一种高可用集群节点安全状态监控方法及系统与流程
本发明涉及计算机技术领域,尤具体地说是一种实用性强、高可用集群节点安全状态监控方法及系统。
背景技术:
计算机系统已全面进入“云计算”、“大数据”时代,由大规模服务器集群响应海量请求和处理海量数据已经成为必然趋势。但是仅仅具有高性能计算能力的集群系统还远远不能满足这种大规模应用的需要,它必须还能够提供连续的服务。所以如何提高集群系统的可用性,尽最大可能避免因系统失效而导致的严重后果,并设计可扩展的高可用集群系统,已经成为当前集群系统研究的热点问题之一。
高可用集群的出现是为了使集群的整体服务尽可能可用,从而减少由计算机硬件和软件易错性所带来的损失。如果某个节点失效,其他节点将在几秒钟的时间内接管它的职责,从而实现业务永不中断。
高可用集群是一个比较复杂的系统,通常由若干个计算机节点组成,而每个计算机节点上又运行着各种各样的资源。对集群中各个节点的安全状态进行监控是集群管理的重要组成部分。集群系统获得的数据可以用于集群系统资源的分配和利用,用户也可以得知节点是否出现故障或者提前采取相关措施防范故障的发生,最终保证集群的安全性、可靠性。
传统集群管理软件没有对节点的安全状态进行验证,如果节点安全性遭到破坏,执行恶意代码,非常容易形成安全隐患。为了确保集群系统运行环境的安全可靠,本发明提出了一种高可用集群节点安全状态监控方法及系统。
技术实现要素:
本发明的技术任务是针对以上不足之处,提供一种实用性强、高可用集群节点安全状态监控方法及系统。
一种高可用集群节点安全状态监控方法,基于由监控节点、管理节点、若干业务节点组成的集群,其实现过程为,监控节点对集群中各个业务节点的安全状态进行检测,当检测到某个业务节点不安全时,及时的将该业务节点上的服务进行迁移至其它业务节点,同时将该业务节点进行隔离。
所述监控节点、管理节点部署配置管理模块,其他业务节点部署配置代理模块,其中,代理模块收集所处业务节点的状态信息,并发送给监控节点、管理节点,监控节点通过管理模块对收集的安全状态信息进行分析,判断业务节点是否安全;管理节点则根据分析结果,通过管理模块对收集的资源信息进行管理,实现对业务节点的资源管理。
监控节点、管理节点对收集到的状态信息进行处理的过程为:
首先进行文件完整性度量,监控节点分析度量业务节点文件的完整性,如果文件度量不通过,说明文件完成性被破坏,则判断该业务节点不安全;
然后进行程序检测,分析业务节点中的程序是否包含在程序白名单中,如果程序不包含在白名单中,说明运行了非法程序,则判断该业务节点不安全;
针对信息的分析结果,如果判定业务节点不安全则将该业务节点上的服务进行迁移,同时将该业务节点进行隔离。
文件完整性度量的具体过程为:调用tcm芯片杂凑算法对业务节点操作系统的文件进行杂凑计算,获得杂凑值,将所得杂凑值与监控节点上本地存储的操作系统文件预期值进行对比,如果相同说明该业务节点操作系统完整性未被破坏,否则该节点完整性被破坏,处于非安全状态。
程序检测的具体过程为:与运行控制白名单逐一匹配,如果存在于白名单则调用tcm密码算法计算程序杂凑值,将杂凑值与白名单内保存的预期值对比,相等则表示程序合法;如果白名单中不存在或者预期值不一致则表示该程序不合法,业务节点处于非安全状态。
一种高可用集群节点安全状态监控系统,包括监控节点、管理节点、若干业务节点组成的集群,其中,监控节点、管理节点部署配置管理模块,其他业务节点部署配置代理模块,其中,代理模块收集所处业务节点的状态信息,并发送给监控节点、管理节点,监控节点通过管理模块对收集的安全状态信息进行分析,判断业务节点是否安全;管理节点则根据分析结果,通过管理模块对收集的资源信息进行管理,实现对业务节点的资源管理。
监控节点、管理节点对收集到的状态信息进行处理,首先度量文件完整度,然后进行程序检测,当文件完整度度量不通过,或程序检测过程中程序不包含在白名单中,则判断业务节点不安全,则根据判断结果,对该业务节点上的服务进行迁移,同时将该业务节点进行隔离。
监控节点、管理节点对收集到的状态信息进行处理过程为:
进行文件完整性度量,监控节点分析度量业务节点文件的完整性,如果文件度量不通过,说明文件完成性被破坏,则判断该业务节点不安全;
然后进行程序检测,分析业务节点中的程序是否包含在程序白名单中,如果程序不包含在白名单中,说明运行了非法程序,则判断该业务节点不安全。
文件完整性度量的具体过程为:调用tcm芯片杂凑算法对业务节点操作系统的文件进行杂凑计算,获得杂凑值,将所得杂凑值与监控节点上本地存储的操作系统文件预期值进行对比,如果相同说明该业务节点操作系统完整性未被破坏,否则该节点完整性被破坏,处于非安全状态。
程序检测的具体过程为:与运行控制白名单逐一匹配,如果存在于白名单则调用tcm密码算法计算程序杂凑值,将杂凑值与白名单内保存的预期值对比,相等则表示程序合法;如果白名单中不存在或者预期值不一致则表示该程序不合法,业务节点处于非安全状态。
