CN112929357A - 一种虚拟机数据的分析方法、装置、设备及存储介质 - Google Patents
一种虚拟机数据的分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112929357A CN112929357A CN202110138494.XA CN202110138494A CN112929357A CN 112929357 A CN112929357 A CN 112929357A CN 202110138494 A CN202110138494 A CN 202110138494A CN 112929357 A CN112929357 A CN 112929357A
- Authority
- CN
- China
- Prior art keywords
- data
- virtual machine
- analysis
- log
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007405 data analysis Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000004458 analytical method Methods 0.000 claims description 73
- 239000000523 sample Substances 0.000 claims description 38
- 230000008447 perception Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 9
- 238000005206 flow analysis Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 44
- 238000001514 detection method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟机数据的分析方法、装置、设备及存储介质;在本方案中,在虚拟机中部署了云工作负载保护平台的代理服务,通过该代理服务可以从虚拟机收集包括流量数据的虚拟机数据,并将收集的流量数据发送至云工作负载保护平台的管理节点,通过该管理节点可以将该虚拟机数据发送至对数据分析系统,以基于虚拟机的流量等数据对虚拟机中存在的安全威胁进行感知。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,涉及一种虚拟机数据的分析方法、装置、设备及存储介质。
背景技术
随着互联网的高速发展,海量数据无时无刻不在生产和传输,数据中心作为海量数据的载体,其灵活性、可拓展性等变得尤为重要,而传统数据中心由于资源之间彼此独立且没有自由移动性,因此私有云、公有云、行业云等云上数据中心成为越来越多的选择。
目前数据上云后,云环境内部的虚拟机之间的流量传输是通过虚拟交换机进行交换的,由于通过传统的安全防护技术不能从云环境内获取虚拟机的流量数据,因此无法基于虚拟机流量数据对虚拟机中存在的安全威胁进行感知;例如:传统的的安全防护技术需要通过交换机镜像流量的方式获取流量数据,而云内的虚拟交换机不支持云内镜像,因此,无法通过虚拟交换机来获取虚拟机的流量数据。
发明内容
本发明的目的在于提供一种虚拟机数据的分析方法、装置、设备及存储介质,以实现对虚拟机流量数据的获取及分析。
为实现上述目的,本发明提供的一种虚拟机数据的分析方法,包括:
通过管理节点接收虚拟机数据;其中,所述虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,所述虚拟机数据包括流量数据;
利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统,通过所述数据分析系统对所述虚拟机数据进行数据分析。
其中,所述利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统,包括:
若所述虚拟机数据为流量数据,则利用所述管理节点将所述流量数据发送至潜伏威胁探针,以通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果。
其中,所述通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果,包括:
利用所述潜伏威胁探针检测所述流量数据中的安全攻击,并生成与所述安全攻击对应的安全日志。
其中,所述通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果,包括:
利用所述潜伏威胁探针对所述流量数据进行处理,生成与所述流量数据对应的协议日志。
其中,所述通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果之后,还包括:
将流量分析结果中的安全日志和/或协议日志发送至安全感知平台,通过所述安全感知平台对所述安全日志分析得到安全日志分析结果,和/或,对所述协议日志进行分析得到协议日志分析结果。
其中,所述利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统,包括:
若所述虚拟机数据为主机日志,则将所述主机日志发送至安全感知平台,通过所述安全感知平台对所述主机日志进行分析,获得主机日志分析结果。
为实现上述目的,本发明进一步提供一种虚拟机数据的分析装置,包括:
数据接收模块,用于通过管理节点接收虚拟机数据;其中,所述虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,所述虚拟机数据包括流量数据;
数据发送模块,用于利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统;
数据分析模块,用于通过所述数据分析系统对所述虚拟机数据进行数据分析。
其中,所述数据发送模块包括:第一发送单元,用于在所述虚拟机数据为流量数据,利用所述管理节点将所述流量数据发送至潜伏威胁探针;
所述数据分析模块包括:第一分析单元,用于通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果。
为实现上述目的,本发明进一步提供一种电子设备,包括:
存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述虚拟机数据的分析方法的步骤。
为实现上述目的,本发明进一步提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述虚拟机数据的分析方法的步骤。
通过以上方案可知,本发明实施例提供了一种虚拟机数据的分析方法,该方法包括:通过管理节点接收虚拟机数据;其中,虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,虚拟机数据包括流量数据;利用管理节点将虚拟机数据发送至对应的数据分析系统,通过数据分析系统对虚拟机数据进行数据分析。
可见,在本方案中,在虚拟机中部署了云工作负载保护平台的代理服务,通过该代理服务可以从虚拟机收集包括流量数据的虚拟机数据,并将收集的流量数据发送至云工作负载保护平台的管理节点,通过该管理节点可以将该虚拟机数据发送至对数据分析系统,以基于虚拟机的流量等数据对虚拟机中存在的安全威胁进行感知。
本发明还公开了一种虚拟机数据的分析装置、设备及存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种虚拟机数据的分析系统示意图;
图2为本发明实施例公开的一种虚拟机数据的分析方法流程示意图;
图3为本发明实施例公开的另一种虚拟机数据的分析方法流程示意图;
图4为本发明实施例公开的一种虚拟机数据的整体流程分析示意图;
图5为本发明实施例公开的一种虚拟机数据的分析装置结构示意图;
图6为本发明实施例公开的一种电子设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,云环境内部的虚拟机之间的流量传输是通过虚拟交换机进行交换的,由于通过传统的安全防护技术不能从云环境内获取虚拟机的流量数据,因此无法基于虚拟机流量数据对虚拟机中存在的安全威胁进行感知。因此在本方案中,提出了一种虚拟机数据的分析方法、装置、设备及存储介质,以实现对虚拟机流量数据的获取及分析。
为了便于理解,下面对本申请的技术方案所适用的系统架构进行介绍,参见图1,为本发明实施例公开的一种虚拟机数据的分析系统示意图,参见图1,包括:云工作负载保护平台11和数据分析系统12,其中,云工作负载保护平台11包括管理节点111和代理服务112。
具体的,云工作负载保护平台11通过轻量化代理服务Agent方式部署在虚拟化服务器操作系统上,负责采集虚拟机数据上报给对应的数据分析系统12。其中,云工作负载保护平台11中的代理服务112部署在每个虚拟机中,用于获取虚拟机的虚拟机数据,该虚拟机数据包括流量数据、日志数据等等;云工作负载保护平台11中的管理节点111可以设置在单独的服务器中,也可以设置在虚拟机中,其具体的设置位置可根据实际情况选择设置位置,管理节点111的作用为收集各个代理服务112采集的虚拟机数据,并将虚拟机数据发送至数据分析系统12。
数据分析系统12用于接收虚拟机数据,并对虚拟机数据进行数据分析,得到对应的数据分析结果;其中,本方案中的数据分析系统12可以包括多种数据分析系统,如:潜伏威胁探针及安全感知平台等等,其中,潜伏威胁探针旁路部署在关键节点,对管理节点发送的流量数据进行检测,提取有效数据上报给安全感知平台。安全感知平台是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA(user and entity behavior analytics,用户和实体行为分析)、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等。在本方案中,该数据分析系统可利用该虚拟机数据,对虚拟机内存在攻击进行检测,从而保证虚拟机的安全。并且,本方案中数据分析系统12与管理节点111、管理节点111与代理服务112之间通过通讯网络来发送数据,该通讯网络可以根据实际应用过程中的网络状况和应用需求来确定,既可以是无线通讯网络,如移动通讯网络或WIFI网络等,也可以是有线通讯网络;既可以是广域网,也可以是局域网,在此并不具体限定。
参见图2,为本发明实施例公开的一种虚拟机数据的分析方法流程示意图;该分析方法包括:
S101、通过管理节点接收虚拟机数据;其中,该虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,虚拟机数据包括流量数据;
具体的,本方案中的代理服务为在虚拟机上安装的在应用层工作的轻agent,代理服务的作用为采集虚拟机数据,并且,采集虚拟机数据后,可以将该虚拟机数据压缩后发送到云工作负载保护平台的管理节点mgr;其中,代理服务与管理节点之间可通过TCP(Transmission Control Protocol,传输控制协议)网络协议通信。该虚拟机数据包括流量数据以及主机日志,主机日志包括:行为日志、系统日志等等;行为日志具体可以包括进程行为、文件操作、网络连接信息等等,在此并不对虚拟机数据的数据内容进行具体限定,在实际应用中,可根据数据分析系统所需要的数据有针对性的获取。
S102、利用管理节点将虚拟机数据发送至对应的数据分析系统,通过数据分析系统对虚拟机数据进行数据分析。
需要说明的是,云工作负载保护平台的管理节点MGR端,用于集中管理代理服务agent,汇总收集各个代理服务agent上报的虚拟机数据,并将虚拟机数据发送至对应的数据分析系统。其中,将虚拟机数据发送至对应的数据分析系统时,可根据虚拟机数据的类型发送至不同的数据分析系统,例如:可以将流量数据发送至潜伏威胁探针,以通过潜伏威胁探针对流量数据进行分析处理,获得对应检测结果;还可以将主机日志发送至安全感知平台,通过安全感知平台对主机日志进行分析处理;并且,潜伏威胁探针得到检测结果后,还可以将该检测结果发送至安全感知平台,该安全感知平台可对该检测结果进一步分析,得到分析结果。当然,本方案中的数据分析系统并不局限于上文所述的潜伏威胁探针及安全感知平台,可根据具体的数据分析需求来对数据分析系统进行调整。
其中,管理节点接收不同代理服务发送的虚拟机数据后,首先需要判断该虚拟机数据是否为压缩数据,如果该虚拟机数据为压缩数据,则需要对该虚拟机数据进行解压,获取解压后的虚拟机数据,并将解压后的数据发送至对应的数据分析系统,通过数据分析系统对虚拟机数据进行数据分析。
可以理解的是,各代理服务将虚拟机数据发送至管理节点时,为了保证虚拟机数据的安全,代理服务可以通过预定的加密算法对虚拟机数据进行加密,或者通过完整性校验算法计算该虚拟机数据的校验值,并将该校验值添加至虚拟机数据中一同发送至管理节点;其中,加密算法可使用对称加密算法、非对称加密算法等等,完整性校验算法可使用MD(Message Digest,消息摘要算法)、SHA(Secure Hash Algorithm,安全散列算法)和MAC(Message Authentication Code,消息认证码算法)等等,在此并不限定。因此,管理节点接收到虚拟机数据并对数据解压后,发现该虚拟机数据为加密数据,则需要对该虚拟机数据进行解密,虚拟机数据解密后,如果发现虚拟机数据中携带校验值,则通过约定的完整性校验算法计算新校验值,并判断虚拟机数据中携带的校验值与新校验值是否相同,如果相同,则判定虚拟机数据已完整的传输至管理节点,否则,说明数据在传输过程被恶意修改,则不采用该虚拟机数据进行分析,并发出预警信息,以提示虚拟机数据在传输过程中被恶意修改。
同理,管理节点将虚拟机数据发送至数据分析系统时,同样可采用上文所述的数据压缩、数据加密、添加校验值等方式对虚拟机数据进行处理,数据分析系统接收到管理节点发送的虚拟机数据后,同样需要采用数据解压、数据解密、校验值验证等方式来验证虚拟机数据的准确性,确保在数据传输过程中没有被恶意修改,从而确保虚拟机数据的安全性。
综上可见,在本方案中,在虚拟机中部署了云工作负载保护平台的代理服务,通过该代理服务可以从虚拟机收集包括流量数据的虚拟机数据,并将收集的流量数据发送至云工作负载保护平台的管理节点,通过该管理节点可以将该虚拟机数据发送至对数据分析系统,以基于虚拟机的流量等数据对虚拟机中存在的安全威胁进行感知。
参见图3,为本发明实施例公开的另一种虚拟机数据的分析方法流程示意图;需要说明的是,本实施例所述的分析方法与上一实施例所述的分析方法的相同之处可以相互参照,在此并不具体论述。
本实施例所述的分析方法包括:
S201、通过管理节点接收虚拟机数据;其中,该虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,虚拟机数据包括流量数据;
S202、若虚拟机数据为流量数据,则利用管理节点将流量数据发送至潜伏威胁探针,以通过潜伏威胁探针对流量数据进行分析,获得流量分析结果;
具体来说,若虚拟机数据为流量数据,则管理节点可以将该流量数据发送至潜伏威胁探针,潜伏威胁探针具备对已知威胁的分析检测的能力,然后将流量分析结果统一上报给安全感知平台,让安全感知平台进行分析处理。并且,潜伏威胁探针对流量数据进行分析获得流量分析结果时,可对流量数据执行如下两部分处理过程:一为利用潜伏威胁探针检测流量数据中的安全攻击,并生成与安全攻击对应的安全日志。二为利用潜伏威胁探针对流量数据进行处理,生成与流量数据对应的协议日志。在本实施例中,流量数据为不同协议的流量包,该协议可以为:SMB协议(Server Message Block)、HTTP协议(HyperTextTransfer Protocol,超文本传输协议)等等;然后将不同协议的流量包字段提取出来,通过结构体的方式组装得到协议日志,该流量包的字段为:url(Uniform Resource Locator,统一资源定位器)、源IP(Internet Protocol Address,互联网协议地址)、目的IP等等,将该协议日志发送至安全感知平台,安全感知平台即可通过协议日志读懂流量数据。
S203、将流量分析结果中的安全日志和/或协议日志发送至安全感知平台,通过安全感知平台对安全日志分析得到安全日志分析结果,和/或,对协议日志进行分析得到协议日志分析结果。
可以理解的是,通过潜伏威胁探针对流量数据进行处理后,获得的流量分析结果包括安全日志和协议日志,然后将该安全日志和协议日志发送至安全感知平台,该安全感知平台可以对安全日志分析获得安全日志分析结果,该安全感知平台可以对协议日志进行分析获得协议日志分析结果。
具体来说,该安全日志中记录了流量数据中的安全攻击,因此该安全感知平台对安全日志分析时,可以通过聚合等方式获得安全日志分析结果。例如:该安全日志中记录了不同类型的安全攻击,且每个安全攻击具有对应的源IP、目的IP、攻击时间,因此本申请对安全日志进行聚合时,可以将攻击时间为预定时长内属于同一种攻击类型、目的IP相同的安全攻击进行聚合,得到安全日志分析结果,通过该安全日志分析结果可以向用户提醒在哪个时间段,虚拟主机受到了多少同类型的攻击,并且可以了解每个安全攻击的攻击源等等。需要说明的是,安全感知平台对安全日志分析的过程并不局限于上文所述的聚合方式,还可以通过其他方式对安全日志分析获得安全日志分析结果。进一步,协议日志分析结果中记录了对流量包字段的分析结果,因此,该安全感知平台可以根据协议日志中各个流量包的字段,来确定对应的流量包是否具有对应的威胁,从而得到协议日志分析结果。
S204、若虚拟机数据为主机日志,则将主机日志发送至安全感知平台,通过安全感知平台对主机日志进行分析,获得主机日志分析结果。
在本实施例中,管理节点接收到各个代理服务发送的主机日志后,需要将该主机日志直接上报给安全感知平台,通过安全感知平台对主机日志进行分析,得到主机日志分析结果。例如:通过分析主机日志后发现,某一虚拟主机在凌晨时操作系统被登陆了,就出现了异常登陆现象,若登陆结果为登陆失败,且登陆失败的次数较多,则判定虚拟机主机中存在威胁。
需要说明的是,安全感知平台具备对已知威胁、未知威胁的检测能力。安全感知平台除了对上述安全日志、协议日志和主机日志分别分析得到对应的分析结果后,还可以通过安全日志、协议日志和主机日志中至少两者的结合得到对应的分析结果,从而检测出云端虚拟机主机中存在的风险,简化运维。并且,安全感知平台对安全日志、协议日志和主机日志进行分析时,还可以采用各种机器学习、大数据等算法进行分析,帮助客户发现威胁。
并且,安全感知平台得到上述检测结果后,可以将上述检测结果发送至对应的虚拟机主机,还可以将检测结果进行可视化展示,如:从租户视角、安全事件视角等维度展示帮助客户进行日常运维,安全感知平台还可以提供各种如租户大屏、安全事件大屏等帮助客户展示整体价值,还可以使用资产感知模块帮助客户梳理资产等。
参见图4,为本发明实施例公开的一种虚拟机数据的整体流程分析示意图;通过图4可以看出,各个虚拟主机通过代理服务Agnet采集流量及日志,并发送至管理节点MGR;其中,代理服务器Agnet具体通过HTTPS(Hyper Text Transfer Protocol overSecureSocket Layer,超文本传输安全协议)协议向管理节点MGR发送流量数据,代理服务器Agnet具体通过Syslog协议向管理节点MGR发送主机日志。管理节点MGR将数据分类整合后,将主机日志发送至安全感知平台,将流量数据发送至潜伏威胁探针,并通过潜伏威胁探针分析出安全日志和协议日志后,发送至安全感知平台;安全感知平台根据主机日志、安全日志和协议日志进行分析处理。其中,图4中的虚线代表主机日志的数据流向,实现代表流量及安全日志、协议日志的数据流向。
综上可见,本方案通过云工作负载保护平台在虚拟机侧安装agent采集主机的流量和日志,安全感知平台可针对流量和日志根据特征进行深度检测与防御,两者配合联动,做到优势互补,可充分定位到存在威胁的云内主机,实现深度解析,快速闭环,最终为用户交付最佳的云内威胁检测能力。
下面对本发明实施例提供的分析装置、设备及存储介质进行介绍,下文描述的分析装置、设备及存储介质与上文描述的分析方法可以相互参照。
参见图5,本发明实施例提供的一种虚拟机数据的分析装置结构示意图;该装置包括:
数据接收模块21,用于通过管理节点接收虚拟机数据;其中,所述虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,所述虚拟机数据包括流量数据;
数据发送模块22,用于利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统;
数据分析模块23,用于通过所述数据分析系统对所述虚拟机数据进行数据分析。
其中,所述数据发送模块包括:第一发送单元,用于在所述虚拟机数据为流量数据,利用所述管理节点将所述流量数据发送至潜伏威胁探针;
所述数据分析模块包括:第一分析单元,用于通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果。
其中,所述第一分析单元包括:
安全日志生成子单元,用于利用所述潜伏威胁探针检测所述流量数据中的安全攻击,并生成与所述安全攻击对应的安全日志。
其中,所述第一分析单元包括:
协议日志生成子单元,用于利用所述潜伏威胁探针对所述流量数据进行处理,生成与所述流量数据对应的协议日志。
其中,所述数据分析模块还包括:
发送单元,用于将流量分析结果中的安全日志和/或协议日志发送至安全感知平台;
第二分析单元,用于通过所述安全感知平台对所述安全日志分析得到安全日志分析结果,和/或,对所述协议日志进行分析得到协议日志分析结果。
其中,所述数据发送模块包括:第二发送单元,用于在所述虚拟机数据为主机日志时,将所述主机日志发送至安全感知平台;
第三分析单元,用于通过所述安全感知平台对所述主机日志进行分析,获得主机日志分析结果。
参见图6,为本发明实施例公开的一种电子设备结构示意图;该设备包括:
存储器31,用于存储计算机程序;
处理器32,用于执行所述计算机程序时实现如上述任意方法实施例所述的虚拟机数据的分析方法的步骤。
在本实施例中,该设备可以是PC(Personal Computer,个人电脑),也可以是智能手机、平板电脑、掌上电脑、便携计算机等终端设备。
该设备可以包括存储器31、处理器32和总线33。
其中,存储器31包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序,该存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器32在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,为网关设备提供计算和控制能力,执行所述存储器31中保存的计算机程序时,可以实现前述任一实施例公开的执行分析方法的步骤。
该总线33可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
进一步地,设备还可以包括网络接口34,网络接口34可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该设备与其他电子设备之间建立通信连接。
图6仅示出了具有组件31-34的设备,本领域技术人员可以理解的是,图6示出的结构并不构成对设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明实施例还公开一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意方法实施例所述的虚拟机数据的分析方法的步骤。
其中,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种虚拟机数据的分析方法,其特征在于,包括:
通过管理节点接收虚拟机数据;其中,所述虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,所述虚拟机数据包括流量数据;
利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统,通过所述数据分析系统对所述虚拟机数据进行数据分析。
2.根据权利要求1所述的分析方法,其特征在于,所述利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统,包括:
若所述虚拟机数据为流量数据,则利用所述管理节点将所述流量数据发送至潜伏威胁探针,以通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果。
3.根据权利要求2所述的分析方法,其特征在于,所述通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果,包括:
利用所述潜伏威胁探针检测所述流量数据中的安全攻击,并生成与所述安全攻击对应的安全日志。
4.根据权利要求2所述的分析方法,其特征在于,所述通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果,包括:
利用所述潜伏威胁探针对所述流量数据进行处理,生成与所述流量数据对应的协议日志。
5.根据权利要求3或4所述的分析方法,其特征在于,所述通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果之后,还包括:
将流量分析结果中的安全日志和/或协议日志发送至安全感知平台,通过所述安全感知平台对所述安全日志分析得到安全日志分析结果,和/或,对所述协议日志进行分析得到协议日志分析结果。
6.根据权利要求1所述的分析方法,其特征在于,所述利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统,包括:
若所述虚拟机数据为主机日志,则将所述主机日志发送至安全感知平台,通过所述安全感知平台对所述主机日志进行分析,获得主机日志分析结果。
7.一种虚拟机数据的分析装置,其特征在于,包括:
数据接收模块,用于通过管理节点接收虚拟机数据;其中,所述虚拟机数据为通过部署在虚拟机的代理服务采集并发送的,所述虚拟机数据包括流量数据;
数据发送模块,用于利用所述管理节点将所述虚拟机数据发送至对应的数据分析系统;
数据分析模块,用于通过所述数据分析系统对所述虚拟机数据进行数据分析。
8.根据权利要求7所述的分析装置,其特征在于,
所述数据发送模块包括:第一发送单元,用于在所述虚拟机数据为流量数据,利用所述管理节点将所述流量数据发送至潜伏威胁探针;
所述数据分析模块包括:第一分析单元,用于通过所述潜伏威胁探针对所述流量数据进行分析,获得流量分析结果。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的虚拟机数据的分析方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的虚拟机数据的分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110138494.XA CN112929357A (zh) | 2021-02-01 | 2021-02-01 | 一种虚拟机数据的分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110138494.XA CN112929357A (zh) | 2021-02-01 | 2021-02-01 | 一种虚拟机数据的分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112929357A true CN112929357A (zh) | 2021-06-08 |
Family
ID=76169261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110138494.XA Pending CN112929357A (zh) | 2021-02-01 | 2021-02-01 | 一种虚拟机数据的分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112929357A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363035A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种流量牵引方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102929769A (zh) * | 2012-09-06 | 2013-02-13 | 华中科技大学 | 一种基于代理服务的虚拟机内部数据采集方法 |
| CN107295021A (zh) * | 2017-08-16 | 2017-10-24 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
| CN107295001A (zh) * | 2017-07-12 | 2017-10-24 | 中国石油大学(华东) | 一种云计算环境入侵检测系统架构及其方法 |
| CN110175451A (zh) * | 2019-04-23 | 2019-08-27 | 国家电网公司华东分部 | 一种基于电力云的安全监控方法和系统 |
-
2021
- 2021-02-01 CN CN202110138494.XA patent/CN112929357A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102929769A (zh) * | 2012-09-06 | 2013-02-13 | 华中科技大学 | 一种基于代理服务的虚拟机内部数据采集方法 |
| CN107295001A (zh) * | 2017-07-12 | 2017-10-24 | 中国石油大学(华东) | 一种云计算环境入侵检测系统架构及其方法 |
| CN107295021A (zh) * | 2017-08-16 | 2017-10-24 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
| CN110175451A (zh) * | 2019-04-23 | 2019-08-27 | 国家电网公司华东分部 | 一种基于电力云的安全监控方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 邵宗有等: "云计算中的主机安全技术", 《信息安全与技术》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363035A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种流量牵引方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| US9660833B2 (en) | Application identification in records of network flows | |
| WO2021063068A1 (zh) | 运维管控、运维分析方法、装置、系统及存储介质 | |
| CN110855699B (zh) | 一种流量审计方法、装置、服务器及审计设备 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN111371774A (zh) | 一种信息处理方法及装置、设备、存储介质 | |
| CN113225339B (zh) | 网络安全监测方法、装置、计算机设备及存储介质 | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN109167764A (zh) | 一种电子政务系统网络感知分析平台系统 | |
| CN112565226A (zh) | 请求处理方法、装置、设备及系统和用户画像生成方法 | |
| CN115002203A (zh) | 数据包抓取方法、装置、设备及计算机可读介质 | |
| CN110941823A (zh) | 威胁情报获取方法及装置 | |
| CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 | |
| CN113315678A (zh) | 加密tcp流量采集方法与装置 | |
| CN113489703A (zh) | 一种安全防护系统 | |
| Mishra et al. | Security perspectives of various IoT cloud platforms: a review & case study | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN113242255B (zh) | 一种基于企业安全的智能流量分析方法及系统 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN114205169A (zh) | 网络安全防御方法、装置及系统 | |
| Said | Development of an innovative internet of things security system | |
| CN114301802A (zh) | 密评检测方法、装置和电子设备 | |
| CN112565269A (zh) | 服务器后门流量检测方法、装置、电子设备及存储介质 | |
| CN113259254B (zh) | 一种微服务消息请求处理方法、系统、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210608 |