[发明专利]基于虚拟机自省技术的云平台安全监控系统及方法

权利要求书

1.基于虚拟机自省技术的云平台安全监控系统，其特征在于：它包括本地安全数据采集子系统、平台安全数据处理子系统、平台安全报告子系统和安全数据存储子系统；

所述的本地安全数据采集子系统用于通过虚拟机管理器VMM提供的操作系统接口采集各被监控系统的安全数据；

所述的平台安全数据处理子系统用于按照探测策略和算法对本地安全数据采集子系统所采集到的每个被监控系统的数据进行分析和处理，以发现各种入侵威胁；同时用于根据需要向本地安全数据采集子系统发出获取数据的请求；

所述的平台安全报告子系统用于向用户产生安全报告：当平台安全数据处理子系统检测到入侵威胁时，在把检测到的结果写入安全数据存储子系统的同时，直接把数据发给平台安全报告子系统以向用户发起通知；当平台安全数据处理子系统没有检测到入侵威胁时，平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统，以便管理员或者用户进行查询或审计；所述的平台安全报告子系统进一步包括报告架构和多个报告生成模块，采用模块插件方式，每种报告生成方式实现为一个模块插入到系统中；

所述的安全数据存储子系统一方面用于存储各个本地数据采集器采集到的安全数据，以便供平台安全数据处理子系统进行数据分析和处理；另一方面用于存储原始安全数据，以便供审计和数据挖掘；

所述的本地安全数据采集子系统至少一个本地数据采集单元和一个数据收发单元，本地数据采集单元包括本地数据采集器和虚拟机管理器VMM，虚拟机管理器VMM通过操作系统接口与至少一个被监控系统相连，本地数据采集器包括操作系统接口库和数据采集模块，虚拟机管理器VMM的硬件状态输出端通过操作系统接口库与数据采集模块连接，数据采集模块分别与数据收发单元相连；

所述的平台安全数据处理子系统包括多个策略模块，采用模块插件方式，每种探测策略实现为一个模块插入到系统中；平台安全数据处理子系统还包括策略引擎和策略架构，安全数据存储子模块通过策略架构与各策略模块连接；

所述的数据收发单元通过策略架构与各策略模块连接，数据收发单元还直接与安全数据存储子系统连接。

2.根据权利要求1所述的基于虚拟机自省技术的云平台安全监控系统，其特征在于：所述的安全数据包括物理内存、磁盘内容或网络连接状态。

3.基于虚拟机自省技术的云平台安全监控方法，其特征在于：它包括以下步骤：

S1：各本地数据采集单元的虚拟机管理器VMM分别通过操作系统接口采集各被监控系统的安全数据；

S2：所采集到的安全数据分别通过数据收发单元存储至安全数据存储子系统；

S3：在需要进行安全数据处理时，平台安全数据处理子系统调用安全数据存储子系统中存储的安全数据，按照探测策略和算法对每个被监控系统的安全数据进行分析和处理，以发现各种入侵威胁；

S4：检测入侵威胁：当平台安全数据处理子系统检测到入侵威胁时，在把检测到的结果写入安全数据存储子系统的同时，直接把数据发给平台安全报告子系统以向用户发起通知；当平台安全数据处理子系统没有检测到入侵威胁时，平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统，以便管理员或者用户进行查询或审计；

所述的平台安全数据处理子系统还包括一个根据需要向本地安全数据采集子系统发出获取数据的请求的步骤，本地安全数据采集子系统接收到该请求后，通过操作系统接口将该请求转发给各本地数据采集单元的虚拟机管理器VMM；当数据采集模块接收到虚拟机管理器VMM对请求的反馈后，通过数据收发单元将该反馈数据转发至平台安全数据处理子系统；在对反馈的数据进行处理的同时，平台安全数据处理子系统将这些反馈数据写入安全数据存储子系统。

4.根据权利要求3所述的基于虚拟机自省技术的云平台安全监控方法，其特征在于：它还包括一个平台安全数据处理子系统通过虚拟机管理器VMM对所监控的虚拟机进行暂停或继续操作的步骤。