[发明专利]基于虚拟机自省技术的云平台安全监控系统及方法

说明书

技术领域

本发明涉及云平台入侵检测领域，特别是涉及一种基于虚拟机自省技术的云平台安全监控系统及方法。

背景技术

基于虚拟机自省技术VMI（Virtual Machine Introspection）的IDS是一种在虚拟机外部监控虚拟机内部运行状态的方法，能够观察到被监控系统的内部状态，同时与被监控系统相隔离，从而解决了传统IDS带来的难题。

现在基于VMI的入侵检测系统的架构都是以物理服务器为基本单位，每台物理服务器上都部署一台监控虚拟机用来监控同服务器上的其它虚拟机。但是这些入侵检测系统之间是相互独立的，不支持信息共享，也不进行通信。每个入侵检测系统都是根据本地信息对本地虚拟机进行检测。

现有VMI技术架构如图1所示，因为现有的基于VMI技术的入侵检测系统是以物理服务器为单位独立进行的，因此在云平台上使用该架构存在着如下问题：

第一，云平台管理员无法得到云平台的整体检测状况。因为每个检测系统都只能提供本地服务器的检测状况，而云平台上会有上百、上千、甚至上万台服务器，所以让管理员从这么多检测系统来总结出整个平台的检测情况几乎是不可能的。

第二，无法检测到对多台虚拟机的联合攻击。有些对云平台的攻击，比如分布式拒绝服务攻击（DDoS），在攻击刚开始的时候，因为云平台的资源池巨大，不易从单台服务器上检测出轻微攻击，只有当攻击程度相当高的时候，才能从单台服务器上检测出来，而这个时候已经为时过晚。

第三， 在虚拟机迁移时，如何保持对虚拟机的不间断监控问题。当一台虚拟机从一台物理服务器迁移到另一台物理服务器的时候，意味着对该虚拟机的检测会从原来物理服务器上的入侵检测系统转移到目标物理服务器上的入侵检测系统。因为传统架构下这两个检测系统是相互独立的，所以就无法将原检测系统上的有关数据传送到新的检测系统中去，并且在迁移的过程中会有一段时间没有任何检测系统对该虚拟机进行检测，出现监控间断。

第四，因为每个物理服务器上都部署一个入侵检测系统，所有部署、维护和更新入侵检测，以及相应的检测策略规则、病毒库等资源需要逐一进行。这不仅仅带来了大量的管理工作量，而且容易产生更新遗露，以及更新不及时，从而给整个平台的安全性带来威胁。

第五，因为一台虚拟机在其生命周期中会运行在不同的物理服务器上，所以对该虚拟机的监控信息也是分散在多台物理服务器上的。所以，如果需要审计一台虚拟机，只能从所有平台的物理服务器监控记录中寻找相关的信息，这将是一个很复杂费时的工作。并且，也会存在监控空隙。

发明内容

本发明的目的在于克服现有技术的不足，提供一种新型的基于虚拟机自省技术的云平台安全监控系统及方法，对整个平台的所有虚拟机和物理服务器进行统一的监控，即使是每一台虚拟机的资源使用量只有小量上升的联合攻击，也能予以准确检测；对于虚拟机的监控放在平台级，而不是物理服务器级，当虚拟机从一台物理服务器迁移到另一台物理服务器时，只是数据采集地点发生变化，新的物理服务器上的数据采集系统自动采集迁移前物理服务器上的数据，从而实现对虚拟机的不间断监控，能够在虚拟机迁移时提供监控数据的平滑移交；可快速停止受入侵攻击的虚拟机，避免更多的虚拟机受到入侵攻击。

本发明的目的是通过以下技术方案来实现的：基于虚拟机自省技术的云平台安全监控系统，它包括本地安全数据采集子系统、平台安全数据处理子系统、平台安全报告子系统和安全数据存储子系统；

所述的本地安全数据采集子系统用于通过虚拟机管理器VMM提供的操作系统接口采集各被监控系统的安全数据；

所述的平台安全数据处理子系统用于按照探测策略和算法对本地安全数据采集子系统所采集到的每个被监控系统的数据进行分析和处理，以发现各种入侵威胁；同时用于根据需要向本地安全数据采集子系统发出获取数据的请求；

所述的平台安全报告子系统用于向用户产生安全报告：当平台安全数据处理子系统检测到入侵威胁时，在把检测到的结果写入安全数据存储子系统的同时，直接把数据发给平台安全报告子系统以向用户发起通知；当平台安全数据处理子系统没有检测到入侵威胁时，平台安全数据处理子系统将其完成的探测任务情况写入安全数据存储子系统，以便管理员或者用户进行查询或审计；

所述的安全数据存储子系统一方面用于存储各个本地数据采集器采集到的安全数据，以便供平台安全数据处理子系统进行数据分析和处理；另一方面用于存储原始安全数据，以便供审计和数据挖掘。

所述的安全数据包括物理内存、磁盘内容或网络连接状态。