[发明专利]基于安全态势感知的计算环境重构动态防御方法及系统

说明书

本发明提供了一种基于安全态势感知的计算环境重构动态防御方法及系统，包括：物理层异构步骤：进行计算环境的物理层异构，在数据中心中将物理设备按云计算技术的不同分为虚拟化和容器组；管理系统重构步骤：在计算环境的物理层异构的基础上实现重构管理系统；虚拟化技术下重构步骤：在实现重构管理系统的基础上实现虚拟化技术下的计算环境重构，包括：Hypervisor的重构，CPU、内存和外设的重构。本发明计算安全性提高：大大提高了云中心计算环境的安全性，通过不断的对计算环境从物理层到应用层的环境重构，大大降低了攻击者攻击成功的概率，增加了攻击的难度，是针对常规防御手段的有益补充。

技术领域

本发明涉及云计算技术领域，具体地，涉及基于安全态势感知的计算环境重构动态防御方法及系统。

背景技术

现有的计算中心普遍采用云计算技术，主要是虚拟化技术和容器技术对资源

进行统一调度和弹性分配。虚拟化技术在提高设备利用率及部署灵活性的同时，也引入带来了新的安全性的挑战。虚拟化环境除了要面临常规安全威胁，还会面临虚拟机跳跃攻击、虚拟机逃逸攻击等新的针对虚拟化环境的安全威胁。由于处在同一Hypervisor都是基于共享内存，虚拟交换连接的，虚拟机跳跃攻击者就可以利用Hypervisor的缺陷获取同一Hypervisor上其他虚拟机的访问权限，攻击其他虚拟机或窃取秘密数据。虚拟机逃逸攻击是指攻击者利用Hypervisor的实现缺陷，利用非法参数造成Hypervisor缓冲区溢出从而逃逸出虚拟机，直接控制虚拟机所在的物理机，逃逸出虚拟机后攻击者就可以以物理宿主机作为跳板机对整个数据中心造成威胁，目前针对数据中心的安全方法，常规的做法还是打补丁，但由于目前攻防的不对称性，防守方一直处于被动地位，因此有必要找到一种新的方法来弥补常规安全方法的不足。

针对上述现有技术中的缺陷，本发明要解决的技术问题体现在以下几点：

1)在计算中心物理层，采用不同厂家，不同型号的CPU实现物理层的异构，通过业务的迁移来实现物理层的重构；

2)通过虚拟化异构动态热迁移实现虚拟化Hypervisor的重构，通过容器动态服务技术实现容器的重构；

3)通过在虚拟化镜像中安装相关驱动实现CPU,内存和重要外设的热拔插，通过动态改变容器的CPU和内存，外设的配额来实现容器的热拔插。

4)整个计算环境重构依赖于系统对安全态势的感知，不同的安全态势对应不同的重构频率，通过相关的重构控制器实现了从物理层，控制层，平台层的不同层次的重构从而有效的弥补了常规安全手段的不足。

相关检索结果：

申请(专利)号:201410206795.1，名称:一种异构CPU服务器集群中虚拟机的热迁移方法及装置

摘要:本发明公开了一种异构CPU服务器集群中虚拟机的热迁移方法，包括：获取当前集群中全部CPU的操作指令集；计算出全部所述操作指令集的最大交集以作为当前集群的CPU指令集基线；在所述CPU指令集基线范围内选取一个目标虚拟机操作指令集，指定给各所述虚拟机以启动当前集群中的各虚拟机；当接收到热迁移指令时，控制目标虚拟机迁移至目标服务器中。由此可见，当虚拟机在热迁移时，不需要考虑目标迁移服务器对应的CPU操作指令集，可以直接进行热迁移，避免了由于异构CPU而造成的迁移失败的问题，从而提高集群的稳定性。此外，本发明还公开一种异构CPU服务器集群中虚拟机的热迁移装置，效果如上所述。

技术要点比较：

1.技术手段目的不同：检索专利主要是保证云中心不同CPU架构的兼容性，而本发明中CPU异构迁移只是实现计算环境重构的技术手段，此外还涉及了设备，内存等重构，容器的异构迁移，最终的目的是弥补常规安全措施的不足。