基于云平台的虚拟机资源安全监控及风险预处理系统的制作方法

基于云平台的虚拟机资源安全监控及风险预处理系统的制作方法
【专利摘要】一种基于云平台的虚拟机资源安全监控及风险预处理系统，通过在运行云平台Compute服务的计算节点布置本发明的虚拟机资源监控模块，在运行云平台Compute服务的收集节点上布置本发明的资源数据收集和资源数据分析模块，在同时运行云平台Horizon、Glance、Swift服务的同一主控节点上布置本发明的风险处理和监控管理模块来实现对云平台计算节点上虚拟机的资源安全监控和风险预处理。本发明使管理员可以通过本发明查看各计算节点上被监控虚拟机的资源使用状况和安全状况，并在管理员长时间未处理不安全虚拟机的情况下自主对不安全虚拟机实施管理。本发明可应用于云计算平台资源监控中。
【专利说明】
基于云平台的虚拟机资源安全监控及风险预处理系统
技术领域
[0001]本发明属于计算机技术领域，更进一步涉及信息安全技术领域中的一种基于云平台的虚拟机资源安全监控及风险预处理系统。本发明可用于云平台架构中计算节点上所运行虚拟机的的资源监控、安全性判断及进行相应的预处理。
【背景技术】
[0002]随着云平台的普及，越来越多的企业将服务器的部署方式从实体改为云平台，既有利于部署空间的节约，也有利于针对服务需求的资源量进行动态分配。
[0003]监控是云平台的重要组成部分，它是云计算平台中所有管理的前提，可以帮助云平台动态量化资源使用、监测服务缺陷等，对提供云平台的服务质量发挥着重要的作用。
[0004]Abhinav Srivastava等人在其发表的论文 “CloudVM1: Virtual MachineIntrospect1n as a Cloud Service，，(2014IEEE Internat1nal Conference on CloudEngineering)中提出了以VMI为基础的的CloudVMI系统架构。该论文中将VMI作为一种云平台上的服务，部署到各物理节点之上，采用LibVMI对物理节点上的各个虚拟机进行资源收集。该论文提出的系统架构，有效地屏蔽了虚拟机内恶意程序的攻击，但是，该系统存在的不足之处是，没有充分利用到该系统获取到的监控信息，对获取到的监控信息中的进程事件信息造成了浪费。
[0005]梁宇等人在其论文“基于OpenStack资源监控系统”(《计算机系统应用》2014年第23卷第4期)中提出了一种基于OpenStack的资源监控系统。该系统的共分为worker、database、server、common和c I ient五个模块。其中worker为其主要监控模块。worker模块以Libvirt为核心API，部署于各物理节点之上，管理和监测该节点运行的目标虚拟机的物理资源状态如内存、CPU、硬盘等。该系统存在的不足之处是，由于该系统的监控模块只获取了虚拟机的物理资源信息，导致该监控系统的监控力度不足。

【发明内容】

[0006]本发明的目的在于针对上述现有技术存在的问题，提供一种基于云平台的虚拟机资源安全监控及风险预处理系统。本发明可实时监控云平台计算节点上运行的被监控虚拟机的资源信息和安全状态信息，对处于不安全状态的被监控虚拟机能够及时做出处理建议和处理响应，减少被监控虚拟机内潜在威胁可能给用户带来的损失，并保证监控系统所得资源信息的准确性。
[0007]本发明解决上述技术问题的技术方案是:本发明包括虚拟机资源监控模块、资源数据收集模块、资源数据分析模块、风险处理模块和监控管理模块。
[0008]本发明的虚拟机资源监控模块，布置在运行着云平台Compute服务的计算节点之上，用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息，并将进程物理页信息进行语义修复，修复为进程结构体信息，再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块。
[0009]本发明的资源数据收集模块，布置在运行着云平台Compute服务的收集节点之上，用于接收虚拟机资源监控模块发送的数据，并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类，再按照预先格式将分类后的数据进行持久化存储。
