CN112702365B - 基于虚拟云的数据安全态势监测方法、系统及设备 - Google Patents
基于虚拟云的数据安全态势监测方法、系统及设备 Download PDFInfo
- Publication number
- CN112702365B CN112702365B CN202110315383.1A CN202110315383A CN112702365B CN 112702365 B CN112702365 B CN 112702365B CN 202110315383 A CN202110315383 A CN 202110315383A CN 112702365 B CN112702365 B CN 112702365B
- Authority
- CN
- China
- Prior art keywords
- virtual cloud
- operation information
- address beacon
- beacon
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于虚拟云的数据安全态势监测方法、系统及设备,该方法包括:通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;对所述地址信标以及对应的虚拟云主机的数据进行签名;根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。本发明实施例能够有效解决虚拟云发生云空间漂移时如何准确评估风险,防止数据泄露等安全性问题。
Description
技术领域
本发明涉及云计算技术领域,尤指一种基于虚拟云的数据安全态势监测方法、系统及设备。
背景技术
近年来随着虚拟云技术的不断发展,私有云、异构云技术的迅速发展,国家对政企云安全的重视程度越来越高,接入政企私有云的单位剧增,部署系统越发复杂,云主机数量更是以惊人的速度增长,给云安全带来了严重的安全隐患,同时网络安全时间层出不穷,使得计算机网络面临严峻的安全问题。
虚拟云应用过程中,数据识别和风险管理成为拥有私有云政企面临的巨大挑战。尤其在云服务发生云空间漂移时,可能造成地址非法读取,进而导致数据泄露等问题,因此如何全方位了解云主机中的数据是否存在非法读取的风险,评估风险在虚拟云中的影响分布,有效解决风险隐患是一个亟需解决的问题。
发明内容
本发明实施例提供一种基于虚拟云的数据安全态势监测方法、系统及设备,用以解决现有技术中存在虚拟云发生云空间漂移时如何准确评估风险,防止数据泄露等安全性问题。
一方面,本发明实施例提供一种基于虚拟云的数据安全态势监测方法,所述方法,包括:
通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;
对所述地址信标以及对应的虚拟云主机的数据进行签名;
根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;
若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。
可选地,所述通过采集待检测的虚拟云的运行信息建立所述虚拟云的地址信标,包括:
通过预先安装的探针采集所述虚拟云主机的第一运行信息;
按照网域实时采集部署有所述虚拟云主机的各网域中的物理机的第二运行信息;
依据所述第一运行信息和第二运行信息对所述虚拟云建立地址信标;
其中,所述地址信标包括所述第一运行信息与所述第二运行信息的对应关系。
可选地,所述第一运行信息,包括:虚拟云主机的中央处理器CPU、内存以及磁盘的运行信息;所述第二运行信息,包括:物理服务器的CPU、内存以及磁盘的运行信息。
可选地,所述根据所述地址信标对所述虚拟云进行监测,具体包括:
依据所述虚拟云的历史系统日志、部署所述虚拟云的物理机的历史运行信息,得到所述虚拟云对应的异常状态;
参照所述异常状态,对所述虚拟云的地址信标进行监测。
另一方面,本发明实施例还提供一种基于虚拟云的数据安全态势监测系统,所述系统,包括:建立单元、签名验证单元、监测单元、处理单元;其中,
所述建立单元,用于通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;
所述签名验证单元,用于对所述地址信标以及对应的虚拟云主机的数据进行签名;
所述监测单元,用于根据所述地址信标对所述虚拟云进行监测;
所述签名验证单元,还用于当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;
所述处理单元,用于若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。
可选地,所述建立单元,通过采集待检测的虚拟云的运行信息建立所述虚拟云的地址信标时,具体用于:
通过预先安装的探针采集所述虚拟云主机的第一运行信息;按照网域实时采集部署有所述虚拟云主机的各网域中的物理机的第二运行信息;依据所述第一运行信息和第二运行信息对所述虚拟云建立地址信标;
所述地址信标包括所述第一运行信息与所述第二运行信息的对应关系。
可选地,所述第一运行信息,包括:所述虚拟云主机的中央处理器CPU、内存以及磁盘的运行信息;所述第二运行信息,包括:所述物理服务器的CPU、内存以及磁盘的运行信息。
可选地,所述监测单元,根据所述地址信标对所述虚拟云进行监测时,具体用于:
依据所述虚拟云的历史系统日志、部署所述虚拟云的物理机的历史运行信息,得到所述虚拟云对应的异常状态;参照所述异常状态,对所述虚拟云的地址信标进行监测。
再一方面,本发明实施例还提供一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现如上所述的基于虚拟云的数据安全态势监测方法步骤。
