本發明公開了一種虛擬化平臺安全監控方法及系統。本方法為：1)在主機或者虛擬機上設置一服務器端，在被監控虛擬主機的虛擬機監控器中設置一客戶端；2)服務器端將用戶定制的安全需求解析為統一格式的需求配置文件并存儲；3)客戶端從服務器端獲取該需求配置文件，實時監控采集該虛擬機監控器的運行信息并發送到服務器端；4)服務器端根據歷史采集數據設定異常閾值，然后基于該異常閾值對實時采集的數據進行異常檢測發送給該用戶；5)服務器端根據用戶的確認結果中的正常事件和異常攻擊事件，生成標簽數據；然后基于標簽數據和歷史采集數據建立分類模型，然后利用該分類模型對實時采集的數據進行異常檢測，并將檢測結果發送給用戶。

技術領域

本發明涉及虛擬化平臺安全，具體地說，涉及一種虛擬化平臺安全監控方法及系統。屬于信息安全技術領域。

背景技術

隨著虛擬化技術和云計算技術的不斷成熟與廣泛運用，用戶逐漸將自己的IT基礎設施遷移到虛擬化平臺上，以利用虛擬化技術帶來的各種便利：按需擴展、靈活遷移、數據備份、故障恢復等。

虛擬化平臺是指利用虛擬化技術構建的基礎設施平臺，包括底層硬件、虛擬機監控器(VMM)以及用戶虛擬機。其中，虛擬機監控器是整個體系的核心部分，它是一種系統軟件，直接控制底層硬件，抽象出多個模擬硬件來支撐上層虛擬機的運行。按照傳統的操作系統權限層級來分，VMM運行于Ring 0級別，用戶虛擬機運行于Ring 1-3級別。

目前虛擬化平臺的安全問題是攻擊者可以利用虛擬化平臺的自身漏洞與管理缺陷進行虛擬機逃逸攻擊，從而控制VMM，進而控制所有用戶虛擬機。因此，目前需要保障用戶虛擬機的安全運行以及整個虛擬化平臺的安全運行。而目前的虛擬化平臺安全方案主要解決的問題是用戶虛擬機的安全問題，一種方法是在VMM上構建一個安全虛擬機，用來檢測虛擬機之間的流量，或者利用Virtual Machine introspection技術以無代理方式檢測用戶虛擬機的進程、文件等信息。

但是目前少有技術方案能夠對虛擬機監控器(VMM)進行監控與保護。專利CN201610229787.8利用TPM可信硬件來監控VMM的完整性，這個方案有兩個缺點：1、需要在通用的X86服務器上加裝TPM可信定制硬件，成本較高；2、該方案只能在虛擬機啟動時檢測底層VMM的完整性，無法做到運行時的安全監控。

目前來看，實現虛擬機監控器(VMM)的運行時監控，從而保證虛擬機監控器(VMM)的正常運行是現有技術方案無法解決的。

發明內容

本發明的目的在于克服現有技術中存在的問題，提供一種虛擬化平臺安全監控方法及系統，能夠實時、細粒度的監控運行中的虛擬機監控器，從而保證其安全。

本發明所述虛擬化平臺安全監控系統包括：

服務器端和客戶端，服務器端運行在主機或者虛擬機的操作系統之上，包括策略分析模塊，數據分析模塊，數據存儲模塊，客戶端運行在被監控虛擬主機的虛擬機監控器中，包括信息采集模塊：

a)用戶登陸系統并定制安全需求；

b)策略分析模塊將用戶定制的安全需求解析為統一格式的需求配置文件(XML)，并將其發送到數據存儲模塊中；

c)信息采集模塊從數據存儲模塊獲取需求配置文件，并根據配置文件初始化設置信息采集的種類和工作方式，并開始實時監控所在主機的虛擬機監控器(VMM)，采集虛擬機監控器的運行信息并發送到數據存儲模塊中；

d)數據分析模塊讀取數據存儲模塊中存儲的歷史采集數據，運行聚類算法得出正常的分類模型，并根據生成的模型參數設定異常閾值(得到分類模型后確定每個類的最大離心距離，根據這些距離值設定異常閾值)，基于此閾值對實時采集來的數據進行異常檢測，并將檢測出的異常報警發送給用戶；

e)用戶對異常報警進行排查與確認，并將確認結果反饋給數據分析模塊；