[0010]本发明的资源数据分析模块，布置在运行着云平台Compute服务的收集节点之上，用于获取资源数据收集模块分类存储后的信息，取得的进程结构体信息用于建立进程预期行为模型，取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型，通过分析判断将验证结果分为可信、可疑和危险三种状态结果，再将判断的状态结果发送到风险处理模块。
[00?? ] 本发明的风险处理模块，布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上，接收资源数据分析模块发送来的分析状态结果，对分析状态结果中由资源数据分析模块判断得到的可信状态结果，将可信状态结果直接转发到监控管理模块；对分析状态结果中由资源数据分析模块判断得到的可疑状态结果和危险状态结果，则由风险处理模块制定对应的处理建议，再将分析状态结果中的可疑状态结果、危险状态结果和风险处理模块做出的对应的处理建议一并发送给监控管理模块，若监控管理模块对可疑和危险状态结果给出未响应信息，则由风险处理模块自行对被监控虚拟机做出相应处理，再将风险处理模块的处理结果发送到监控管理模块。
[0012]本发明的监控管理模块，布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上，用于启动整个监控系统，系统启动之后用于接收本发明的资源数据收集模块发送来的物理资源信息和风险处理模块发送来的风险处理信息，再将收到的物理资源信息和风险处理信息通过web界面进行展示;并将本发明的风险处理模块发送的风险处理信息中的可疑或危险状态结果，连同风险处理模块发送的处理建议一起通知云平台管理员，若云平台管理员在一定时间内未处理，监控管理模块则发送可疑或危险状态结果的未响应信息给风险处理模块。
[0013]与现有技术相比，本发明具有以下优点。
[0014]第一，由于本发明的虚拟机资源监控模块布置在被监控虚拟机的计算节点之上而不是在被监控虚拟机之内，克服了现有技术中在被监控虚拟机内置入代理导致的影响被监控虚拟机性能的问题，使得本发明减少了资源监控引起的被监控虚拟机的性能损耗。
[0015]第二，由于本发明的虚拟机资源监控模块对被监控虚拟机的进程物理页进行了语义修复，获取了被监控虚拟机的进程实际运行信息，克服了现有技术中监控力度不足的问题，使本发明可以获取更多监控信息，为本发明对被监控虚拟机的安全性判断提供了有效数据，提高了安全性判断的有效性。
[0016]第三，由于本发明的风险处理模块在云平台管理员长时间未处理不安全虚拟机的情况下可以自主管理虚拟机，克服了现有技术中对被监控虚拟机管理措施不足的问题，使本发明可以及时制止不安全虚拟机对用户资源的损害行为，加强了本发明的管理力度，减少了不安全虚拟机带给用户的损失。
【附图说明】
[0017]图1为本发明的结构示意图；
[0018]图2为本发明的架构框图；
[0019]图3为本发明的运行图。
【具体实施方式】
[0020]下面结合附图对本发明做进一步的详细描述。
[0021 ]参照附图1，本发明包括虚拟机监控模块，资源数据收集模块，资源数据分析模块，风险处理模块，监控管理模块;虚拟机监控模块布置在运行着云平台Compute服务的计算节点之上，用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息，并将进程物理页信息进行语义修复，修复为进程结构体信息，再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块。
[0022]资源数据收集模块布置在运行着云平台Compute服务的收集节点之上，用于接收虚拟机资源监控模块发送的数据，并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类，再按照预先格式将分类后的数据进行持久化存储。
[0023]资源数据分析模块布置在运行着云平台Compute服务的收集节点之上，用于获取资源数据收集模块分类存储后的信息，取得的进程结构体信息用于建立进程预期行为模型，取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型，通过分析判断将验证结果分为可信、可疑和危险三种状态结果，再将判断的状态结果发送到风险处理模块。
