技術領域

本發明涉及虛擬化技術領域，特別涉及一種基于容器的虛擬機安全監測機制。

背景技術

隨著云計算的廣泛推廣及應用，作為云計算關鍵核心技術的虛擬化技術也得到了廣泛應用。虛擬化技術給企業和用戶帶來了很多益處，同時也革新了許多傳統的技術架構。然而，正因為虛擬化的廣泛應用，使得虛擬機漸漸成為各種惡意攻擊的目標。虛擬機運行安全成為虛擬機應用中的重中之重。因此對于虛擬機安全的監測和防御的研究成為目前計算機安全界的研究熱點。

目前，對虛擬機運行安全的研究主要分為兩個方面來開展：第一個方面如何從系統外部對目標系統進行監測；第二個方面側重于如何分析判定目標系統是否異常。

第一方面最初采用的是靜態監測，利用虛擬機快照分析虛擬機快照來監測虛擬機的安全性。此方法缺點是缺乏實時性、動態性。后來發展了動態監測，由于各個客戶虛擬機資源是通過虛擬機監視器統一管理，這使得通過虛擬機監視器動態獲取客戶虛擬機的資源變成了可能。此方法缺點是虛擬機監視器負擔增大。

第二個方面學術界提出多種監測機制，都有不錯的監測效果。但是這兩方面研究中，都是分別進行的，沒有對這兩方面進行統一整合，缺乏一種從資源信息獲取到分析再到處理的一種機制。

另外當前業內只是把特權虛擬機作為一個最高管理者，沒有一種特權虛擬機與客戶虛擬機交互的監測機制，主要側重了通過一臺特權虛擬機監測所有客戶虛擬機安全性的流程，但沒有考慮到擁有大量客戶虛擬機時，如何高效的將性能壓力進行分配的情況，也沒有考慮到服務易部署、易遷移的情況。基于此，本發明提出了一種基于容器的虛擬機安全監測機制。

發明內容

本發明為了彌補現有技術的缺陷，提供了一種簡單高效的基于容器的虛擬機安全監測機制。

本發明是通過如下技術方案實現的：

一種基于容器的虛擬機安全監測機制，其特征在于：包括資源收集，資源分析監測和檢測策略動態分配三部分，不必修改虛擬機監視器VMM和客戶虛擬機操作系統，將包含服務端的容器安裝部署在特權虛擬機上，將包含客戶端的容器安裝部署在客戶虛擬機上；所述資源收集是用客戶端對客戶虛擬機進行實時動態監控掃描，然后將客戶虛擬機資源信息上報服務端，所述資源分析監測是服務端對得到的資源信息進行可配置的分析，并對異常的虛擬機進行處理。

所述特權虛擬機中服務端容器得到客戶虛擬機資源信息后，根據客戶虛擬機的安全級別選擇個性化的分析策略，判斷客戶虛擬機是否異常，并將分析結果上報管理員同時將監測結果細節記錄在log中。

所述檢測策略動態分配是特權虛擬機中服務端容器根據客戶虛擬機的安全級別將分析策略進行個性化定制，使其選擇性的采用分析策略，降低因分析導致的物理主機資源開銷。

本發明的有益效果是：該基于容器的虛擬機安全監測機制，用于服務器集群及資源池中，解決了各種應用環境不同以及應用部署的問題，將應用打包入容器內，充分利用容器隔離性的特點，為應用提供一個獨享的完整用戶環境空間；提高了各個客戶虛擬機的安全性及可靠性，優化了目前業內的安全監測機制，簡化了系統部署的復雜性。

附圖說明

附圖1為本發明基于容器的虛擬機安全監測機制示意圖。

具體實施方式

為了使本發明所要解決的技術問題、技術方案及有益效果更加清楚明白，以下結合附圖和實施例，對本發明進行詳細的說明。應當說明的是，此處所描述的具體實施例僅用以解釋本發明，并不用于限定本發明。

該基于容器的虛擬機安全監測機制，包括資源收集，資源分析監測和檢測策略動態分配三部分，不必修改虛擬機監視器VMM和客戶虛擬機操作系統，將包含服務端的容器安裝部署在特權虛擬機上，將包含客戶端的容器安裝部署在客戶虛擬機上；所述資源收集是用客戶端對客戶虛擬機進行實時動態監控掃描，然后將客戶虛擬機資源信息上報服務端，所述資源分析監測是服務端對得到的資源信息進行可配置的分析，并對異常的虛擬機進行處理。

所述客戶虛擬機上的客戶端容器將自身資源（包括內存，CPU，存儲，網絡等）信息上報特權虛擬機上的服務端容器。

所述特權虛擬機中服務端容器得到客戶虛擬機資源信息后，根據客戶虛擬機的安全級別選擇個性化的分析策略，判斷客戶虛擬機是否異常，并將分析結果上報管理員同時將監測結果細節記錄在log中。

所述檢測策略動態分配是特權虛擬機中服務端容器根據客戶虛擬機的安全級別將分析策略進行個性化定制，使其選擇性的采用分析策略，降低因分析導致的物理主機資源開銷。

該基于容器的虛擬機安全監測機制，用于服務器集群及資源池中，解決了各種應用環境不同以及應用部署的問題，將應用打包入容器內，充分利用容器隔離性的特點，為應用提供一個獨享的完整用戶環境空間；提高了各個客戶虛擬機的安全性及可靠性，優化了目前業內的安全監測機制，簡化了系統部署的復雜性。