[发明专利]一种虚拟化平台安全监控方法及系统

说明书

本发明公开了一种虚拟化平台安全监控方法及系统。本方法为：1)在主机或者虚拟机上设置一服务器端，在被监控虚拟主机的虚拟机监控器中设置一客户端；2)服务器端将用户定制的安全需求解析为统一格式的需求配置文件并存储；3)客户端从服务器端获取该需求配置文件，实时监控采集该虚拟机监控器的运行信息并发送到服务器端；4)服务器端根据历史采集数据设定异常阈值，然后基于该异常阈值对实时采集的数据进行异常检测发送给该用户；5)服务器端根据用户的确认结果中的正常事件和异常攻击事件，生成标签数据；然后基于标签数据和历史采集数据建立分类模型，然后利用该分类模型对实时采集的数据进行异常检测，并将检测结果发送给用户。

技术领域

本发明涉及虚拟化平台安全，具体地说，涉及一种虚拟化平台安全监控方法及系统。属于信息安全技术领域。

背景技术

随着虚拟化技术和云计算技术的不断成熟与广泛运用，用户逐渐将自己的IT基础设施迁移到虚拟化平台上，以利用虚拟化技术带来的各种便利：按需扩展、灵活迁移、数据备份、故障恢复等。

虚拟化平台是指利用虚拟化技术构建的基础设施平台，包括底层硬件、虚拟机监控器(VMM)以及用户虚拟机。其中，虚拟机监控器是整个体系的核心部分，它是一种系统软件，直接控制底层硬件，抽象出多个模拟硬件来支撑上层虚拟机的运行。按照传统的操作系统权限层级来分，VMM运行于Ring 0级别，用户虚拟机运行于Ring 1-3级别。

目前虚拟化平台的安全问题是攻击者可以利用虚拟化平台的自身漏洞与管理缺陷进行虚拟机逃逸攻击，从而控制VMM，进而控制所有用户虚拟机。因此，目前需要保障用户虚拟机的安全运行以及整个虚拟化平台的安全运行。而目前的虚拟化平台安全方案主要解决的问题是用户虚拟机的安全问题，一种方法是在VMM上构建一个安全虚拟机，用来检测虚拟机之间的流量，或者利用Virtual Machine introspection技术以无代理方式检测用户虚拟机的进程、文件等信息。

但是目前少有技术方案能够对虚拟机监控器(VMM)进行监控与保护。专利CN201610229787.8利用TPM可信硬件来监控VMM的完整性，这个方案有两个缺点：1、需要在通用的X86服务器上加装TPM可信定制硬件，成本较高；2、该方案只能在虚拟机启动时检测底层VMM的完整性，无法做到运行时的安全监控。

目前来看，实现虚拟机监控器(VMM)的运行时监控，从而保证虚拟机监控器(VMM)的正常运行是现有技术方案无法解决的。

发明内容

本发明的目的在于克服现有技术中存在的问题，提供一种虚拟化平台安全监控方法及系统，能够实时、细粒度的监控运行中的虚拟机监控器，从而保证其安全。

本发明所述虚拟化平台安全监控系统包括：

服务器端和客户端，服务器端运行在主机或者虚拟机的操作系统之上，包括策略分析模块，数据分析模块，数据存储模块，客户端运行在被监控虚拟主机的虚拟机监控器中，包括信息采集模块：

a)用户登陆系统并定制安全需求；

b)策略分析模块将用户定制的安全需求解析为统一格式的需求配置文件(XML)，并将其发送到数据存储模块中；

c)信息采集模块从数据存储模块获取需求配置文件，并根据配置文件初始化设置信息采集的种类和工作方式，并开始实时监控所在主机的虚拟机监控器(VMM)，采集虚拟机监控器的运行信息并发送到数据存储模块中；

d)数据分析模块读取数据存储模块中存储的历史采集数据，运行聚类算法得出正常的分类模型，并根据生成的模型参数设定异常阈值(得到分类模型后确定每个类的最大离心距离，根据这些距离值设定异常阈值)，基于此阈值对实时采集来的数据进行异常检测，并将检测出的异常报警发送给用户；

e)用户对异常报警进行排查与确认，并将确认结果反馈给数据分析模块；