[0024]风险处理模块布置在同时运行着云平台Horizon、Glance、Swi ft服务的同一主控节点之上，接收资源数据分析模块发送来的分析状态结果，对分析状态结果中由资源数据分析模块判断得到的可信状态结果，将可信状态结果直接转发到监控管理模块;对分析状态结果中由资源数据分析模块判断得到的可疑状态结果和危险状态结果，则由风险处理模块制定对应的处理建议，再将分析状态结果中的可疑状态结果、危险状态结果和风险处理模块做出的对应的处理建议一并发送给监控管理模块，若监控管理模块对可疑和危险状态结果给出未响应信息，则由风险处理模块自行对被监控虚拟机做出相应处理，再将风险处理模块的处理结果发送到监控管理模块。
[0025]监控管理模块布置在同时运行着云平台Horizon、Glance、Swi ft服务的同一主控节点之上，用于启动整个监控系统；系统启动之后用于接收资源数据收集模块发送来的物理资源信息和风险处理模块发送来的风险处理信息，再将收到的物理资源信息和风险处理信息通过web界面进行展示;并将风险处理模块发送的风险处理信息中的可疑或危险状态结果，连同风险处理模块发送的处理建议一起通知云平台管理员，若云平台管理员在一定时间内未处理，监控管理模块则发送可疑或危险状态结果的未响应信息给风险处理模块。
[0026]参照附图2，本发明的虚拟机监控模块包括调整型内核单元、进程跟踪单元、语义修复单元和程序行为收集单元;调整型内核单元用于收集被监控虚拟机的物理资源信息和进程物理页信息；进程跟踪单元用于收集被监控虚拟机的进程实际运行信息;语义修复单元用于对调整型内核单元收集的进程物理页信息进行语义修复，修复为进程结构体信息，并对调整型内核单元收集的物理资源信息进行整合;程序行为收集单元用于整合进程跟踪单元收集的进程实际运行信息。
[0027]本发明的资源数据收集模块包含信息区分单元和持久化存储单元;信息区分单元用于将虚拟机监控模块发送到的资源监控信息分为进程结构体信息、进程实际运行信息和物理资源信息三类;持久化存储单元用于将信息区分单元分类后的数据按照预定的格式做出持久化存储。
[0028]本发明的资源数据分析模块包含程序行为建立单元和程序安全性分析单元;程序行为建立单元从资源数据收集模块获取进程结构体信息，结合进程对应的源码或可执行程序获得合法序列模型，通过调用图模型获得系统调用及系统调用之间的关系，并抽象出系统调用节点，建立进程对应的预期行为模型;程序安全性分析单元从资源数据收集模块获取进程实际运行信息和物理资源信息，验证资源数据分析模块的程序行为建立单元建立的预期行为模型，并通过分析判断将验证结果分为可信、可疑和危险三种状态。
[0029]参照附图3，以本发明的一次监控和处理为例，说明本发明中各功能模块的执行顺序如下:
[0030](I)通过监控管理模块启动监控系统。
[0031](2)监控系统启动之后，虚拟机资源监控模块开始收集所在计算节点上运行着的被监控虚拟机的资源信息。
[0032](3)资源数据收集模块接收到虚拟机资源监控模块收集的资源信息后，对资源信息进行分类并按照预定格式进行存储。
[0033](4)资源数据分析模块获取资源数据收集模块处理存储的资源信息，再对资源信息进行安全性分析。
[0034](5)风险处理模块接收资源数据分析模块做出的分析结果，针对不同的分析结果做出相应的处理。
[0035](6)监控管理模块接收资源数据收集模块发送的资源信息、接收风险处理模块发送的风险情况和对分析结果做出的处理建议，展示到界面并通知观念管理员。
[0036](7)风险处理模块判断管理员是否响应，如果管理员响应，跳至步骤(8);如未响应，跳至步骤(9)。
[0037](8)本次监控处理结束。
[0038](9)风险处理模块自主处理管理员未相应的不安全虚拟机。
【主权项】
1.一种基于云平台的虚拟机资源安全监控及风险预处理系统，包括虚拟机资源监控模块、资源数据收集模块、资源数据分析模块、风险处理模块和监控管理模块； 所述的虚拟机资源监控模块，布置在运行着云平台Compute服务的计算节点之上，用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息，并将进程物理页信息进行语义修复，修复为进程结构体信息，再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块； 所述的资源数据收集模块，布置在运行着云平台Compute服务的收集节点之上，用于接收虚拟机资源监控模块发送的数据，并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类，再按照预先格式将分类后的数据进行持久化存储； 所述的资源数据分析模块，布置在运行着云平台Compute服务的收集节点之上，用于获取资源数据收集模块分类存储后的信息，取得的进程结构体信息用于建立进程预期行为模型，取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型，通过分析判断将验证结果分为可信、可疑和危险三种状态结果，再将判断的状态结果发送到风险处理模块； 所述的风险处理模块，布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上，接收资源数据分析模块发送来的分析状态结果，对分析状态结果中由资源数据分析模块判断得到的可信状态结果，将可信状态结果直接转发到监控管理模块;对分析状态结果中由资源数据分析模块判断得到的可疑状态结果和危险状态结果，则由风险处理模块制定对应的处理建议，再将分析状态结果中的可疑状态结果、危险状态结果和风险处理模块做出的对应的处理建议一并发送给监控管理模块，若监控管理模块对可疑和危险状态结果给出未响应信息，则由风险处理模块自行对被监控虚拟机做出相应处理，再将风险处理模块的处理结果发送到监控管理模块； 所述的监控管理模块，布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上，用于启动整个监控系统；系统启动之后用于接收资源数据收集模块发送来的物理资源信息和风险处理模块发送来的风险处理信息，再将收到的物理资源信息和风险处理信息通过web界面进行展示;并将风险处理模块发送的风险处理信息中的可疑或危险状态结果，连同风险处理模块发送的处理建议一起通知云平台管理员，若云平台管理员在一定时间内未处理，监控管理模块则发送可疑或危险状态结果的未响应信息给风险处理模块。2.根据权利要求1所述的基于云平台的虚拟机资源安全监控及风险预处理系统，其特征在于:所述的虚拟机资源监控模块包括调整型内核单元、进程跟踪单元、语义修复单元和程序行为收集单元;所述的调整型内核单元用于收集被监控虚拟机的物理资源信息和进程物理页信息;所述的进程跟踪单元用于收集被监控虚拟机的进程实际运行信息;所述的语义修复单元用于对调整型内核单元收集的进程物理页信息进行语义修复，修复为进程结构体信息，并整合调整型内核单元收集的物理资源信息;所述的程序行为收集单元用于整合进程跟踪单元收集的进程实际运行信息。3.根据权利要求1所述的基于云平台的虚拟机资源安全监控及风险预处理系统，其特征在于:所述的资源数据收集模块包含信息区分单元和持久化存储单元;所述的信息区分单元用于将虚拟机监控模块发送到的资源监控信息分为进程结构体信息、进程实际运行信息和物理资源信息三类;所述的持久化存储单元用于将信息区分单元分类后的数据按照预定的格式做出持久化存储。4.根据权利要求1所述的基于云平台的虚拟机资源安全监控及风险预处理系统，其特征在于:所述的资源数据分析模块包含程序行为建立单元和程序安全性分析单元;所述的程序行为建立单元从资源数据收集模块获取进程结构体信息，结合进程对应的源码或可执行程序获得合法序列模型，通过调用图模型获得系统调用及系统调用之间的关系，并抽象出系统调用节点，建立进程对应的预期行为模型;所述的程序安全性分析单元从资源数据收集模块获取进程实际运行信息和物理资源信息，验证资源数据分析模块的程序行为建立单元建立的预期行为模型，并通过分析判断将验证结果分为可信、可疑和危险三种状态。
【文档编号】G06F9/455GK105843671SQ201610164765
【公开日】2016年8月10日
【申请日】2016年3月22日
【发明人】马卓, 郑天翔, 姜奇, 童跃, 张俊伟, 马建峰, 王葵, 张梦
【申请人】西安电子科技大学