[发明专利]一种基于容器的虚拟机安全监测机制

说明书

技术领域

本发明涉及虚拟化技术领域，特别涉及一种基于容器的虚拟机安全监测机制。

背景技术

随着云计算的广泛推广及应用，作为云计算关键核心技术的虚拟化技术也得到了广泛应用。虚拟化技术给企业和用户带来了很多益处，同时也革新了许多传统的技术架构。然而，正因为虚拟化的广泛应用，使得虚拟机渐渐成为各种恶意攻击的目标。虚拟机运行安全成为虚拟机应用中的重中之重。因此对于虚拟机安全的监测和防御的研究成为目前计算机安全界的研究热点。

目前，对虚拟机运行安全的研究主要分为两个方面来开展：第一个方面如何从系统外部对目标系统进行监测；第二个方面侧重于如何分析判定目标系统是否异常。

第一方面最初采用的是静态监测，利用虚拟机快照分析虚拟机快照来监测虚拟机的安全性。此方法缺点是缺乏实时性、动态性。后来发展了动态监测，由于各个客户虚拟机资源是通过虚拟机监视器统一管理，这使得通过虚拟机监视器动态获取客户虚拟机的资源变成了可能。此方法缺点是虚拟机监视器负担增大。

第二个方面学术界提出多种监测机制，都有不错的监测效果。但是这两方面研究中，都是分别进行的，没有对这两方面进行统一整合，缺乏一种从资源信息获取到分析再到处理的一种机制。

另外当前业内只是把特权虚拟机作为一个最高管理者，没有一种特权虚拟机与客户虚拟机交互的监测机制，主要侧重了通过一台特权虚拟机监测所有客户虚拟机安全性的流程，但没有考虑到拥有大量客户虚拟机时，如何高效的将性能压力进行分配的情况，也没有考虑到服务易部署、易迁移的情况。基于此，本发明提出了一种基于容器的虚拟机安全监测机制。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的基于容器的虚拟机安全监测机制。

本发明是通过如下技术方案实现的：

一种基于容器的虚拟机安全监测机制，其特征在于：包括资源收集，资源分析监测和检测策略动态分配三部分，不必修改虚拟机监视器VMM和客户虚拟机操作系统，将包含服务端的容器安装部署在特权虚拟机上，将包含客户端的容器安装部署在客户虚拟机上；所述资源收集是用客户端对客户虚拟机进行实时动态监控扫描，然后将客户虚拟机资源信息上报服务端，所述资源分析监测是服务端对得到的资源信息进行可配置的分析，并对异常的虚拟机进行处理。

所述特权虚拟机中服务端容器得到客户虚拟机资源信息后，根据客户虚拟机的安全级别选择个性化的分析策略，判断客户虚拟机是否异常，并将分析结果上报管理员同时将监测结果细节记录在log中。

所述检测策略动态分配是特权虚拟机中服务端容器根据客户虚拟机的安全级别将分析策略进行个性化定制，使其选择性的采用分析策略，降低因分析导致的物理主机资源开销。

本发明的有益效果是：该基于容器的虚拟机安全监测机制，用于服务器集群及资源池中，解决了各种应用环境不同以及应用部署的问题，将应用打包入容器内，充分利用容器隔离性的特点，为应用提供一个独享的完整用户环境空间；提高了各个客户虚拟机的安全性及可靠性，优化了目前业内的安全监测机制，简化了系统部署的复杂性。

附图说明

附图1为本发明基于容器的虚拟机安全监测机制示意图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图和实施例，对本发明进行详细的说明。应当说明的是，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

该基于容器的虚拟机安全监测机制，包括资源收集，资源分析监测和检测策略动态分配三部分，不必修改虚拟机监视器VMM和客户虚拟机操作系统，将包含服务端的容器安装部署在特权虚拟机上，将包含客户端的容器安装部署在客户虚拟机上；所述资源收集是用客户端对客户虚拟机进行实时动态监控扫描，然后将客户虚拟机资源信息上报服务端，所述资源分析监测是服务端对得到的资源信息进行可配置的分析，并对异常的虚拟机进行处理。

所述客户虚拟机上的客户端容器将自身资源（包括内存，CPU，存储，网络等）信息上报特权虚拟机上的服务端容器。

所述特权虚拟机中服务端容器得到客户虚拟机资源信息后，根据客户虚拟机的安全级别选择个性化的分析策略，判断客户虚拟机是否异常，并将分析结果上报管理员同时将监测结果细节记录在log中。

所述检测策略动态分配是特权虚拟机中服务端容器根据客户虚拟机的安全级别将分析策略进行个性化定制，使其选择性的采用分析策略，降低因分析导致的物理主机资源开销。

该基于容器的虚拟机安全监测机制，用于服务器集群及资源池中，解决了各种应用环境不同以及应用部署的问题，将应用打包入容器内，充分利用容器隔离性的特点，为应用提供一个独享的完整用户环境空间；提高了各个客户虚拟机的安全性及可靠性，优化了目前业内的安全监测机制，简化了系统部署的复杂性。