[發明專利]基于Xen的虛擬機個性化安全監控系統及監控方法有效
| 申請號: | 201310477288.7 | 申請日: | 2013-10-13 |
| 公開(公告)號: | CN103500304A | 公開(公告)日: | 2014-01-08 |
| 發明(設計)人: | 侯琬婷;楊超;馬建峰;黃為;張馳;王照羽 | 申請(專利權)人: | 西安電子科技大學 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F11/34 |
| 代理公司: | 陜西電子工業專利中心 61205 | 代理人: | 張問芬;王品華 |
| 地址: | 710071*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 xen 虛擬機 個性化 安全 監控 系統 方法 | ||
1.一種基于Xen的虛擬機個性化安全監控系統,其特征在于:安全監控系統由安全決策模塊、安全響應模塊和安全呼叫模塊組成,所述安全決策模塊部署在管理域中,用于實現與安全呼叫模塊協商虛擬機的安全監控服務方案,調用安全響應模塊執行虛擬機安全監控服務方案,記錄并反饋執行結果;所述安全響應模塊部署在管理域中,用于執行虛擬機安全監控服務方案并返回執行結果;所述安全呼叫模塊部署在虛擬機用戶空間中,用于實現與安全決策模塊協商虛擬機的安全監控服務方案;
所述安全決策模塊由消息分析、消息生成、日志記錄、消息發送與接收部分構成,消息發送與接收部分實現與安全呼叫模塊的消息交互,消息分析部分實現對接收消息進行分析,同時調用消息生成部分,產生相應的消息及對虛擬機安全監控服務方案的分析決策,日志記錄部分記錄虛擬機選擇的方案及該方案的執行成功與否的信息;
所述安全響應模塊調用libvmi庫的相關函數完成安全監控服務,由執行集合生成部分、安全監控服務實現部分和用戶接口部分構成,執行集合生成部分將安全決策模塊傳遞的虛擬機的安全監控服務方案按照內容抽取放到數組中,根據要求對系統進行監控;安全監控服務實現部分根據安全決策模塊對安全監控服務集合的設計,以監控進程列表和監控系統調用表提供服務,用戶接口部分進行人工干預判斷,若發現安全威脅則發出警報;
所述安全呼叫模塊與安全決策模塊協商虛擬機用戶的安全監控服務方案,表達虛擬機用戶的監控需求,安全呼叫模塊由消息發送與接收部分,消息分析部分、消息生成部分和用戶接口部分構成,消息發送與接收部分負責接收安全呼叫模塊發送給安全決策模塊的消息和發送消息生成部分生成的消息,消息分析部分分析接收到的消息,同時根據相應邏輯調用消息生成部分或者轉到用戶接口部分消息生成部分產生相應的消息,將產生的消息交付到消息發送與接收部分發送出去,用戶接口部分主要是提供給用戶選擇安全監控選擇的接口。
2.根據權利要求1所述的基于Xen的虛擬機個性化安全監控系統,其特征在于:所述安全決策模塊、安全響應模塊和安全呼叫模塊不對虛擬機監控器做修改,在保證Xen平臺安全的基礎上為虛擬機提供個性化安全監控服務。
3.根據權利要求1所述的基于Xen的虛擬機個性化安全監控系統,其特征在于:包括安全監控準線和安全監控附加內容,所述安全監控準線為監控進程列表,為每個虛擬機提供必須執行的安全監控服務內容;安全監控附加內容是虛擬機自由選擇的安全監控服務內容,安全監控附加內容為監控系統調用表。
4.根據權利要求1所述的基于Xen的虛擬機個性化安全監控系統,其特征在于:所述安全決策模塊的消息發送與接收部分和安全呼叫模塊的消息發送與接收部分以主動監控協商和被動監控協商的方式進行協商,主動監控協商是虛擬機主動向管理域發送監控請求,而被動監控協商則是管理域向虛擬機發送安全監控服務集合開始協商。
5.一種應用權利要求1所述系統實現基于Xen的虛擬機個性化安全監控方法,其特征包括虛擬機個性化安全監控服務方案的協商方法和虛擬機個性化安全監控服務方案的執行方法;
所述安全監控服務方案的協商包括兩種協商方式,一種是主動監控協商,虛擬機用戶從自身系統安全的考慮,主動向Xen平臺的管理域發出安全監控請求,以保護虛擬機操作系統;另一種是被動監控協商,這種協商方式主要從Xen平臺的管理者的角度考慮,出于考慮Xen平臺的安全需要,需要在該平臺上部署安全監控服務,此時虛擬機是被動的要求被監控的;
所述虛擬機個性化安全監控服務方案的執行,則解決從管理域對虛擬機按照虛擬機個性化安全監控服務的協商制定的安全監控服務方案對虛擬機進行監控的問題,安全監控服務方案的執行調用libvmi庫的函數來提供監控功能,虛擬機安全監控服務的執行主要包括監控進程列表功能和監控系統調用表功能;
所述虛擬機個性化安全監控服務方案的協商有主動監控協商和被動監控協商兩種方法:
(1)主動監控協商過程如下:
1a)部署在虛擬機的安全呼叫模塊向部署在管理域的安全呼叫模塊發送監控請求;
1b)安全策略模塊收到請求,向安全呼叫模塊發送安全監控服務的集合;
1c)安全呼叫模塊根據自己的需求制定安全監控服務方案,并將結果方案發送給安全決策模塊;
1d)安全決策模塊判斷安全監控服務方案是否符合要求,若符合要求,協商停止,不符合要求,回到1b);
(2)被動監控協商過程如下:
2a)部署在管理域中的安全決策模塊向部署在虛擬機中的安全呼叫模塊發送安全監控服務的集合;
2b)安全呼叫模塊根據自己的需求制定安全監控服務方案,并將結果方案發送給安全決策模塊;
2c)安全決策模塊分析其方案是否符合要求,若符合要求,協商停止,不符合要求,回到2a);
所述虛擬機個性化安全監控服務方案的執行過程如下:
a)安全決策模塊調用安全響應模塊,將虛擬機的安全監控服務方案發送給安全響應模塊;
b)安全響應模塊執行安全監控服務方案,若執行成功,則返回成功代碼,若執行失敗則返回失敗代碼;
c)安全決策模塊分析安全響應模塊的執行代碼,若成功則將成功消息與虛擬機信息記錄成文件格式,并將成功的消息發送給安全呼叫模塊,若失敗則將此次執行記錄下來,并且返回到消息協商模塊,重新進行協商;
d)安全呼叫模塊收到執行成功的消息后,請求斷開連接,此次安全監控服務部署成功。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西安電子科技大學,未經西安電子科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310477288.7/1.html,轉載請聲明來源鉆瓜專利網。
