技術(shù)領(lǐng)域

本發(fā)明涉及云平臺(tái)入侵檢測(cè)領(lǐng)域，特別是涉及一種基于虛擬機(jī)自省技術(shù)的云平臺(tái)安全監(jiān)控系統(tǒng)及方法。

背景技術(shù)

基于虛擬機(jī)自省技術(shù)VMI（Virtual Machine Introspection）的IDS是一種在虛擬機(jī)外部監(jiān)控虛擬機(jī)內(nèi)部運(yùn)行狀態(tài)的方法，能夠觀察到被監(jiān)控系統(tǒng)的內(nèi)部狀態(tài)，同時(shí)與被監(jiān)控系統(tǒng)相隔離，從而解決了傳統(tǒng)IDS帶來(lái)的難題。

現(xiàn)在基于VMI的入侵檢測(cè)系統(tǒng)的架構(gòu)都是以物理服務(wù)器為基本單位，每臺(tái)物理服務(wù)器上都部署一臺(tái)監(jiān)控虛擬機(jī)用來(lái)監(jiān)控同服務(wù)器上的其它虛擬機(jī)。但是這些入侵檢測(cè)系統(tǒng)之間是相互獨(dú)立的，不支持信息共享，也不進(jìn)行通信。每個(gè)入侵檢測(cè)系統(tǒng)都是根據(jù)本地信息對(duì)本地虛擬機(jī)進(jìn)行檢測(cè)。

現(xiàn)有VMI技術(shù)架構(gòu)如圖1所示，因?yàn)楝F(xiàn)有的基于VMI技術(shù)的入侵檢測(cè)系統(tǒng)是以物理服務(wù)器為單位獨(dú)立進(jìn)行的，因此在云平臺(tái)上使用該架構(gòu)存在著如下問(wèn)題：

第一，云平臺(tái)管理員無(wú)法得到云平臺(tái)的整體檢測(cè)狀況。因?yàn)槊總€(gè)檢測(cè)系統(tǒng)都只能提供本地服務(wù)器的檢測(cè)狀況，而云平臺(tái)上會(huì)有上百、上千、甚至上萬(wàn)臺(tái)服務(wù)器，所以讓管理員從這么多檢測(cè)系統(tǒng)來(lái)總結(jié)出整個(gè)平臺(tái)的檢測(cè)情況幾乎是不可能的。

第二，無(wú)法檢測(cè)到對(duì)多臺(tái)虛擬機(jī)的聯(lián)合攻擊。有些對(duì)云平臺(tái)的攻擊，比如分布式拒絕服務(wù)攻擊（DDoS），在攻擊剛開(kāi)始的時(shí)候，因?yàn)樵破脚_(tái)的資源池巨大，不易從單臺(tái)服務(wù)器上檢測(cè)出輕微攻擊，只有當(dāng)攻擊程度相當(dāng)高的時(shí)候，才能從單臺(tái)服務(wù)器上檢測(cè)出來(lái)，而這個(gè)時(shí)候已經(jīng)為時(shí)過(guò)晚。

第三， 在虛擬機(jī)遷移時(shí)，如何保持對(duì)虛擬機(jī)的不間斷監(jiān)控問(wèn)題。當(dāng)一臺(tái)虛擬機(jī)從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器的時(shí)候，意味著對(duì)該虛擬機(jī)的檢測(cè)會(huì)從原來(lái)物理服務(wù)器上的入侵檢測(cè)系統(tǒng)轉(zhuǎn)移到目標(biāo)物理服務(wù)器上的入侵檢測(cè)系統(tǒng)。因?yàn)閭鹘y(tǒng)架構(gòu)下這兩個(gè)檢測(cè)系統(tǒng)是相互獨(dú)立的，所以就無(wú)法將原檢測(cè)系統(tǒng)上的有關(guān)數(shù)據(jù)傳送到新的檢測(cè)系統(tǒng)中去，并且在遷移的過(guò)程中會(huì)有一段時(shí)間沒(méi)有任何檢測(cè)系統(tǒng)對(duì)該虛擬機(jī)進(jìn)行檢測(cè)，出現(xiàn)監(jiān)控間斷。

第四，因?yàn)槊總€(gè)物理服務(wù)器上都部署一個(gè)入侵檢測(cè)系統(tǒng)，所有部署、維護(hù)和更新入侵檢測(cè)，以及相應(yīng)的檢測(cè)策略規(guī)則、病毒庫(kù)等資源需要逐一進(jìn)行。這不僅僅帶來(lái)了大量的管理工作量，而且容易產(chǎn)生更新遺露，以及更新不及時(shí)，從而給整個(gè)平臺(tái)的安全性帶來(lái)威脅。

