云环境中对目标主机进行安全配置检查的方法和系统的制作方法

文档序号：7779702阅读：106来源：国知局

云环境中对目标主机进行安全配置检查的方法和系统的制作方法
【专利摘要】本发明公开了一种云环境中对目标主机进行安全配置检查的方法和系统，所述方法包括：任务调度节点在接收到安全配置的检查任务后，对于每个任务执行节点，根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该检查任务中各检查项的性能消耗之和，计算出该任务执行节点执行该检查任务的性能消耗；任务调度节点将该检查任务发送给性能消耗最小的任务执行节点进行任务执行；应用本发明，提升云环境中对海量目标主机的安全配置检查任务的执行效率。
【专利说明】云环境中对目标主机进行安全配置检查的方法和系统
【技术领域】
[0001]本发明涉及计算机通信技术，尤其涉及一种云环境中对目标主机进行安全配置检查的方法和系统。
【背景技术】
[0002]云计算由并行计算、分布式计算、网络计算演化而来，是一种新兴的商业计算模型，包括基础设施即服务、平台即服务、软件即服务，以及依托于互联网的各种技术趋势。
[0003]随着云计算的快速发展，云计算用户的数据和应用安全、云计算服务平台自身的安全、云计算资源的滥用三类云计算的安全问题日益突出，关于云计算安全性越来越受到重视。
[0004]目前，针对云计算服务平台自身的安全，防止由于服务器或者网络设备等目标主机的配置失误而造成的损失，提出了一种采用单节点部署的云环境安全配置检查的方法，建立可对目标主机的各个安全配置检查点进行检查的测评脚本库；通过测评脚本库执行模块识别被测目标主机，从测评脚本库中选择合适的测评脚本，并执行该测评脚本；通过脚本返回数据分析模块将测评脚本执行返回结果进行分析形成测评结果，并存入数据库中；通过测评报告生成模块自动生成该目标主机安全的测评报告。
[0005]由上述可见，现有的单节点部署的云环境安全配置检查的方法，采用单节点部署，当对多个目标主机执行安全配置检查任务时，只能将检查任务顺序列队依次执行，无论采用何种算法进行调度，执行安全配置检查任务耗费时间长，效率低下。

【发明内容】

[0006]本发明实施例提供了一种云环境中对目标主机进行安全配置检查的方法和系统，用以通过分布式架构实现对云环境中海量的目标主机进行安全配置检查的任务，提升安全配置检查任务的执行效率。
[0007]根据本发明的一个方面，提供了一种云环境中对目标主机进行安全配置检查的方法，包括:任务调度节点在接收到安全配置的检查任务后，对于每个任务执行节点，根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该检查任务中各检查项的性能消耗之和，计算出该任务执行节点执行该检查任务的性能消耗；所述任务调度节点将该检查任务发送给性能消耗最小的任务执行节点进行任务执行:接收到该检查任务的任务执行节点，向设备管理子系统请求所述目标主机的权限及系统信息，并对于该检查任务中每个检查项，向基线管理子系统请求对应该检查项的检测模块；之后，该任务执行节点根据请求到的所述目标主机的权限及系统信息，分别运行各检测模块实现对所述目标主机的各检查项的安全配置检查。
[0008]进一步，所述根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率，该任务执行节点的总性能能力和已经占用的性能，以及该检查任务中各检查项的性能消耗之和，计算出该任务执行节点执行该检查任务的性能消耗具体为:[0009]根据如下公式I计算出该任务执行节点执行该检查任务的性能消耗:
【权利要求】
1.一种云环境中对目标主机进行安全配置检查的方法，其特征在于，包括: 任务调度节点在接收到安全配置的检查任务后，对于每个任务执行节点，根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该检查任务中各检查项的性能消耗之和，计算出该任务执行节点执行该检查任务的性能消耗；所述任务调度节点将该检查任务发送给性能消耗最小的任务执行节点进行任务执行: 接收到该检查任务的任务执行节点，向设备管理子系统请求所述目标主机的权限及系统信息，并对于该检查任务中每个检查项，向基线管理子系统请求对应该检查项的检测模块；之后，该任务执行节点根据请求到的所述目标主机的权限及系统信息，分别运行各检测模块实现对所述目标主机的各检查项的安全配置检查。