本发明的一种高可用集群节点安全状态监控方法及系统,具有以下优点:
本发明的一种高可用集群节点安全状态监控方法及系统,本发明通过文件完整性度量、程序白名单机制等措施提高了业务节点的系统安全级别,可以及时发现系统中存在的潜在威胁;当业务节点的系统遭受破坏后,资源管理模块会将该节点上的服务迁移到其他业务节点上,使得业务资源能够在安全可信的环境中运行,提高系统的安全性,实用性强,适用范围广泛,易于推广。
附图说明
附图1为本发明的实现示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
如附图1所示,一种高可用集群节点安全状态监控方法,该方法通过监控节点对集群中各个节点安全状态进行检测,当检测到节点不安全时,及时的将该节点上的服务进行迁移,同时将该节点进行隔离。
本发明基于由监控节点、管理节点、若干业务节点组成的集群,其实现过程为,监控节点对集群中各个业务节点的安全状态进行检测,当检测到某个业务节点不安全时,及时的将该业务节点上的服务进行迁移至其它业务节点,同时将该业务节点进行隔离。
所述监控节点、管理节点部署配置管理模块,其他业务节点部署配置代理模块,其中,代理模块收集所处业务节点的状态信息,并发送给监控节点、管理节点,监控节点通过管理模块对收集的安全状态信息进行分析,判断业务节点是否安全;管理节点则根据分析结果,通过管理模块对收集的资源信息进行管理,实现对业务节点的资源管理。
代理模块一般是指可信代理软件,管理模块一般是指可信管理软件。
本发明设计的节点安全状态监控方法采取集中式体系结构,在集群中每个业务节点上都设置一个可信代理软件,可信代理软件负责获取本节点的状态信息,并响应监控系统的监控命令。可信管理软件负责收取各监控代理得到的节点状态信息,用于判断节点是否安全。
监控节点、管理节点对收集到的状态信息进行处理的过程为:
首先进行文件完整性度量,监控节点分析度量业务节点文件的完整性,如果文件度量不通过,说明文件完成性被破坏,则判断该业务节点不安全;
然后进行程序检测,分析业务节点中的程序是否包含在程序白名单中,如果程序不包含在白名单中,说明运行了非法程序,则判断该业务节点不安全;
针对信息的分析结果,如果判定业务节点不安全则将该业务节点上的服务进行迁移,同时将该业务节点进行隔离。
文件完整性度量的具体过程为:调用tcm芯片杂凑算法对业务节点操作系统的文件进行杂凑计算,获得杂凑值,将所得杂凑值与监控节点上本地存储的操作系统文件预期值进行对比,如果相同说明该业务节点操作系统完整性未被破坏,否则该节点完整性被破坏,处于非安全状态。
程序检测的具体过程为:与运行控制白名单逐一匹配,如果存在于白名单则调用tcm密码算法计算程序杂凑值,将杂凑值与白名单内保存的预期值对比,相等则表示程序合法;如果白名单中不存在或者预期值不一致则表示该程序不合法,业务节点处于非安全状态。
一种高可用集群节点安全状态监控系统,包括监控节点、管理节点、若干业务节点组成的集群,其中,监控节点、管理节点部署配置管理模块,其他业务节点部署配置代理模块,其中,代理模块收集所处业务节点的状态信息,并发送给监控节点、管理节点,监控节点通过管理模块对收集的安全状态信息进行分析,判断业务节点是否安全;管理节点则根据分析结果,通过管理模块对收集的资源信息进行管理,实现对业务节点的资源管理。
监控节点、管理节点对收集到的状态信息进行处理,首先度量文件完整度,然后进行程序检测,当文件完整度度量不通过,或程序检测过程中程序不包含在白名单中,则判断业务节点不安全,则根据判断结果,对该业务节点上的服务进行迁移,同时将该业务节点进行隔离。
监控节点、管理节点对收集到的状态信息进行处理过程为:
进行文件完整性度量,监控节点分析度量业务节点文件的完整性,如果文件度量不通过,说明文件完成性被破坏,则判断该业务节点不安全;
然后进行程序检测,分析业务节点中的程序是否包含在程序白名单中,如果程序不包含在白名单中,说明运行了非法程序,则判断该业务节点不安全。
文件完整性度量的具体过程为:调用tcm芯片杂凑算法对业务节点操作系统的文件进行杂凑计算,获得杂凑值,将所得杂凑值与监控节点上本地存储的操作系统文件预期值进行对比,如果相同说明该业务节点操作系统完整性未被破坏,否则该节点完整性被破坏,处于非安全状态。
程序检测的具体过程为:与运行控制白名单逐一匹配,如果存在于白名单则调用tcm密码算法计算程序杂凑值,将杂凑值与白名单内保存的预期值对比,相等则表示程序合法;如果白名单中不存在或者预期值不一致则表示该程序不合法,业务节点处于非安全状态。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种高可用集群节点安全状态监控方法及系统的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
- 还没有人留言评论。精彩留言会获得点赞!