第五，因?yàn)橐慌_(tái)虛擬機(jī)在其生命周期中會(huì)運(yùn)行在不同的物理服務(wù)器上，所以對(duì)該虛擬機(jī)的監(jiān)控信息也是分散在多臺(tái)物理服務(wù)器上的。所以，如果需要審計(jì)一臺(tái)虛擬機(jī)，只能從所有平臺(tái)的物理服務(wù)器監(jiān)控記錄中尋找相關(guān)的信息，這將是一個(gè)很復(fù)雜費(fèi)時(shí)的工作。并且，也會(huì)存在監(jiān)控空隙。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種新型的基于虛擬機(jī)自省技術(shù)的云平臺(tái)安全監(jiān)控系統(tǒng)及方法，對(duì)整個(gè)平臺(tái)的所有虛擬機(jī)和物理服務(wù)器進(jìn)行統(tǒng)一的監(jiān)控，即使是每一臺(tái)虛擬機(jī)的資源使用量只有小量上升的聯(lián)合攻擊，也能予以準(zhǔn)確檢測(cè)；對(duì)于虛擬機(jī)的監(jiān)控放在平臺(tái)級(jí)，而不是物理服務(wù)器級(jí)，當(dāng)虛擬機(jī)從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器時(shí)，只是數(shù)據(jù)采集地點(diǎn)發(fā)生變化，新的物理服務(wù)器上的數(shù)據(jù)采集系統(tǒng)自動(dòng)采集遷移前物理服務(wù)器上的數(shù)據(jù)，從而實(shí)現(xiàn)對(duì)虛擬機(jī)的不間斷監(jiān)控，能夠在虛擬機(jī)遷移時(shí)提供監(jiān)控?cái)?shù)據(jù)的平滑移交；可快速停止受入侵攻擊的虛擬機(jī)，避免更多的虛擬機(jī)受到入侵攻擊。

本發(fā)明的目的是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)的：基于虛擬機(jī)自省技術(shù)的云平臺(tái)安全監(jiān)控系統(tǒng)，它包括本地安全數(shù)據(jù)采集子系統(tǒng)、平臺(tái)安全數(shù)據(jù)處理子系統(tǒng)、平臺(tái)安全報(bào)告子系統(tǒng)和安全數(shù)據(jù)存儲(chǔ)子系統(tǒng)；

所述的本地安全數(shù)據(jù)采集子系統(tǒng)用于通過(guò)虛擬機(jī)管理器VMM提供的操作系統(tǒng)接口采集各被監(jiān)控系統(tǒng)的安全數(shù)據(jù)；

所述的平臺(tái)安全數(shù)據(jù)處理子系統(tǒng)用于按照探測(cè)策略和算法對(duì)本地安全數(shù)據(jù)采集子系統(tǒng)所采集到的每個(gè)被監(jiān)控系統(tǒng)的數(shù)據(jù)進(jìn)行分析和處理，以發(fā)現(xiàn)各種入侵威脅；同時(shí)用于根據(jù)需要向本地安全數(shù)據(jù)采集子系統(tǒng)發(fā)出獲取數(shù)據(jù)的請(qǐng)求；

所述的平臺(tái)安全報(bào)告子系統(tǒng)用于向用戶產(chǎn)生安全報(bào)告：當(dāng)平臺(tái)安全數(shù)據(jù)處理子系統(tǒng)檢測(cè)到入侵威脅時(shí)，在把檢測(cè)到的結(jié)果寫(xiě)入安全數(shù)據(jù)存儲(chǔ)子系統(tǒng)的同時(shí)，直接把數(shù)據(jù)發(fā)給平臺(tái)安全報(bào)告子系統(tǒng)以向用戶發(fā)起通知；當(dāng)平臺(tái)安全數(shù)據(jù)處理子系統(tǒng)沒(méi)有檢測(cè)到入侵威脅時(shí)，平臺(tái)安全數(shù)據(jù)處理子系統(tǒng)將其完成的探測(cè)任務(wù)情況寫(xiě)入安全數(shù)據(jù)存儲(chǔ)子系統(tǒng)，以便管理員或者用戶進(jìn)行查詢或?qū)徲?jì)；

所述的安全數(shù)據(jù)存儲(chǔ)子系統(tǒng)一方面用于存儲(chǔ)各個(gè)本地?cái)?shù)據(jù)采集器采集到的安全數(shù)據(jù)，以便供平臺(tái)安全數(shù)據(jù)處理子系統(tǒng)進(jìn)行數(shù)據(jù)分析和處理；另一方面用于存儲(chǔ)原始安全數(shù)據(jù)，以便供審計(jì)和數(shù)據(jù)挖掘。

所述的安全數(shù)據(jù)包括物理內(nèi)存、磁盤內(nèi)容或網(wǎng)絡(luò)連接狀態(tài)。