2.如权利要求1所述的方法，所述根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率，该任务执行节点的总性能能力和已经占用的性能，以及该检查任务中各检查项的性能消耗之和，计算出该任务执行节点执行该检查任务的性能消耗具体为: 根据如下公式I计算出该任务执行节点执行该检查任务的性能消耗:
3.如权利要求1所述的方法，其特征在于，所述检查任务是由管理员通过所述任务调度节点的管理界面配置到所述任务调度节点中的；以及所述方法还包括: 所述任务调度节点接收到由管理员配置的报告分析任务后，根据该报告分析任务所需分析的检查结果报告总数，以及该报告分析任务所涉及的目标主机的总数，计算出该报告分析任务的性能消耗；并对于每个任务执行节点，根据该节点到该报告分析任务所涉及的各目标主机的平均网络延时、平均带宽、平均包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该报告分析任务的性能消耗，计算出该任务执行节点执行该报告分析任务的性能消耗；所述任务调度节点将该报告分析任务发送给执行该报告分析任务的性能消耗最小的任务执行节点进行任务执行: 接收到该报告分析任务的任务执行节点，向报告存储子系统请求该报告分析任务所需分析的各检查结果报告所涉及的历史记录；对请求的历史记录进行分析后生成该报告分析任务的各检查结果报告。
4.如权利要求1所述的方法，其特征在于，所述根据该节点到该报告分析任务所涉及的各目标主机的平均网络延时、平均带宽、平均包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该报告分析任务的性能消耗，计算出该任务执行节点执行该报告分析任务的性能消耗具体为: 根据如下公式3计算出该任务执行节点执行该报告分析任务的性能消耗:
5.如权利要求3所述的方法，其特征在于，在所述任务调度节点在接收到安全配置的检查任务，或所述任务调度节点接收到由管理员配置的报告分析任务后，还包括: 所述任务调度节点将接收的检查任务或报告分析任务作为待执行任务，根据管理员为该待执行任务配置的优先级，将该待执行任务到存储到对应的优先级队列中；所述任务调度节点每隔设定周期轮询各优先级队列，确定出存储有待执行任务的最高优先级的优先级队列，并将确定出的优先级队列中最先存入的一个待执行任务取出；并对于每个任务执行节点，计算出该任务执行节点执行该待执行任务的性能消耗；所述任务调度节点将该待执行任务发送给性能消耗最小的任务执行节点进行任务执行。
6.如权利要求5所述的方法，其特征在于，在所述任务调度节点将该待执行任务发送给性能消耗最小的任务执行节点之前，还包括: 所述任务调度节点对于每个任务执行节点，根据该任务执行节点已经占用的性能，以及该任务执行节点执行该待执行任务的性能消耗，判断该任务执行节点是否处于过载临近状态；若所述任务调度节点判断出所有的任务执行节点都处于过载临近状态，则等待其中一个任务执行节点在完成之前为其分配的任务，并处于非过载临近状态后，将该待执行任务发送给该非过载临近状态的任务执行节点进行任务执行。
7.如权利要求5所述的方法，其特征在于，在所述任务调度节点将该待执行任务发送给性能消耗最小的任务执行节点进行任务执行之后，还包括: 该任务执行节点在完成该待执行任务后，向所述任务调度节点报告该待执行任务执行完毕；所述任务调度节点更新该任务执行节点的已经占用的性能；之后，该任务执行节点将该待执行任务的处理结果存储到所述报告存储子系统。
8.如权利要求7所述的方法，其特征在于，所述任务执行节点将该待执行任务的处理结果存储到所述报告存储子系统具体包括: 所述任务执行节点在完成该待执行任务后，向所述报告存储子系统的存储控制中心发送报告存储请求；所述存储控制中心对于所述报告存储子系统的每个报告存储节点，根据该报告存储节点到该任务执行节点的网络延时、带宽、包到达率，以及该报告存储节点的总存储空间和已占用空间，计算该报告存储节点到该任务执行节点的存储消耗；所述存储控制中心选取存储消耗最小的报告存储节点作为被选报告存储节点后，向所述任务执行节点返回被选报告存储节点的网络地址信息；所述任务执行节点根据返回的网络地址信息，向所述被选报告存储节点传送所述处理结果。
