一种云侵自动化渗透系统的制作方法

本发明属于云侵渗透技术领域，特别是涉及一种云侵自动化渗透系统。

背景技术：

基于网格的应用级虚拟安全研究当前主要基于keberos、ssl、ssh、xml加密，解决了网格环境下的身份认证和访问控制问题；并着重基于异构网格环境安全数据传输通道构架，但对基于应用的安全保护、资源安全复用并没有太多的涉及；面向节点的虚拟化环境下安全技术研究基于分区隔离、灾难恢复、分区热迁移、分区热备份等高可用技术解决了部分虚拟应用的安全及可靠问题(如vmware、virtualstation)，但当面临硬件级的虚拟化环境，由底层硬件直接管理分区中的资源，一旦发生较大的故障，而又不能被有效隔离，则该故障可能会扩散到所有使用该资源的分区，导致全局的故障(如：xen、intel的virtualizationtechnology、amd的pacifica)；collapsa虚拟入侵检测中心提供虚拟蜜罐集中部署管理的方式，解决了管理的集中化和部署集中化问题，并提供全局入侵检测视图；但collapsa从虚拟机制本身还是集中于虚拟物理机之上的虚拟蜜罐，并没有解决大规模分布式环境下资源动态拆分、部件大规模共享所带来的安全监控管理、分布式入侵检测引擎、用户身份认证、用户空间隔离等诸多问题。类似能力服务应用虚拟环境安全研究目前企业界、学术界并没有相关技术及其解决方案。

基于能力计算应用的虚拟化技术主要是基于瘦客户端思想，通过在硬件层的拆分、系统与应用层的整合这三个层次上的虚拟化技术实现大规模资源共享，提高资源利用率；由此提供相同的计算能力所需要的资源总量大幅度下降，从而显著降低了举位计算能力的总成本。

与其它分布式系统的安全问题或网格计算环境下的安全问题相比，能力服务计算下虚拟环境的安全问题具有以下原因引起的几个核心问题：大规模动态用户数量、大规模动态虚拟资源对象、动态增加和缩减的计算负载、用户空间隔离和保护、通信安全等问题。其核心问题是在能力服务器应用模式下如何提供给用户一个完全私有的系统，为用户提供能力服务域内外部资源访问监控身份认证和加密数据传输通道，提供用户空间隔离和保护并最终保障基于能力服务器的应用安全。

技术实现要素：

本发明的目的在于提供一种云侵自动化渗透系统，通过由一个虚拟管理控制中心和一个管理控制台组成多级分级系统，当进行跨级时，每一级的虚拟管理控制中心起信息路由和转发作用，解决了现有的云侵渗透系统安全性低效率差的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种云侵自动化渗透系统，包括：若干分级系统；所述分级系统又包括高层gm、中层gm、基层gm；任意一所述分级系统包括至少一个虚拟管理控制中心和一个管理控制台；当不同级的分级系统进行跨级操作时，经过的每一级的虚拟管理控制中心起信息路由和转发作用，通信协议cimoverssl；

所述虚拟管理控制中心负责保存安全策略和能力服务域对象化资源描述信息，保存并向上级传送资产、策略、报警和日志信息；向能力服务域内各级网格化部件、应用服务器和虚拟ids引擎传达管理命令和分发安全策略；所述报警和日志信息在格式化处理后供统计分析和数据挖掘；

所述cimoverssl协议以ssl为基础，以xml为数据描述格式；规定了22个操作原语；根据需要加入符合soap协议的通信接口；

所述虚拟ids引擎采用集中式管理方式，集中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图。

优选地，所述虚拟ids引擎基于自描述机制，在软件虚拟机构造或迁移、应用调度产生后自动完成虚拟ids引擎的初始化、运行环境的实列化和安全策略的下载与运行。

优选地，所述能力服务域统一安全策略伴随物理虚拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高层虚拟管理控制中心分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而测试策略的效果，避免安全隐患发生。

优选地，所述能力服务域虚拟分布式入侵检测系统根据仿真结果动态调整安全策略，并由高层虚拟管理控制中心分发到能力服务域内各虚拟ids引擎上。

优选地，所述安全策略的分析机制为，给定一个事件集，事件归并和过滤问题就是产生支持度和可信度分别大于策略给定的最小支持度和最小可信度的关联事件。

优选地，所述系统的网络异常描述语言建立在基于谓词逻辑的攻击与能力服务器域内资源、应用三者关联关系的建模上，采用xml规范、面向对象，提供能力服务域下正在发生的攻击场景。

优选地，所述能力服务域虚拟ids引擎集成虚拟漏洞扫描、虚拟蜜罐模块和虚拟环境安全评估工具，主动验证、主动捕获入侵和能力服务器漏洞；当能力服务域下发现来自外网的攻击之后，可以通过与防火墙或者路由器联动截断攻击。

本发明具有以下有益效果：

本发明通过由一个虚拟管理控制中心和一个管理控制台组成多级分级系统，当进行跨级时，每一级的虚拟管理控制中心起信息路由和转发作用，提高云侵系统的安全性和处理效率。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种云侵自动化渗透系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为一种云侵自动化渗透系统，包括：若干分级系统；分级系统又包括高层gm、中层gm、基层gm；任意一分级系统包括至少一个虚拟管理控制中心和一个管理控制台；当不同级的分级系统进行跨级操作时，经过的每一级的虚拟管理控制中心起信息路由和转发作用，通信协议cimoverssl；

虚拟管理控制中心负责保存安全策略和能力服务域对象化资源描述信息，保存并向上级传送资产、策略、报警和日志信息；向能力服务域内各级网格化部件、应用服务器和虚拟ids引擎传达管理命令和分发安全策略；报警和日志信息在格式化处理后供统计分析和数据挖掘；

cimoverssl协议以ssl为基础，以xml为数据描述格式；规定了22个操作原语；根据需要加入符合soap协议的通信接口；

虚拟ids引擎采用集中式管理方式，集中探测管理分布式构建于物理虚拟机之上的软件虚拟机状态、虚拟机日志、文件完整性、虚拟机系统漏洞、并基于安全策略和用户自定义策略提供分布式攻击统一视图。

其中，虚拟ids引擎基于自描述机制，在软件虚拟机构造或迁移、应用调度产生后自动完成虚拟ids引擎的初始化、运行环境的实列化和安全策略的下载与运行。

其中，能力服务域统一安全策略伴随物理虚拟机的动态构造、软件虚拟机的迁移、应用实列化动态生成，并在策略编辑完成但尚未由高层虚拟管理控制中心分发时实施仿真，模拟攻击行为，让网络安全策略漏洞提前暴露，从而测试策略的效果，避免安全隐患发生。

其中，能力服务域虚拟分布式入侵检测系统根据仿真结果动态调整安全策略，并由高层虚拟管理控制中心分发到能力服务域内各虚拟ids引擎上。

其中，安全策略的分析机制为，给定一个事件集，事件归并和过滤问题就是产生支持度和可信度分别大于策略给定的最小支持度和最小可信度的关联事件。

其中，系统的网络异常描述语言建立在基于谓词逻辑的攻击与能力服务器域内资源、应用三者关联关系的建模上，采用xml规范、面向对象，提供能力服务域下正在发生的攻击场景。

其中，能力服务域虚拟ids引擎集成虚拟漏洞扫描、虚拟蜜罐模块和虚拟环境安全评估工具，主动验证、主动捕获入侵和能力服务器漏洞；当能力服务域下发现来自外网的攻击之后，可以通过与防火墙或者路由器联动截断攻击。

值得注意的是，上述系统实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于一计算机可读取存储介质中。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。