虚拟化技术。这些API在云计算的解决方案中广泛使用。
函数调用过程:用户点击测试请求后,由web负责调用测试函数。该指标测试入口地址为agent_bluescreen_scan.py中的bluescreen_scan()函数,该函数负责响应调用下层测试函数,将测试结果返回给web。下层函数主要是libvirt_memory()函数,该函数功能为登录到libvirt,调用libvirt的virth命令获取运行状态中的虚拟机的内存信息,将内存信息返回给上层函数。
例如,所述数据加密检测子系统的测试模块可具体包括Engine服务器与VDSM间通信加密测试模块、Engine服务器云平台管理协议通信加密测试模块以及Engine服务器与LDAP之间通信加密测试模块中的至少一种。
例如,所述Engine服务器与VDSM间通信加密测试模块可包括数据包截取模块和规则匹配子模块。其中,所述数据包截取子模块用于在半虚拟化管理程序hypervisor上监听VDSM的54321端口,并截取客户端发来的数据包;所述规则匹配子模块用于从所述数据包中截取出相应的数据段内容,并对数据段内容进行规则匹配。
其中,VDSM解释为虚拟桌面服务器管理器Virtual Desktop Server Manager。
基于上述测试模块,Engine服务器与VDSM间通信加密检测方法包括以下步骤:通过在hypervisor上监听vdsm的54321端口,使用wireshark工具截取客户端发来的数据包,根据规则截取出相应的数据段内容。对数据段内容进行规则匹配,是否可以匹配出某些明文字符,不能匹配成功,则表示解密成功。如果可以匹配出明文字符,则表示Engine服务器与VDSM是不加密的。
例如,所述Engine服务器云平台管理协议通信加密测试模块可包括数据包截取子模块和加密标志位查找子模块。其中,所述数据包截取模块用于在半虚拟化管理程序hypervisor上监听node的22端口,当ovirt-engine中创建虚拟机时,截取ovirt-engine访问主机的数据包;所述加密标志位查找子模块用于查找截取数据包中的数据是否具有加密标志位信息。
基于上述测试模块,Engine服务器云平台管理协议通信加密检测方法包括以下步骤:在半虚拟化管理程序hypervisor上监听node的22号端口;在ovirt-engine中创建虚拟机时,ovirt-engine通过使用自己的公钥基于SSH协议访问主机,此时使用wireshark工具截取数据包,查找数据的加密标志位信息,发现加密标志位则表示加密成功。
例如,所述Engine服务器与LDAP之间通信加密测试模块包括数据流抓取子模块和加密标志位查找子模块。其中,所述数据流抓取子模块监控LDAP服务器端口映射和IP,并抓取相应的数据流;所述加密标志位查找子模块用于查找数据流中是否有加密标志位,或者数据流是否存在明文传输现象。
其中,LDAP解释为:轻量目录访问协议,英文全称是Lightweight DirectoryAccess Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
基于上述测试模块,Engine服务器与LDAP之间通信加密检测方法包括以下步骤:在用户登录的过程中,监控LDAP端口映射和IP,抓取相应的数据流,检测之间的数据流中的数据信息,查看是否存在明文传输的现象或者是加密标志位,来检测是否进行了加密。
例如,所述漏洞扫描子系统包括漏洞扫描模块,所述漏洞扫描模块用于针对kvm、vdsm、libvirt、ovirt、qemu等产品的已知漏洞进行检测,覆盖漏洞库包括cve漏洞信息库、oval等;并用于将cve漏洞信息库中的漏洞ID、发布时间、严重等级、详细描述等信息,保存在本地数据库中(Ovirt_flaw_scan),并覆盖oval漏洞库,对其漏洞信息进行分类筛选。
本地数据库采用Sqlite,对应云平台测试系统漏洞信息表格式和内容设计如下:
检测kvm、qemu、libvirt、ovirt和qemu的产品版本号,匹配漏洞库中对应的产品及其版本号的漏洞信息,呈现给web界面。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员,在本发明揭露的技术范围内,可轻易想到变化或替换,都应该涵盖在本发明的保护范围内。
Claims (10)
1.一种云平台安全检测系统,其特征在于,包括:
网站服务模块,用于接收测试请求,并将所述测试请求传递给交换模块;
所述交换模块,用于接收所述测试请求,并根据所述测试请求的类型,将所述测试请求转发给相应的检测子系统;以及,
若干所述检测子系统,每个所述检测子系统包括测试模块和数据汇总模块,所述测试模块用于提供测试功能,所述数据汇总模块用于生成测试报告,并将所述测试报告反馈给所述交换模块;
其中,所述交换模块还用于接收所述检测子系统反馈的所述测试报告,并将所述测试报告转发给所述网站服务模块;所述网站服务模块还用于接收所述交换模块反馈的所述测试报告,并展示。
2.根据权利要求1所述的云平台安全检测系统,其特征在于,若干所述检测子系统包括数据隔离检测子系统、数据加密检测子系统和漏洞扫描子系统。
3.根据权利要求2所述的云平台安全检测系统,其特征在于,所述数据隔离检测子系统的测试模块包括虚拟磁盘隔离测试模块、虚拟网卡隔离测试模块以及虚拟机故障隔离测试模块中的至少一种。
4.根据权利要求3所述的云平台安全检测系统,其特征在于,所述虚拟磁盘隔离测试模块包括:
数据旁路子模块;
数据持久化子模块;以及,
数据分析子模块;
其中,所述数据旁路子模块和数据持久化子模块均工作于QEMU模拟处理器中,所述数据分析子模块工作于宿主机后端;所述数据旁路子模块用于以virtio环形缓冲区为旁路点,以来宾操作系统调用virtqueue API中的kick函数之后为旁路时间,旁路出virtio缓冲池中的磁盘数据信息,并将所述磁盘数据信息传递给所述数据持久化子模块;所述数据持久化子模块用于接收所述磁盘数据信息,并将所述磁盘数据信息保存至宿主机硬盘中;所述数据分析子模块用于分析所述磁盘数据信息。
5.根据权利要求3所述的云平台安全检测系统,其特征在于,所述虚拟网卡隔离测试模块包括:
数据旁路子模块;
数据持久化子模块;以及,
HTTP数据解析子模块;
其中,所述数据旁路子模块和数据持久化子模块均工作于宿主机内核模块的vhost_net驱动模块中,所述HTTP数据解析子模块工作于宿主机用户空间;所述数据旁路子模块用于在vhost_net驱动模块读取vring缓冲区数据之前将vring缓冲区数据复制,并将所述vring缓冲区数据传递给所述数据持久化子模块;所述数据持久化子模块用于接收所述vring缓冲区数据,并通过操作内核IO读写函数将所述vring缓冲区数据转移到应用层,保存在宿主机磁盘中;所述HTTP数据解析子模块用于解析保存在宿主机磁盘中的所述vring缓冲区数据,从中筛选HTTP数据包,并解析HTTP协议,再还原成html网页。
6.根据权利要求3所述的云平台安全检测系统,其特征在于,所述虚拟机故障隔离测试模块包括:
批处理子模块;以及,
Libvirt调用子模块;
其中,所述批处理子模块用于构造蓝屏批处理文件,并根据手动输入信息以调用所述蓝屏批处理文件,从而触发测试条件;所述Libvirt调用子模块用于当测试条件被触发后,通过上层函数bluescreen_scan()以调用下层函数libvirt_memory(),从而调用libvirt的virth命令而获取运行状态中的虚拟机的内存信息,并将所述内存信息返回给上层函数bluescreen_scan()。
7.根据权利要求2所述的云平台安全检测系统,其特征在于,所述数据加密检测子系统的测试模块包括Engine服务器与VDSM间通信加密测试模块、Engine服务器云平台管理协议通信加密测试模块以及Engine服务器与LDAP之间通信加密测试模块中的至少一种。
8.根据权利要求7所述的云平台安全检测系统,其特征在于,所述Engine服务器与VDSM间通信加密测试模块包括:
数据包截取子模块;以及,
规则匹配子模块;
其中,所述数据包截取子模块用于在半虚拟化管理程序hypervisor上监听VDSM的54321端口,并截取客户端发来的数据包;所述规则匹配子模块用于从所述数据包中截取出相应的数据段内容,并对数据段内容进行规则匹配。
9.根据权利要求7所述的云平台安全检测系统,其特征在于,所述Engine服务器云平台管理协议通信加密测试模块包括:
数据包截取子模块;以及,
加密标志位查找子模块;
其中,所述数据包截取模块用于在半虚拟化管理程序hypervisor上监听node的22端口,当ovirt-engine中创建虚拟机时,截取ovirt-engine访问主机的数据包;所述加密标志位查找子模块用于查找截取数据包中的数据是否具有加密标志位信息。
10.根据权利要求7所述的云平台安全检查系统,其特征在于,所述Engine服务器与LDAP之间通信加密测试模块包括:
数据流抓取子模块;以及,
加密标志位查找子模块;
其中,所述数据流抓取子模块监控LDAP服务器端口映射和IP,并抓取相应的数据流;所述加密标志位查找子模块用于查找数据流中是否有加密标志位,或者数据流是否存在明文传输现象。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811614048.6A CN109688139B (zh) | 2018-12-27 | 2018-12-27 | 云平台安全检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811614048.6A CN109688139B (zh) | 2018-12-27 | 2018-12-27 | 云平台安全检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109688139A true CN109688139A (zh) | 2019-04-26 |
CN109688139B CN109688139B (zh) | 2021-08-31 |
Family
ID=66190640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811614048.6A Active CN109688139B (zh) | 2018-12-27 | 2018-12-27 | 云平台安全检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109688139B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111078529A (zh) * | 2019-11-15 | 2020-04-28 | 汉海信息技术(上海)有限公司 | 客户端写入模块测试方法、装置、电子设备 |
CN114285627A (zh) * | 2021-12-21 | 2022-04-05 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053873A (zh) * | 2011-01-13 | 2011-05-11 | 浙江大学 | 一种缓存感知的多核处理器虚拟机故障隔离保证方法 |
CN102510393A (zh) * | 2011-10-13 | 2012-06-20 | 爱德森(厦门)电子有限公司 | 一种基于云计算的无损检测系统 |
CN102801585A (zh) * | 2012-08-24 | 2012-11-28 | 上海和辰信息技术有限公司 | 基于云计算网络环境的信息监控系统与方法 |
CN105184154A (zh) * | 2015-09-15 | 2015-12-23 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码运算服务的系统和方法 |
CN106972970A (zh) * | 2017-03-31 | 2017-07-21 | 山东超越数控电子有限公司 | 一种避免oVirt云平台管理节点单点故障的方法 |
CN107959689A (zh) * | 2018-01-10 | 2018-04-24 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
CN108632360A (zh) * | 2018-04-12 | 2018-10-09 | 北京百悟科技有限公司 | 一种虚拟云终端和虚拟云终端服务器 |
US20180329788A1 (en) * | 2017-05-09 | 2018-11-15 | Microsoft Technology Licensing, Llc | Cloud Architecture for Automated Testing |
-
2018
- 2018-12-27 CN CN201811614048.6A patent/CN109688139B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053873A (zh) * | 2011-01-13 | 2011-05-11 | 浙江大学 | 一种缓存感知的多核处理器虚拟机故障隔离保证方法 |
CN102510393A (zh) * | 2011-10-13 | 2012-06-20 | 爱德森(厦门)电子有限公司 | 一种基于云计算的无损检测系统 |
CN102801585A (zh) * | 2012-08-24 | 2012-11-28 | 上海和辰信息技术有限公司 | 基于云计算网络环境的信息监控系统与方法 |
CN105184154A (zh) * | 2015-09-15 | 2015-12-23 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码运算服务的系统和方法 |
CN106972970A (zh) * | 2017-03-31 | 2017-07-21 | 山东超越数控电子有限公司 | 一种避免oVirt云平台管理节点单点故障的方法 |
US20180329788A1 (en) * | 2017-05-09 | 2018-11-15 | Microsoft Technology Licensing, Llc | Cloud Architecture for Automated Testing |
CN107959689A (zh) * | 2018-01-10 | 2018-04-24 | 北京工业大学 | 一种云平台租户网络隔离测试方法 |
CN108632360A (zh) * | 2018-04-12 | 2018-10-09 | 北京百悟科技有限公司 | 一种虚拟云终端和虚拟云终端服务器 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111078529A (zh) * | 2019-11-15 | 2020-04-28 | 汉海信息技术(上海)有限公司 | 客户端写入模块测试方法、装置、电子设备 |
CN111078529B (zh) * | 2019-11-15 | 2023-07-14 | 汉海信息技术(上海)有限公司 | 客户端写入模块测试方法、装置、电子设备 |
CN114285627A (zh) * | 2021-12-21 | 2022-04-05 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
CN114285627B (zh) * | 2021-12-21 | 2023-12-22 | 安天科技集团股份有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109688139B (zh) | 2021-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6526895B2 (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
WO2021017279A1 (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
US8001422B1 (en) | Shadow testing services | |
AU2014254277B2 (en) | A framework for coordination between endpoint security and network security services | |
US8667147B2 (en) | Monitoring related content requests | |
EP1576487B1 (en) | Web server hit multiplier and redirector | |
US9489381B1 (en) | Structured document customizable comparison systems and methods | |
US10567227B2 (en) | Production software application performance and resiliency testing | |
CN109639705A (zh) | 云平台安全检测方法 | |
US11838312B2 (en) | Merging duplicate items identified by a vulnerability analysis | |
US11880458B2 (en) | Malware detection based on user interactions | |
CN107122224A (zh) | 一种数据传输方法、虚拟机和宿主机 | |
CN109688139A (zh) | 云平台安全检测系统 | |
Tabiban et al. | Catching falling dominoes: cloud management-level provenance analysis with application to OpenStack | |
Adachi et al. | Malware analysis system using process-level virtualization | |
CN114780398A (zh) | 面向Cisco IOS-XE的Web命令注入漏洞检测方法 | |
Dietz et al. | Slipstream: Automatic interprocess communication optimization | |
US20240154992A1 (en) | Event-driven collection and monitoring of resources in a cloud computing environment | |
US20230418638A1 (en) | Log level management portal for virtual desktop infrastructure (vdi) components | |
de Oliveira Pinho | OrchRecon A Distributed System for Reconnaissance and Vulnerability Scanning | |
Sharifi et al. | Alamut: a high‐performance network intrusion detection system in support of virtualized environments | |
Gustafsson et al. | Combining Virtual Machine Introspection with Network-Based Intrusion Detection Systems | |
Vaagland | URL Crawling & classification system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |