面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
【专利摘要】本发明公开了一种面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法,属于信息安全领域,包括用户行为异常检测、虚拟机迁移、安全隔离三个实施阶段。首先,将相同密级网络的用户与虚拟机绑定起来,利用相同密级网络中用户操作行为之间的相似性构建用户行为特征库;其次,将实时用户行为特征与历史用户行为特征库匹配,计算用户当前操作威胁等级,选择迁移目标主机,将具有潜在威胁的虚拟机迁移到虚拟机安全隔离模型中执行;最后,虚拟机安全隔离模型代为执行虚拟机进程请求的系统调用。该方法避免了虚拟机进程直接访问宿主机系统资源,减少虚拟机进程对内核的依赖,提高了宿主机系统的安全性,达到了虚拟机安全隔离的目的。
【专利说明】面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
【技术领域】
[0001]本发明属于信息安全领域,涉及云计算中的虚拟化技术,尤其是一种面向多安全等级虚拟桌面系统中虚拟机安全隔离系统及方法。
【背景技术】
[0002]随着移动互联网应用的部署,系统资源在规模上不断扩展,当前计算机领域面临着如何保护数据中心信息安全以及充分利用硬件资源的重大问题。传统的桌面PC作为IT资源中最普遍也是最重要的办公设备,越来越暴露出它的弊端和不便,例如:系统安全性不高,信息易泄露,资源利用率低等问题。然而,云桌面解决方案的出现,让虚拟化技术又迎来了一个新的春天。虚拟化技术通过在一个物理平台上虚拟出更多的虚拟机,其中每一个虚拟机可以作为独立的终端加入到云端的分布式系统。因此,同直接使用物理平台相比较,使用虚拟化技术使得资源在有效利用、动态调配、高可靠性等方面有着巨大的优势。
[0003]近年来,云计算的兴起,支撑着云计算的虚拟化技术得到了飞速发展,利用虚拟化技术可以更加充分地利用原有的IT资源,并日益成为云桌面解决方案技术研究的热点。
[0004]可是,在安全性方面,虚拟桌面系统中虚拟机操作系统之间面临的一个挑战来自于互相之间存在的相互独立性和资源互操作性之间的矛盾,即每个虚拟机都希望能够运行在一个相对独立的系统环境下,不受其他虚拟机的影响,同时能够限制虚拟机对宿主机系统敏感资源的访问,以此防止恶意代码的执行,达到保护虚拟机寄宿主机操作系统资源安全的目的。云计算通常使用服务器虚拟化技术利用各个虚拟机之间天然的自然分离安全优势,在不同虚拟桌面用户之间形成某种程度的虚拟机安全隔离。虚拟机安全技术包括:监督模式执行保护(Supervision Mode Execution Protection, SMEP),控制群组(ControlGroups, cgroups), Linux 内核安全特性 SELinux (Security-Enhanced Linux), RedHat 公司的sVirt技术,Intel公司的可信执行技术(Trusted Execution Technology, TXT),以及客户机镜像文件加密等。然而,凭借虚拟化安全技术自然实现的虚拟机与宿主机之间的隔离并不具有抵抗恶意攻击的强度。
[0005]目前,研究者们针对虚拟机的安全隔离机制,提出了基于虚拟化技术的虚拟安全隔离机制。Figueiredo, Santhanam, Krsul等人分别提出了基于虚拟机技术实现的Grid环境下的隔离执行机制。但是,此类基于虚拟机的安全隔离机制的研究主要集中于实现隔离系统的方式,无法实现对宿主机系统资源的直接重用。此外,一些研究者提出了平台安全的虚拟化方法,通过控制内存管理单元来对操作系统内核遮蔽应用程序内存,即使操作系统内核被恶意控制也不能访问被遮蔽的应用程序内存,然而此种由虚拟机监控器(VirtualMachine Monitor, VMM)以及管理虚拟机(Management VM, MVM)实现的虚拟机之间的隔离并不能有效抵御由系统管理员的数据中心内部攻击者发起的攻击。
[0006]简而言之,目前所有数据中心虚拟机安全隔离解决方案还没有针对多安全等级虚拟桌面系统的情况,以及现有的虚拟机安全隔离机制无法解决宿主机系统资源重用、超权限者内部发起攻击等问题。综上所述,提出一种面向多安全等级虚拟桌面系统中虚拟机安全隔离系统及方法。
【发明内容】
[0007]针对以上现有技术中的不足,本发明的目的在于提供一种有效地保护宿主机操作系统资源安全面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法,本发明的技术方案如下:
[0008]一种面向多安全等级虚拟桌面系统虚拟机安全隔离系统,其包括用户行为采集模块、用户行为建模模块、用户行为分析模块、响应模块、虚拟机迁移模块以及虚拟机隔离模块;其中
[0009]用户行为采集模块:用于获取用户所对应虚拟机的流量消耗值、内存占用率、存储增长量以及系统调用时间值,并对获得的流量消耗值、内存占用率、存储增长量以及系统调用时间值进行过滤预处理;
[0010]用户行为建模模块:用于根据用户行为采集模块预处理后的训练数据建立用户行为特征库;
[0011]用户行为分析模块:用于根据用户行为采集模块实时采集的用户对应虚拟机的数据作为输入量,并以用户行为特征库作为参考量分析用户的行为正常或是异常;
[0012]响应模块:用于对所述用户行为分析模块的分析结果进行响应,当监测到异常时,根据用户日志库中记录的用户行为威胁等级进行停机处理或迁移处理;
[0013]虚拟机迁移模块:用于当响应模块发出迁移处理指令时,选择迁移目的主机,进行虚拟机的迁移;
[0014]虚拟机隔离模块:用于建立装载待迁移虚拟机的安全隔离模型。
[0015]一种基于所述系统的面向多安全等级虚拟桌面系统中虚拟机的安全隔离方法,其包括以下步骤:
[0016]201、获取用户所对应虚拟机的流量消耗值、内存占用率、存储增长量以及系统调用时间值,并对获得的流量消耗值、内存占用率、存储增长量以及系统调用时间值进行过滤预处理;
[0017]202、将正常用户的数据作为训练数据,根据预处理后的训练数据建立用户行为特征库;
[0018]203、根据实时采集的用户对应虚拟机的数据作为输入量,并以用户行为特征库作为参考量分析用户的行为正常或是异常;
[0019]204、对步骤203中的分析结果进行监测,当监测到异常时,根据用户日志库中记录的用户行为威胁等级进行停机处理或迁移处理;
[0020]205、当响应模块发出迁移处理指令时,选择迁移目的主机,进行虚拟机的迁移;并将待迁移虚拟机装载进安全隔离模型,实现虚拟机的安全隔离。
[0021]步骤203中运用k-means聚类算法来检测当前用户行为,判断当前用户操作行为是否异常。
[0022]步骤205中迁移目的主机的选择步骤包括:
[0023]Al、限定宿主机负载的上限阈值Lvni _和下限阈值Lvni niin;
[0024]A2、对宿主机后续时间节点负载趋势进行预测,在负载呈下降趋势的宿主机中选择迁移目的主机。
[0025]本发明的优点及有益效果如下:
[0026]本发明的方法通过对KVM自身的安全机制研究,从目前虚拟机隔离研究存在的问题入手提出一种集异常检测技术、迁移技术和沙箱技术为一体的虚拟机安全隔离方法。该方法运用可信计算平台,将相同密级网络的用户行为和虚拟机关联起来,在用户日志库中,记录了每个虚拟机用户的操作历史资料,并且计算出每个虚拟机所对应的用户实时操作行为的威胁等级,虚拟机迁移模块则根据计算出的威胁等级做出迁移响应,将具有潜在威胁的虚拟机迁移至虚拟机安全隔离模型,当运行于虚拟机安全隔离模型中的虚拟机请求执行系统调用时,由虚拟机安全隔离模型代为执行,即将模拟处理器QEMU模拟产生的系统调用转化成进程间通信(Inter-Process Communication, IPC)请求,传送到虚拟机安全隔离模型,最后虚拟机安全隔离模型根据制定的强关联访问策略访问系统资源,最后把运算结果返回给虚拟机。该虚拟机安全隔离方法引入了相同密级网络用户操作行为的相似性,将用户行为和特定虚拟机绑定形成强关联访问控制策略,由虚拟机安全隔离模型代为执行系统调用访问宿主机系统资源,中转计算结果给虚拟机,避免了虚拟机直接访问宿主机系统资源,减少虚拟机对内核的依赖,提高了宿主机系统的安全性。
【专利附图】
【附图说明】
[0027]图1是本发明的一个优选实施例系统结构示意图;
[0028]图2是本发明的优选实施例实施结构示意图;
[0029]图3是本发明的用户行为异常检测结构示意图;
[0030]图4是本发明的虚拟机迁移结构示意图;
[0031]图5是本发明的虚拟机安全隔离模型执行流程示意图。
【具体实施方式】
[0032]下面结合附图给出一个非限定性的实施例对本发明作进一步的阐述。
[0033]如图1所示为本发明的实施例系统结构图,包括:客户端、安全认证网关、服务器端三大模块。其中,面向用户的客户端可以是普通电脑,也可以是瘦客户端或者专用小型机终端;安全认证网关功能是提供一个完整的多密级网络统一身份认证,实现对多密级网络用户的统一认证和管理;服务器端硬件可以采用中端或者高端配置服务器,通过服务器虚拟化技术在宿主机系统上按需创建虚拟机,每个虚拟机对应一个终端桌面用户。
[0034]如图2所示为本发明的实施结构示意图。面向多安全等级虚拟桌面系统虚拟机安全隔离系统,其包括用户行为采集模块、用户行为建模模块、用户行为分析模块、响应模块、虚拟机迁移模块以及虚拟机隔离模块;其中
[0035]用户行为采集模块:用于获取用户所对应虚拟机的流量消耗值、内存占用率、存储增长量及系统调用时间值,并对获得的流量消耗值、内存占用率、存储增长量及系统调用时间值进行过滤预处理;
[0036]用户行为建模模块:用于根据用户行为采集模块预处理后的训练数据建立用户行为特征库;
[0037]用户行为分析模块:用于根据用户行为采集模块实时采集的用户对应虚拟机的数据作为输入量,并以用户行为特征库作为参考量分析用户的行为正常或是异常;
[0038]响应模块:用于对所述用户行为分析模块的分析结果进行响应,当监测到异常时,根据用户日志库中记录的用户行为威胁等级进行停机处理或迁移处理;
[0039]虚拟机迁移模块:用于当响应模块发出迁移处理指令时,选择迁移目的主机,进行虚拟机的迁移;
[0040]虚拟机隔离模块:用于建立装载待迁移虚拟机的安全隔离模型。
[0041]具体说明本发明的详细实施过程,主要包括如下3个步骤:
[0042]S1:对绑定用户身份虚拟机的用户行为进行统计和分析,即异常检测;
[0043]S2:根据用户行为威胁等级触发相应的虚拟机迁移操作,即虚拟机迁移;
[0044]S3:对迁移到安全隔离模型中的虚拟机进行系统调用中转执行,即虚拟机隔离。
[0045]上述步骤SI用户行为异常检测操作参照图3所示,具体可以分为如下3个步骤:
[0046]Sll:用户行为采集模块是获取用户所对应虚拟机的流量消耗、内存占用、存储增长、系统调用时间等数据,并对该多维数据进行预处理,然后把处理过的数据传送给用户行为建模模块来对用户行为进行建模。其中,需要收集的数据为用户正常情况下使用虚拟桌面服务的数据。
[0047]S12:用户行为建模模块的主要任务是负责建立多密级网络系统中用户的正常行为特征库。用户行为特征库是指用户特定数据的一个记录,具体描述了用户是如何使用虚拟桌面服务的,包括每天不同时段内的流量使用序列、系统调用序列等。
[0048]S13:用户行为分析模块实时接收用户对应虚拟机的流量消耗、内存占用、存储增长、系统调用时间这四维特征向量,将其作为分析模块输入特征向量,并计算检测结果。新的用户行为Xi归属于用户特征库X,当判断为正常行为时需要对用户特征库X进行更新,丰富特征库样本容量。同时,将得到的异常结果更新到用户日志库,以便响应模块查询。
[0049]其中,所述步骤S13中用户行为特征库更新操作分为如下3个步骤:
[0050]S131:若XP+1=Xi,那么X={X∪XPX+1};
[0051]S132:x中同密级网络用户行为类中心
【权利要求】
1.一种面向多安全等级虚拟桌面系统虚拟机安全隔离系统,其特征在于:包括用户行为采集模块、用户行为建模模块、用户行为分析模块、响应模块、虚拟机迁移模块以及虚拟机隔离模块;其中 用户行为采集模块:用于获取用户所对应虚拟机的流量消耗值、内存占用率、存储增长量以及系统调用时间值,并对获得的流量消耗值、内存占用率、存储增长量以及系统调用时间值进行过滤预处理; 用户行为建模模块:用于根据用户行为采集模块预处理后的训练数据建立用户行为特征库; 用户行为分析模块:用于根据用户行为采集模块实时采集的用户对应虚拟机的数据作为输入量,并以用户行为特征库作为参考量分析用户的行为正常或是异常; 响应模块:用于对所述用户行为分析模块的分析结果进行响应,当监测到异常时,根据用户日志库中记录的用户行为威胁等级进行停机处理或迁移处理; 虚拟机迁移模块:用于当响应模块发出迁移处理指令时,选择迁移目的主机,进行虚拟机的迁移; 虚拟机隔离模块:用于建立装载待迁移虚拟机的安全隔离模型。
2.一种基于权利要求1所述系统的面向多安全等级虚拟桌面系统中虚拟机的安全隔离方法,其特征在于包括以下步骤: 201、获取用户所对应虚拟机的流量消耗值、内存占用率、存储增长量以及系统调用时间值,并对获得的流量消耗值、内存占用率、存储增长量以及系统调用时间值进行过滤预处理; 202、将正常用户的数据作为训练数据,根据预处理后的训练数据建立用户行为特征库; 203、根据实时采集的用户对应虚拟机的数据作为输入量,并以用户行为特征库作为参考量分析用户的行为正常或是异常; 204、对步骤203中的分析结果进行监测,当监测到异常时,根据用户日志库中记录的用户行为威胁等级进行停机处理或迁移处理; 205、当响应模块发出迁移处理指令时,选择迁移目的主机,进行虚拟机的迁移;并将待迁移虚拟机装载进安全隔离模型,实现虚拟机的安全隔离。
3.根据权利要求2所述的面向多安全等级虚拟桌面系统虚拟机安全隔离方法,其特征在于,步骤203中运用k-means聚类算法来检测当前用户行为,判断当前用户操作行为是否异常。
4.根据权利要求2所述的面向多安全等级虚拟桌面系统虚拟机安全隔离方法,其特征在于,步骤205中迁移目的主机 的选择步骤包括: Al、限定宿主机负载的上限阈值Lvm-max和下限阈值Lvm-min; A2、对宿主机后续时间节点负载趋势进行预测,在负载呈下降趋势的宿主机中选择迁移目的主机。
【文档编号】G06F21/53GK103902885SQ201410076591
【公开日】2014年7月2日 申请日期:2014年3月4日 优先权日:2014年3月4日
【发明者】肖云鹏, 龚波, 刘宴兵, 蹇怡, 徐光侠, 许书彬, 袁仲, 张海军, 董涛 申请人:重庆邮电大学, 中国电子科技集团公司第五十四研究所