最后一方面,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的基于虚拟云的数据安全态势监测方法步骤。
本发明有益效果如下:
本发明实施例提供的基于虚拟云的数据安全态势监测方法、系统及设备,通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;对所述地址信标以及对应的虚拟云主机的数据进行签名;根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。本发明通过依靠高性能数据采集技术和高性能数据包处理技术,建立所述虚拟云的地址信标,通过对该地址信标进行签名来保证虚拟云所存储数据的唯一性和正确性,并通过根据该地址信标对虚拟云进行监测,若监测到满足越界条件的第一地址信标,则首先通过签名验证其合法性,若验证不通过,则直接防止了数据泄露的风险;若此时验证通过,则会进一步通过预设数据泄露模型对该第一地址信标进行判定,当确定该第一地址信标对应的虚拟云主机存在数据泄露风险时,会直接独断该虚拟云主机数据的读取来防止数据泄露,有效解决了风险隐患,提高了虚拟云的安全性能。
附图说明
图1为本发明实施例中基于虚拟云的数据安全态势监测方法的流程图;
图2为本发明实施例中基于虚拟云的数据安全态势监测系统的结构示意图;
图3为本申请示出的一种电子设备的结构示意图。
具体实施方式
针对现有技术中存在的虚拟云发生云空间漂移时如何准确评估风险,防止数据泄露等安全性的问题,本发明实施例提供的基于虚拟云数据安全态势监测方法,通过对虚拟云建立地址信标,通过根据地址信标对虚拟云进行监测,当监测到满足预设越界条件的地址信标(为表述方便,也称为越界信标)时,会对该些越界信标进行进一步判断分析是否存在数据泄露的风险,提高了虚拟云的安全性。本发明方法的流程如图1所示,执行步骤如下:
步骤101,通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;
这里,待监测的虚拟云的运行信息可以包括虚拟云主机和部署有该虚拟云主机的物理机的运行信息。
步骤102,对所述地址信标以及对应的虚拟云主机的数据进行签名;
这里,为了防止数据被篡改、确保数据的真实性,会对地址信标以及虚拟云主机的数据签名处理,应当理解,本发明实施例并不对所利用的签名技术进行限定。具体地,可以通过预先配置探针,通过探针采集获取数据时,对该数据以及存储该数据的虚拟云主机所对应的地址坐标进行签名,来确保数据的准确唯一,进一步增加安全性。
步骤103,根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;
这里,所述越界条件,可以根据虚拟云主机的历史运行的日志数据等,设置的一个阈值条件,当地址信标满足该越界条件,则可以确定该地址信标为越界信标,可能会存在数据泄露的风险。应当理解,存在越界信标,不代表一定会发生数据泄露;但是若发生数据泄露,则肯定存在越界信标;因此,本发明实施例通过监测出是否存在越界信标来缩小是否发生数据泄露的判断范围,可进一步提高虚拟云安全的监测效率。
步骤104,若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。
本步骤中,当监测到第一地址信标为越界信标时,需要对越界信标进行进一步检测,来确定是否存在数据泄露的风险。具体地,通过预先设立数据泄露模型对越界信标进行进一步检测,这里,所述数据泄露模型,可以为结合虚拟云提供商的云平台提供的虚拟云主机和对应物理机变化趋势分析建模得到,例如为通过虚拟云主机和物理机的历史运行信息、系统日志、已出现的异常情况等等,来实现与云平台的联动管理。
优选地,步骤101中所述通过采集待检测的虚拟云的运行信息建立所述虚拟云的地址信标,包括:
通过预先安装的探针采集所述虚拟云主机的第一运行信息;
按照网域实时采集部署有所述虚拟云主机的各网域中的物理机的第二运行信息;
依据所述第一运行信息和第二运行信息对所述虚拟云建立地址信标;
其中,所述地址信标包括所述第一运行信息与所述第二运行信息的对应关系。
优选地,所述第一运行信息,包括:虚拟云主机的中央处理器CPU、内存以及磁盘的运行信息;所述第二运行信息,包括:物理服务器的CPU、内存以及磁盘的运行信息。
优选地,步骤103中所述根据所述地址信标对所述虚拟云进行监测,具体包括:
依据所述虚拟云的历史系统日志、部署所述虚拟云的物理机的历史运行信息,得到所述虚拟云对应的异常状态;
参照所述异常状态,对所述虚拟云的地址信标进行监测。
本发明实施例提供的基于虚拟云数据安全态势监测方法,通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;对所述地址信标以及对应的虚拟云主机的数据进行签名;根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。本发明通过依靠高性能数据采集技术和高性能数据包处理技术,建立所述虚拟云的地址信标,通过对该地址信标进行签名来保证虚拟云所存储数据的唯一性和正确性,并通过根据该地址信标对虚拟云进行监测,若监测到满足越界条件的第一地址信标,则首先通过签名验证其合法性,若验证不通过,则直接防止了数据泄露的风险;若此时验证通过,则会进一步通过预设数据泄露模型对该第一地址信标进行判定,当确定该第一地址信标对应的虚拟云主机存在数据泄露风险时,会直接独断该虚拟云主机数据的读取来防止数据泄露,有效解决了风险隐患,提高了虚拟云的安全性能。