9.如权利要求8所述的方法，其特征在于，在所述任务执行节点根据返回的网络地址信息，向所述被选报告存储节点传送所述处理结果后，还包括: 所述存储控制中心根据各报告存储节点的地理位置信息，确定出所述被选报告存储节点的三类备份节点:第一类备份节点为与所述被选报告存储节点在同一机架上的报告存储节点；第二类备份节点为与所述被选报告存储节点在同一机房，不同机架上的报告存储节点；第三类备份节点为与所述被选报告存储节点在不同机房的报告存储节点；对于每类备份节点，所述存储控制中心计算该类备份节点中的每个报告存储节点到所述被选报告存储节点的存储消耗，选取存储消耗最小的报告存储节点作为该类备份节点中的优选的被选备份节点；所述存储控制中心通知所述被选报告存储节点将所述处理结果分别备份到所述三类备份节点中优选的被选备份节点中；所述存储控制中心根据预先设定的备份份数和备份原则，确定出每类备份节点中被选备份节点的个数；若其中一类备份节点中被选备份节点的个数大于1，则所述存储控制中心计算该类备份节点中的每个报告存储节点到所述优选的被选备份节点的存储消耗，并按计算出的存储消耗从小到大的顺序选取相应个数的报告存储节点作为该类备份节点中的被选备份节点；并通知该类备份节点中的优选的被选备份节点将所述处理结果备份到该类备份节点中其它被选备份节点中；之后，所述存储控制中心将所述处理结果的文件名和文件校验和、以及存储所述处理结果及其备份的报告存储节点的标识对应存储。
10.一种云环境中对目标主机进行配置安全检查的系统，其特征在于，包括:任务执行子系统、设备管理子系统、基线管理子系统；其中，所述任务执行子系统中包括:任务调度节点和多个任务执行节点；所述任务调度节点用于在接收到安全配置的检查任务后，对于每个任务执行节点，根据该节点到该检查任务所涉及的目标主机的网络延时、带宽、包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该检查任务中各检查项的性能消耗之和，计算出该任务执行节点执行该检查任务的性能消耗；所述任务调度节点将该检查任务发送给性能消耗最小的任务执行节点；所述任务执行节点用于在接收到该检查任务后向设备管理子系统请求所述目标主机的权限及系统信息，并对于该检查任务中每个检查项，向基线管理子系统请求对应该检查项的检测模块；之后，该任务执行节点根据请求到的所述目标主机的权限及系统信息，分别运行各检测模块实现对所述目标主机的各检查项的安全配置检查。
11.如权利要求10所述的系统，其特征在于，所述任务调度节点还用于接收到由管理员配置的报告分析任务后，根据该报告分析任务所需分析的检查结果报告总数，以及该报告分析任务所涉及的目标主机的总数，计算出该报告分析任务的性能消耗；并对于每个任务执行节点，根据该节点到该报告分析任务所涉及的各目标主机的平均网络延时、平均带宽、平均包到达率，以及该任务执行节点的总性能能力和已经占用的性能，以及该报告分析任务的性能消耗，计算出该任务执行节点执行该报告分析任务的性能消耗；所述任务调度节点将该报告分析任务发送给执行该报告分析任务的性能消耗最小的任务执行节点；所述任务执行节点还用于接收到该报告分析任务后向报告存储子系统请求该报告分析任务所需分析的各检查结果报告所涉及的历史记录；对请求的历史记录进行分析后生成该报告分析任务的各检查结果报告。
12.如权利要求11所述的系统，其特征在于，所述任务调度节点还用于在接收到安全配置的检查任务、或报告分析任务后，将接收的检查任务或报告分析任务作为待执行任务，根据管理员为该待执行任务配置的优先级，将该待执行任务到存储到对应的优先级队列中；所述任务调度节点每隔设定周期轮询各优先级队列，确定出存储有待执行任务的最高优先级的优先级队列，并将确定出的优先级队列中最先存入的一个待执行任务取出；并对于每个任务执行节点，计算出该任务执行节点执行该待执行任务的性能消耗；将该待执行任务发送给性能消耗最小的任务执行节点进行任务执行。
13.如权利要求12所述的系统，其特征在于，还包括:报告存储子系统；所述任务执行节点还用于在完成该待执行任务后，向所述任务调度节点报告该待执行任务执行完毕；之后，将该待执行任务的处理结果存储到所述报告存储子系统；所述任务调度节点更新该任务执行节点的已经占用的性能。
14.如权利要求13所述的系统，其特征在于，所述报告存储子系统具体包括:存储控制中心和多个报告存储节点；所述存储控制中心用于接收到任务执行节点发送的所述处理结果的报告存储请求后，对于所述报告存储子系统的每个报告存储节点，根据该报告存储节点到该任务执行节点的网络延时、带宽、包到达率，以及该报告存储节点的总存储空间和已占用空间，计算该报告存储节点到该任务执行节点的存储消耗；并选取存储消耗最小的报告存储节点作为被选报告存储节点后，向所述任务执行节点返回被选报告存储节点的网络地址信息；所述任务执行节点根据返回的网络地址信息，向所述被选报告存储节点传送所述处理结果。
15.如权利要求14所述的系统，其特征在于，所述存储控制中心还用于返回被选报告存储节点的网络地址信息后，根据各报告存储节点的地理位置信息，确定出所述被选报告存储节点的三类备份节点:第一类备份节点为与所述被选报告存储节点在同一机架上的报告存储节点；第二类备份节点为与所述被选报告存储节点在同一机房，不同机架上的报告存储节点；第三类备份节点为与所述被选报告存储节点在不同机房的报告存储节点；对于每类备份节点，所述存储控制中心计算该类备份节点中的每个报告存储节点到所述被选报告存储节点的存储消耗，选取存储消耗最小的报告存储节点作为该类备份节点中的优选的被选备份节点；所述存储控制中心通知所述被选报告存储节点将所述处理结果分别备份到所述三类备份节点中优选的被选备份节点中；所述存储控制中心根据预先设定的备份份数和备份原则，确定出每类备份节点中被选备份节点的个数；若其中一类备份节点中被选备份节点的个数大于1，则所述存储控制中心计算该类备份节点中的每个报告存储节点到所述优选的被选备份节点的存储消耗，并按计算出的存储消耗从小到大的顺序选取相应个数的报告存储节点作为该类备份节点中的被选备份节点；并通知该类备份节点中的优选的被选备份节点将所述处理结果备份到该类备份节点中其它被选备份节点中；所述存储控制中心还用于将所述处理结果的文件名和文件校验和、以及存储所述处理结果及其备份的报告存储节点的标识对应存储。
16.如权利要求10-15任一所述的系统，其特征在于，所述设备管理子系统具体包括:设备管理中心节点和多个设备分发节点；所述设备管理中心节点用于接收管理员录入的所述云环境中的目标主机的物理地址信息，和权限及系统信息后，计算该目标主机到每个设备分发节点的存储消耗；选择存储消耗最小的设备分发节点作为优选的被选设备分发节点；将该目标主机的权限及系统信息备份到所述优选的被选设备分发节点中；所述设备管理中心节点还用于选择n个机房，对于每个选择的机房，分别计算所述优选的被选设备分发节点到该机房中各设备分发节点的存储消耗，选取计算的存储消耗最小的设备分发节点作为该机房的被选设备分发节点；所述设备管理中心节点通知所述优选的被选设备分发节点将该目标主机的权限及系统信息备份到各机房的被选设备分发节点中；其中，所述n为预设的设备信息备份数。
【文档编号】H04L12/26GK103634167SQ201310665067
【公开日】2014年3月12日申请日期:2013年12月10日优先权日:2013年12月10日
【发明者】李为民, 王大伟, 高君婷, 刘志勇, 张宇峰, 郭亮申请人:中国电信集团系统集成有限责任公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：李为民;王大伟;高君婷;刘志勇;张宇峰;郭亮
技术所有人：中国电信集团系统集成有限责任公司
我是此专利的发明人

上一篇：基于无线路由器和磁场感应实现wifi连接的系统及方法
上一篇：一种车载手机控制方法和装置制造方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。