[发明专利]一种虚拟化平台安全监控方法及系统有效
| 申请号: | 201611063511.3 | 申请日: | 2016-11-25 |
| 公开(公告)号: | CN106775929B | 公开(公告)日: | 2019-11-26 |
| 发明(设计)人: | 陈驰;申培松;田雪;于晶;王贞灵;杨玉婷;张婧婧;邢立华;于秦;宋根尧 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | G06F9/455 | 分类号: | G06F9/455 |
| 代理公司: | 11200 北京君尚知识产权代理有限公司 | 代理人: | 司立彬<国际申请>=<国际公布>=<进入 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 虚拟 平台 安全 监控 方法 系统 | ||
1.一种虚拟化平台安全监控方法,其步骤为:
1)在主机或者虚拟机上设置一服务器端,在被监控虚拟主机的虚拟机监控器中设置一客户端;
2)服务器端将用户定制的安全需求解析为统一格式的需求配置文件并存储;其中所述安全需求包括监控粒度、若干被监控的虚拟主机的IP地址、虚拟主机型号与版本;每一虚拟机主机型号与版本对应一客户端;所述监控粒度包括日志级别或函数级别;
3)客户端从服务器端获取该需求配置文件,并根据该需求配置文件设置信息采集的种类和方式,实时监控采集该虚拟机监控器的运行信息并发送到服务器端;其中若所述监控粒度是日志级别,则客户端实时监控虚拟机监控器的日志并使用syslog协议将日志发到服务器端;若所述监控粒度是函数级别,则客户端实时监控虚拟机监控器的函数调用次序,并将函数调用次序以及函数调用的堆栈运行信息发到服务器端;
4)服务器端根据历史采集数据设定异常阈值,然后基于该异常阈值对实时采集的数据进行异常检测,并将检测出的异常报警发送给该用户;
5)该用户对异常报警进行排查与确认,并将确认结果反馈给服务器端;
6)服务器端根据用户的确认结果中的正常事件和异常攻击事件,生成标签数据;然后基于标签数据和历史采集数据建立分类模型,然后利用该分类模型对实时采集的数据进行异常检测,并将检测结果发送给用户。
2.如权利要求1所述的方法,其特征在于,设定所述异常阈值的方法为:服务器端对初始历史采集数据进行聚类,然后根据聚类后每个类的最大离心距离设定异常阈值设定异常阈值。
3.如权利要求1或2所述的方法,其特征在于,服务器端基于标签数据和历史采集数据使用半监督机器学习算法来建立分类模型。
4.一种虚拟化平台安全监控系统,其特征在于,在主机或者虚拟机上设置一服务器端,在被监控虚拟主机的虚拟机监控器中设置一客户端;其中,
服务器端,用于将用户定制的安全需求解析为统一格式的需求配置文件并存储;以及根据历史采集数据设定异常阈值,然后基于该异常阈值对实时采集的数据进行异常检测,并将检测出的异常报警发送给该用户;以及根据用户的确认结果中的正常事件和异常攻击事件,生成标签数据;然后基于标签数据和历史采集数据建立分类模型,然后利用该分类模型对实时采集的数据进行异常检测,并将检测结果发送给用户;其中所述安全需求包括监控粒度、若干被监控的虚拟主机的IP地址、虚拟主机型号与版本;每一虚拟机主机型号与版本对应一客户端;所述监控粒度包括日志级别或函数级别;
客户端,用于从服务器端获取该需求配置文件,并根据该配置文件设置信息采集的种类和方式,实时监控采集该虚拟机监控器的运行信息并发送到服务器端;其中若所述监控粒度是日志级别,则客户端实时监控虚拟机监控器的日志并使用syslog协议将日志发到服务器端;若所述监控粒度是函数级别,则客户端实时监控虚拟机监控器的函数调用次序,并将函数调用次序以及函数调用的堆栈运行信息发到服务器端。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611063511.3/1.html,转载请声明来源钻瓜专利网。