基于同一发明构思,本发明实施例提供一种基于虚拟云数据安全态势监测系统,该系统的结构如图2所示,包括:建立单元21、签名验证单元22、监测单元23、处理单元24;其中,
所述建立单元21,用于通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;这里,待监测的虚拟云的运行信息可以包括虚拟云主机和部署有该虚拟云主机的物理机的运行信息。
所述签名验证单元22,用于对所述地址信标以及对应的虚拟云主机的数据进行签名;这里,为了防止数据被篡改、确保数据的真实性,会对地址信标以及虚拟云主机的数据签名处理,应当理解,本发明实施例并不对所利用的签名技术进行限定。具体地,可以通过预先配置探针,通过探针采集获取数据时,对该数据以及存储该数据的虚拟云主机所对应的地址坐标进行签名,来确保数据的准确唯一,进一步增加安全性。
所述监测单元23,用于根据所述地址信标对所述虚拟云进行监测;这里,所述越界条件,可以根据虚拟云主机的历史运行的日志数据等,设置的一个阈值条件,当地址信标满足该越界条件,则可以确定该地址信标为越界信标,可能会存在数据泄露的风险。应当理解,存在越界信标,不代表一定会发生数据泄露;但是若发生数据泄露,则肯定存在越界信标;因此,本发明实施例通过监测出是否存在越界信标来缩小是否发生数据泄露的判断范围,可进一步提高虚拟云安全的监测效率。
所述签名验证单元22,还用于当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;
所述处理单元24,用于若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。
可选地,所述建立单元21,通过采集待检测的虚拟云的运行信息建立所述虚拟云的地址信标时,具体用于:
通过预先安装的探针采集所述虚拟云主机的第一运行信息;按照网域实时采集部署有所述虚拟云主机的各网域中的物理机的第二运行信息;依据所述第一运行信息和第二运行信息对所述虚拟云建立地址信标;
所述地址信标包括所述第一运行信息与所述第二运行信息的对应关系。
其中,所述第一运行信息,包括:所述虚拟云主机的中央处理器CPU、内存以及磁盘的运行信息;所述第二运行信息,包括:所述物理服务器的CPU、内存以及磁盘的运行信息。
可选地,所述监测单元23,根据所述地址信标对所述虚拟云进行监测时,具体用于:
依据所述虚拟云的历史系统日志、部署所述虚拟云的物理机的历史运行信息,得到所述虚拟云对应的异常状态;参照所述异常状态,对所述虚拟云的地址信标进行监测。
应当理解,本发明实施例提供的基于虚拟云数据安全态势监测系统实现原理及过程与上述图1及所示的实施例类似,在此不再赘述。
本发明实施例提供的基于虚拟云数据安全态势监测方法、系统,通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;对所述地址信标以及对应的虚拟云主机的数据进行签名;根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。本发明通过依靠高性能数据采集技术和高性能数据包处理技术,建立所述虚拟云的地址信标,通过对该地址信标进行签名来保证虚拟云所存储数据的唯一性和正确性,并通过根据该地址信标对虚拟云进行监测,若监测到满足越界条件的第一地址信标,则首先通过签名验证其合法性,若验证不通过,则直接防止了数据泄露的风险;若此时验证通过,则会进一步通过预设数据泄露模型对该第一地址信标进行判定,当确定该第一地址信标对应的虚拟云主机存在数据泄露风险时,会直接独断该虚拟云主机数据的读取来防止数据泄露,有效解决了风险隐患,提高了虚拟云的安全性能。
本申请实施例还提供了一种电子设备,请参见图3所示,包括处理器310、通信接口320、存储器330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。
存储器330,用于存放计算机程序;
处理器310,用于执行存储器330上所存放的程序时,实现上述实施例中任一所述的基于虚拟云数据安全态势监测方法。
通信接口320用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
该方案中,通过依靠高性能数据采集技术和高性能数据包处理技术,建立所述虚拟云的地址信标,通过对该地址信标进行签名来保证虚拟云所存储数据的唯一性和正确性,并通过根据该地址信标对虚拟云进行监测,若监测到满足越界条件的第一地址信标,则首先通过签名验证其合法性,若验证不通过,则直接防止了数据泄露的风险;若此时验证通过,则会进一步通过预设数据泄露模型对该第一地址信标进行判定,当确定该第一地址信标对应的虚拟云主机存在数据泄露风险时,会直接独断该虚拟云主机数据的读取来防止数据泄露,有效解决了风险隐患,提高了虚拟云的安全性能。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的基于虚拟云数据安全态势监测方法。
该方案中,通过依靠高性能数据采集技术和高性能数据包处理技术,建立所述虚拟云的地址信标,通过对该地址信标进行签名来保证虚拟云所存储数据的唯一性和正确性,并通过根据该地址信标对虚拟云进行监测,若监测到满足越界条件的第一地址信标,则首先通过签名验证其合法性,若验证不通过,则直接防止了数据泄露的风险;若此时验证通过,则会进一步通过预设数据泄露模型对该第一地址信标进行判定,当确定该第一地址信标对应的虚拟云主机存在数据泄露风险时,会直接独断该虚拟云主机数据的读取来防止数据泄露,有效解决了风险隐患,提高了虚拟云的安全性能。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如201、202、203等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于虚拟云的数据安全态势监测方法,其特征在于,所述方法,包括:
