技術領域

本發明涉及計算機技術領域，具體說涉及一種用于保護云系統的安全監控方法。

背景技術

隨著云計算概念的提出以及云技術的不斷應用，各式各樣的云系統產品也出現在大眾眼前。例如亞馬遜網頁服務(Amazon?Web?Services，AWS)、谷歌云平臺和蘋果的ICloud等。

云計算是建立在虛擬化基礎之上，利用虛擬機實現資源的充分利用和服務的提供。云計算可以分為三個層次的服務：基礎設施即服務(IaaS)，平臺即服務(PaaS)和軟件即服務(SaaS)。隨著云計算技術應用的不斷深入，用戶在關注云系統產品的使用便捷程度的同時也對云產品的安全問題越來越關注。尤其是自己放到云系統產品上運行或存儲的數據的安全問題。

在數據隱私保護方面，用戶信息存儲于自己的電腦中時，任何人需要這些信息都要經過允許，黑客入侵則觸發了法律。但是，當用戶信息存儲于云系統產品上時，還沒有明確的法律規定云服務提供商或者其他官方機構不能夠查看這些信息，以及這些隱私的泄漏會受到什么樣的處罰。

目前大多云系統產品只解決如何實現云平臺，但在如何保護云系統安全方面還沒有明確的答案。云系統的安全問題的解決是關系到云服務能否得到用戶認可的關鍵要素，云系統安全也是阻礙當前云計算應用的主要障礙之一。

因此，針對當前云系統的安全問題，需要一種用于保護云系統的安全監控方法。

發明內容

針對當前云系統的安全問題，本發明提供了一種用于保護云系統的安全監控方法，所述方法包含以下步驟：

監控步驟，基于可信的第三方認證中心針對云系統的應用層和/或基礎層進行安全監控以獲取并記錄針對所述云系統執行的操作；

驗證合法性步驟，通過所述第三方認證中心對所述操作進行合法性驗證，以判斷所述操作是否存在異常；

報警步驟，當所述操作存在異常時發出警報，其中，把針對所述云系統執行的操作按比重劃分權值從而設定相應的報警優先權，當針對所述云系統執行的操作對所述云系統危害越大時，所述權值越大，相應的所述報警優先權越高。

在一實施例中，針對所述應用層的安全監控包括對所述云系統的云控制器節點進行監控。

在一實施例中，針對所述應用層的安全監控還包括針對所述云系統的系統資源進行監控，在針對所述云系統的系統資源進行監控時，對比之前獲取的所述系統資源的監控記錄以及當前的所述系統資源以獲取針對所述云系統執行的操作。

在一實施例中，在針對所述云系統的系統資源進行監控時，利用操作文件、操作類型、操作時間以及操作用戶標記針對所述云系統執行的操作，并采用摘要和對摘要加密的方式獲取所述監控記錄，所述系統資源包含文件、文件夾以及命令，其中：

針對所述文件夾，對所述文件夾的子目錄和權限屬性進行記錄；

針對所述文件，對所述文件的內容和屬性進行記錄；

針對所述命令，對所述命令的二進制文件內容以及權限進行記錄。

在一實施例中，針對所述基礎層的安全監控包括特權域監控，監控所述云系統的包含可直接訪問物理硬件的真實的設備驅動的特權域以獲取所述云系統的基礎設施提供者針對所述云系統執行的操作，其中，所述特權域用于輔助虛擬機監視器管理其他的域并提供虛擬的資源服務。

在一實施例中，針對所述基礎層的安全監控還包括開機啟動監控，監控并記錄所述云系統的開機啟動引導程序的加密內容，并在所述云系統啟動時校驗開機啟動引導程序以獲取針對所述云系統的開機啟動引導程序的操作。

在一實施例中，在所述驗證合法性步驟中，每隔特定時長對所述特定時長內針對所述云系統執行的所有操作進行排查，當沒有存在異常時清除所述特定時長內針對所述云系統執行的所有操作的監控記錄。

在一實施例中，所述方法還包含驗證服務提供商步驟，在所述第三方認證中心每次連接到云系統的服務提供商時對所述服務提供商進行安全驗證，所述監控服務提供商步驟包含以下步驟：

所述第三方認證中心對所述服務提供商進行驗證；

當所述服務提供商進行通過驗證后，存儲所述服務提供商提交的認證數據；

依照特定的認證策略根據所述認證數據對所述服務提供商進行合法性認證以獲取認證結果；

當所述認證結果存在異常時發出警報。

在一實施例中，基于自我學習的方式構建所述特定的認證策略，其中：

以基本的合法性驗證構建最初的所述特定的認證策略；

當出現新的問題并確認合法后，將所述合法的問題加入所述特定的認證策略；