通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;所述运行信息包括虚拟云主机和部署有所述虚拟云主机的物理机的运行信息;
对所述地址信标以及对应的虚拟云主机的数据进行签名;
根据所述地址信标对所述虚拟云进行监测,当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;
若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。
2.根据权利要求1所述的方法,其特征在于,所述通过采集待检测的虚拟云的运行信息建立所述虚拟云的地址信标,包括:
通过预先安装的探针采集所述虚拟云主机的第一运行信息;
按照网域实时采集部署有所述虚拟云主机的各网域中的物理机的第二运行信息;
依据所述第一运行信息和第二运行信息对所述虚拟云建立地址信标;
其中,所述地址信标包括所述第一运行信息与所述第二运行信息的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述第一运行信息,包括:虚拟云主机的中央处理器CPU、内存以及磁盘的运行信息;所述第二运行信息,包括:物理服务器的CPU、内存以及磁盘的运行信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述地址信标对所述虚拟云进行监测,具体包括:
依据所述虚拟云的历史系统日志和部署所述虚拟云的物理机的历史运行信息,得到所述虚拟云对应的异常状态;
参照所述异常状态,对所述虚拟云的地址信标进行监测。
5.一种基于虚拟云的数据安全态势监测系统,其特征在于,所述系统,包括:建立单元、签名验证单元、监测单元和处理单元;其中,
所述建立单元,用于通过采集待监测的虚拟云的运行信息建立所述虚拟云的地址信标;所述运行信息包括虚拟云主机和部署有所述虚拟云主机的物理机的运行信息;
所述签名验证单元,用于对所述地址信标以及对应的虚拟云主机的数据进行签名;
所述监测单元,用于根据所述地址信标对所述虚拟云进行监测;
所述签名验证单元,还用于当监测到第一地址信标满足预设的越界条件时,则对所述第一地址信标进行签名验证;
所述处理单元,用于若所述第一地址信标签名验证通过且根据预设数据泄露模型确定所述第一地址信标对应的虚拟云主机存在数据泄露风险时,阻断对所述第一地址信标对应的虚拟云主机的数据读取以防止数据泄露。
6.根据权利要求5所述的系统,其特征在于,所述建立单元,通过采集待检测的虚拟云的运行信息建立所述虚拟云的地址信标时,具体用于:
通过预先安装的探针采集所述虚拟云主机的第一运行信息;按照网域实时采集部署有所述虚拟云主机的各网域中的物理机的第二运行信息;依据所述第一运行信息和第二运行信息对所述虚拟云建立地址信标;
所述地址信标包括所述第一运行信息与所述第二运行信息的对应关系。
7.根据权利要求6所述的系统,其特征在于,所述第一运行信息,包括:所述虚拟云主机的中央处理器CPU、内存以及磁盘的运行信息;所述第二运行信息,包括:物理服务器的CPU、内存以及磁盘的运行信息。
8.根据权利要求5所述的系统,其特征在于,所述监测单元,根据所述地址信标对所述虚拟云进行监测时,具体用于:
依据所述虚拟云的历史系统日志和部署所述虚拟云的物理机的历史运行信息,得到所述虚拟云对应的异常状态;参照所述异常状态,对所述虚拟云的地址信标进行监测。
9.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-4任一所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110315383.1A CN112702365B (zh) | 2021-03-24 | 2021-03-24 | 基于虚拟云的数据安全态势监测方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110315383.1A CN112702365B (zh) | 2021-03-24 | 2021-03-24 | 基于虚拟云的数据安全态势监测方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112702365A CN112702365A (zh) | 2021-04-23 |
| CN112702365B true CN112702365B (zh) | 2021-07-06 |
Family
ID=75515627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110315383.1A Active CN112702365B (zh) | 2021-03-24 | 2021-03-24 | 基于虚拟云的数据安全态势监测方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112702365B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111143055A (zh) * | 2019-12-16 | 2020-05-12 | 上海达龙信息科技有限公司 | 虚拟云主机预分配方法、装置、可读存储介质与电子设备 |
| US10853161B2 (en) * | 2015-05-28 | 2020-12-01 | Oracle International Corporation | Automatic anomaly detection and resolution system |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9516044B2 (en) * | 2014-07-31 | 2016-12-06 | Intuit Inc. | Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database |
| CN105760230B (zh) * | 2016-02-18 | 2019-06-07 | 广东睿江云计算股份有限公司 | 一种自动调整云主机运行的方法及装置 |
| CN106446658A (zh) * | 2016-08-30 | 2017-02-22 | 孙鸿鹏 | 一种数据中心安全保护方法及系统 |
| CN106982204A (zh) * | 2017-02-15 | 2017-07-25 | 深圳市中科智库互联网信息安全技术有限公司 | 可信安全平台 |
| CN111104285A (zh) * | 2019-12-17 | 2020-05-05 | 武汉武钢绿色城市技术发展有限公司 | 一种基于OpenStack的云计算平台的运行监控方法 |
| CN112073389B (zh) * | 2020-08-21 | 2023-01-24 | 苏州浪潮智能科技有限公司 | 云主机安全态势感知系统、方法、设备及存储介质 |
-
2021
- 2021-03-24 CN CN202110315383.1A patent/CN112702365B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10853161B2 (en) * | 2015-05-28 | 2020-12-01 | Oracle International Corporation | Automatic anomaly detection and resolution system |
| CN111143055A (zh) * | 2019-12-16 | 2020-05-12 | 上海达龙信息科技有限公司 | 虚拟云主机预分配方法、装置、可读存储介质与电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112702365A (zh) | 2021-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113167B (zh) | 一种智能终端的信息保护方法、系统以及可读存储介质 | |
| CN111901327B (zh) | 云网络漏洞挖掘方法、装置、电子设备及介质 | |
| US10320828B1 (en) | Evaluation of security in a cyber simulator | |
| CN105453102A (zh) | 用于识别已泄漏的私有密钥的系统和方法 | |
| CN111949531B (zh) | 区块链网络的测试方法、装置、介质及电子设备 | |
| CN104461683A (zh) | 一种虚拟机非法配置的校验方法、装置及系统 | |
| KR102267564B1 (ko) | 원격 단말기의 능동적 보안 위협 탐지 방법 | |
| CN109889477A (zh) | 基于可信密码引擎的服务器启动方法及装置 | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN112822291A (zh) | 一种工控设备的监测方法与装置 | |
| CN106293667B (zh) | 一种应用程序修改检测方法及装置 | |
| CN104735069A (zh) | 一种基于安全可信的高可用性计算机集群 | |
| EP3011454A1 (en) | Generating a fingerprint representing a response of an application to a simulation of a fault of an external service | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN112702365B (zh) | 基于虚拟云的数据安全态势监测方法、系统及设备 | |
| CN113591096A (zh) | 综合检测大数据漏洞和不安全配置的脆弱性扫描系统 | |
| CN112817644A (zh) | 虚拟光驱生成方法、装置及计算机可读存储介质 | |
| CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
| CN114124531B (zh) | 基于旁路攻击模拟的网络防御体系风险评估方法、电子设备和存储介质 | |
| CN109117625B (zh) | Ai软件系统安全状态的确定方法及装置 | |
| CN117056918A (zh) | 一种代码分析方法及相关设备 | |
| CN115563618A (zh) | 一种基于中央计算平台的渗透测试方法及装置 | |
| CN112671741B (zh) | 一种网络防护的方法、装置、终端及存储介质 | |
| KR20220073657A (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN108073411A (zh) | 一种补丁的内核加载方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |