[go: up one dir, main page]

CN111338755A - 基于影子分身虚机的Linux云主机信息安全判定装置 - Google Patents

基于影子分身虚机的Linux云主机信息安全判定装置 Download PDF

Info

Publication number
CN111338755A
CN111338755A CN202010104789.0A CN202010104789A CN111338755A CN 111338755 A CN111338755 A CN 111338755A CN 202010104789 A CN202010104789 A CN 202010104789A CN 111338755 A CN111338755 A CN 111338755A
Authority
CN
China
Prior art keywords
virtual machine
shadow
information security
judgment
avatar
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010104789.0A
Other languages
English (en)
Other versions
CN111338755B (zh
Inventor
刘超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inesa R&d Center
Original Assignee
Inesa R&d Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inesa R&d Center filed Critical Inesa R&d Center
Priority to CN202010104789.0A priority Critical patent/CN111338755B/zh
Publication of CN111338755A publication Critical patent/CN111338755A/zh
Application granted granted Critical
Publication of CN111338755B publication Critical patent/CN111338755B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种基于影子分身虚机的Linux云主机信息安全判定装置,包括:判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。与现有技术相比,本发明具有效率高、安全、成本低等优点。

Description

基于影子分身虚机的Linux云主机信息安全判定装置
技术领域
本发明涉及一种云主机信息处理技术领域,尤其是涉及一种基于影子分身虚机的Linux云主机信息安全判定装置。
背景技术
云计算平台作为一种基础服务平台,以虚机的形式为用户提供资源。随着云计算在行业的普及,云主机系统的安全问题也得到越来越高的关注。常用的安全措施是在客户的虚机中安装防毒软件、漏洞扫描软件等安全工具,但随着信息安全攻击技术的不断提升,简单的防御显得捉襟见肘,但如果在客户云主机上部署复杂、专业的安全软件,不但在软件工作时会占用许多CPU和内存资源,影响客户业务系统的性能,同时定期更新信息安全指纹库、病毒库等也会占用许多存储资源,从而提高用户使用云主机的成本。另外,让用户自己维护安全软件和安全库,对于大多数用户而言,有额外的知识要求与学习成本,一旦配置错误或者长期不更新相关数据库会造成安全软件形同虚设。
发明内容
本发明的目的在于克服上述现有技术存在的缺陷而提供一种基于影子分身虚机的Linux云主机信息安全判定装置,以构建既安全可靠又高效亲民的云服务。
本发明的目的可以通过以下技术方案来实现:
一种基于影子分身虚机的Linux云主机信息安全判定装置,包括:
判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;
信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。
进一步地,所述信息安全判定请求包括目标虚机ID号码和初始参数。
进一步地,所述初始参数包括周期性评估标识和评估结果发送地址。
进一步地,所述相同规格指CPU、内存和操作系统均相同。
进一步地,所述信息安全风险判定模块包括:
检查单元,基于历史数据判断是否存在已运行的影子分身虚机,若是,则直接调用所述影子分身虚机,若否,则创建一影子分身虚机;
初始化单元,在所述影子分身虚机上挂载一块空的云硬盘,并对所述云硬盘进行初始化;
同步单元,将所述目标虚机上的文件系统同步复制至所述云硬盘中;
安全评估单元,启动所述影子分身虚机,调用安全程序对所述影子分身虚机进行安全评估,生成安全评估报告。
进一步地,所述初始化单元中,对云硬盘进行初始化为对云硬盘进行分区并在云硬盘中创建一个主分区。
进一步地,所述安全程序对影子分身虚机进行远程安全扫描或登录至影子分身虚机中进行本地扫描。
进一步地,所述信息安全风险判定模块还包括:
报告发送单元,用于发送所述安全评估报告。
进一步地,所述信息安全风险判定模块还包括:
报告显示单元,通过图形化界面显示所述安全评估报告。
进一步地,所述信息安全风险判定模块还包括:
资源释放单元,在完成信息安全风险判定后销毁所述影子分身虚机。
与现有技术相比,本发明在云计算环境中提供一种面向使用Linux内核操作系统的用户云主机的信息安全判定方法,该方法既克服了在虚拟机中安装安全软件造成虚拟机系统性能下降,并占用云存储空间而造成用户成本上升的问题,同时也将安全运维的工作从用户自身转移到平台管理员,使得平台更安全,用户更省心。本发明具有如下有益效果:
1)本发明无需用户在虚机中下载病毒库等安全相关数据库,降低了虚机的存储资源需求量,降低了用户使用云主机的成本。
2)本发明无需用户在虚机中安装安全软件,减少了安全软件运行和扫描时对业务系统CPU和内存的消耗,提升了业务系统的效率。
3)本发明避免了用户来维护和使用专业的安全软件,而是让更新和维护工作转给了平台管理员,平台管理员负责检查更新最新的安全库,配置安全选项,使系统更安全,用户更放心。
附图说明
图1为本发明的应用场景示意图;
图2为本发明的流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
本实施例提供一种基于影子分身虚机的Linux云主机信息安全判定装置,用于提供信息安全风险监测与态势感知服务,包括判定请求监测模块和信息安全风险判定模块,其中,判定请求监测模块实时判断是否接收到针对某一目标虚机的信息安全判定请求;信息安全风险判定模块在判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对目标虚机进行信息安全风险判定,影子分身虚机与目标虚机具有相同规格。
信息安全风险判定模块包括检查单元、初始化单元、同步单元和安全评估单元,其中,检查单元基于历史数据判断是否存在已运行的影子分身虚机,若是,则直接调用影子分身虚机,若否,则创建一影子分身虚机;初始化单元在影子分身虚机上挂载一块空的云硬盘,并对云硬盘进行初始化;同步单元将目标虚机上的文件系统同步复制至云硬盘中;安全评估单元启动影子分身虚机,调用安全程序对影子分身虚机进行安全评估,生成评估报告。
在另一实施例中,信息安全风险判定模块还包括报告发送单元,用于发送评估报告。
在另一实施例中,信息安全风险判定模块还包括报告显示单元,通过图形化界面显示评估报告。
在另一实施例中,信息安全风险判定模块还包括资源释放单元,在完成信息安全风险判定后销毁所述影子分身虚机。
如图1所示为上述信息安全判定装置的应用场景示意图。
硬件服务器1被部署在数据中心中,通过交换机连接构成服务器集群。本实施例中,硬件服务器1包括但不限于x86,ARM架构的硬件服务器。
私有云操作系统2安装在硬件服务器所组成的服务器集群上,主要作用是将硬件资源软件化,高效管理硬件服务器的资源,并提供给上层软件所使用。本实施例中,私有云操作系统2包括基于OpenStack,CloudStack等开源软件构建的私有云操作系统。
虚拟机3是假设用户在私有云操作系统上启动的虚机,这些虚拟机的操作系统属于Linux内核,典型的如Ubuntu,CentOS,银河麒麟等操作系统,在操作系统之上运行有用户的业务应用,需要定期或不定期对虚机系统和其上业务应用做信息安全检查。虚机上一般安装有qemu-guest-agent等工具与云操作系统进行交互,云操作系统可以用该工具在虚机中安装软件,并执行命令。
用户4为私有云的实际使用者,通过图形化界面使用云提供的服务,其业务系统运行在云平台上的虚拟机中。用户可以通过鼠标操作调用该SaaS接口并用键盘输入相关参数。
信息安全风险评估服务5为本实施例信息安全判定装置提供的服务,是一个运行在云操作系统上的SaaS服务。具体实施方式可以是:开启一台虚机,并在其中安装开源或商用的安全软件,典型开源的安全软件有lynis,Metasploit,rkhunter等,将这些工具通过web service的方式以服务的形式对外提供SaaS接口。
时钟6用于实现定期评估。用户在云操作系统提供的管理图形界面上通过鼠标和键盘操作进行手动的非周期性的安全评估,也可以通过设定定期评估的时钟实现自动定期安全评估。
影子分身虚机7是根据要检测的目标虚机启动的一台“克隆”虚机。影子分身虚拟机与目标虚机具有相同操作系统和文件系统,目标虚机的文件系统同步到影子分身虚机。当影子分身虚机上扫描出系统漏洞时,目标虚机也一定会存在该系统漏洞。因此可以通过评估影子分身虚机的安全状况推断出目标虚机的安全状况,生成安全评估报告8。影子分身虚机在安全扫描完成后可被销毁以释放资源。
如图2所示,利用上述基于影子分身虚机的Linux云主机信息安全判定装置进行判定的过程包括:
1、用户通过云服务的图形化界面,启动信息安全判定装置获取“信息安全风险评估服务”并输入初始参数。典型的输入参数包括“是否周期性评估”,“评估结果发送到的邮件地址”等。
2、用户在参数中设置是否做周期性评估。一种具体实现“周期性评估”的方式是基于Linux系统的crontab工具。一旦设定的时钟周期到,crontab工具会自动调用一次SaaS服务。
3、实时判断是否接收到针对某一目标虚机的信息安全判定请求,信息安全判定请求包括目标虚机ID号码和初始参数,在接收到信息安全判定请求后,基于数据库中的历史数据判断是否已经存在该系统的影子分身系统,如果不是,则新建一台影子分身虚机,并在数据库中记录,否则就对已存在的影子分身虚机进行文件系统同步,即直接跳到第6步。
4、根据目标虚机的规格和镜像,开启一台同样规格和操作系统的云主机。
5、创建并初始化一块空的云硬盘,并挂载到影子分身系统上,初始化云硬盘。
调用云操作系统提供的“块存储”接口,创建一块空的云硬盘,将该云硬盘挂载到该“影子分身虚机”上,并做初始化。初始化是指对云硬盘进行分区,一种实施方式是利用Linux操作系统上的fdisk工具创建一个主分区。
6、将目标系统的文件系统“克隆”(同步)到影子分身系统所挂载的云硬盘的分区上。一种实施方式是使用Linux的rysnc命令,通过云操作系统上的qemu-guest-agent工具在目标客户机中运行rysnc命令,将整个文件系统(除了"/dev/*","/proc/*","/sys/*","/tmp/*","/run/*","/mnt/*","/media/*","/lost+found"目录)拷贝到影子分身虚机云硬盘主分区所挂载的目录上。
7、将影子分身虚机的启动分区切换为“克隆”云硬盘的分区,并重启系统。一种实施方法是在Linux系统中,通过修改fstab,更新启动时的根目录挂载目录,并运行grub-install命令将系统的启动目录调整为新分区的/boot目录,然后重启“影子分身虚机”。
8、对影子分身虚机进行安全评估,扫描影子分身虚机的系统安全情况,该扫描可以是远程扫描与评估,也可以在影子分身虚机中安装相关安全软件进行“本地扫描与评估”,包括漏洞检查、病毒检查等。
9、生成安全评估报告,并将安全评估报告发送给用户。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由本发明所确定的保护范围内。

Claims (10)

1.一种基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,包括:
判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;
信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。
2.根据权利要求1所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全判定请求包括目标虚机ID号码和初始参数。
3.根据权利要求2所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述初始参数包括周期性评估标识和评估结果发送地址。
4.根据权利要求1所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述相同规格指CPU、内存和操作系统均相同。
5.根据权利要求1所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全风险判定模块包括:
检查单元,基于历史数据判断是否存在已运行的影子分身虚机,若是,则直接调用所述影子分身虚机,若否,则创建一影子分身虚机;
初始化单元,在所述影子分身虚机上挂载一块空的云硬盘,并对所述云硬盘进行初始化;
同步单元,将所述目标虚机上的文件系统同步复制至所述云硬盘中;
安全评估单元,启动所述影子分身虚机,调用安全程序对所述影子分身虚机进行安全评估,生成安全评估报告。
6.根据权利要求5所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述初始化单元中,对云硬盘进行初始化为对云硬盘进行分区并在云硬盘中创建一个主分区。
7.根据权利要求5所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述安全程序对影子分身虚机进行远程安全扫描或登录至影子分身虚机中进行本地扫描。
8.根据权利要求5所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全风险判定模块还包括:
报告发送单元,用于发送所述安全评估报告。
9.根据权利要求5所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全风险判定模块还包括:
报告显示单元,通过图形化界面显示所述安全评估报告。
10.根据权利要求5所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全风险判定模块还包括:
资源释放单元,在完成信息安全风险判定后销毁所述影子分身虚机。
CN202010104789.0A 2020-02-20 2020-02-20 基于影子分身虚机的Linux云主机信息安全判定装置 Active CN111338755B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010104789.0A CN111338755B (zh) 2020-02-20 2020-02-20 基于影子分身虚机的Linux云主机信息安全判定装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010104789.0A CN111338755B (zh) 2020-02-20 2020-02-20 基于影子分身虚机的Linux云主机信息安全判定装置

Publications (2)

Publication Number Publication Date
CN111338755A true CN111338755A (zh) 2020-06-26
CN111338755B CN111338755B (zh) 2024-02-23

Family

ID=71183516

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010104789.0A Active CN111338755B (zh) 2020-02-20 2020-02-20 基于影子分身虚机的Linux云主机信息安全判定装置

Country Status (1)

Country Link
CN (1) CN111338755B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113535336A (zh) * 2021-09-16 2021-10-22 深圳创新科技术有限公司 一种Cloudstack在国产服务器的部署运行方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104360924A (zh) * 2014-11-11 2015-02-18 上海天玑科技股份有限公司 一种在云数据中心环境下对虚拟机进行监控等级划分的方法
US20170289176A1 (en) * 2016-03-31 2017-10-05 International Business Machines Corporation Internet of things security appliance
WO2018153218A1 (zh) * 2017-02-27 2018-08-30 腾讯科技(深圳)有限公司 一种资源处理方法、相关装置以及通信系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104360924A (zh) * 2014-11-11 2015-02-18 上海天玑科技股份有限公司 一种在云数据中心环境下对虚拟机进行监控等级划分的方法
US20170289176A1 (en) * 2016-03-31 2017-10-05 International Business Machines Corporation Internet of things security appliance
WO2018153218A1 (zh) * 2017-02-27 2018-08-30 腾讯科技(深圳)有限公司 一种资源处理方法、相关装置以及通信系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈鄂湘;裴俊豪;项晖;: "云计算环境下信息安全体系架构研究" *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113535336A (zh) * 2021-09-16 2021-10-22 深圳创新科技术有限公司 一种Cloudstack在国产服务器的部署运行方法及装置

Also Published As

Publication number Publication date
CN111338755B (zh) 2024-02-23

Similar Documents

Publication Publication Date Title
US8650556B2 (en) Virtual machine asynchronous patch management
US7379982B2 (en) System and method for custom installation of an operating system on a remote client
US11226809B2 (en) Systems and methods for updating virtual machines
US20110214111A1 (en) Systems and methods for detecting computing processes requiring reinitialization after a software package update
CN112882793B (zh) 一种容器资源共享的方法和系统
WO2022267407A1 (zh) 一种基于自动化运维工具的代理部署方法及装置
CN102207885A (zh) 计算机系统的虚拟机管理器及其启动虚拟机的方法
CN111475172B (zh) 一种裸机部署方法及装置
US20230229423A1 (en) Pushing a firmware update patch to a computing device via an out-of-band path
CN101727343A (zh) 分布式服务器的软件安装部署方法
CN105204902B (zh) 一种虚拟机的安全补丁升级方法,及装置
CN110221949A (zh) 自动化运维管理方法、装置、设备及可读存储介质
CN112948008A (zh) 一种基于Ironic管理物理裸机的方法
CN111708553A (zh) 一种后台更新桌面镜像的终端及系统
CN111338755A (zh) 基于影子分身虚机的Linux云主机信息安全判定装置
CN111338866B (zh) 基于影子分身虚机的云主机压力测试方法及系统
CN113746676A (zh) 基于容器集群的网卡管理方法、装置、设备、介质及产品
WO2024174737A1 (zh) 一种容器内进程优先级设置方法及装置
CN115576626A (zh) 一种usb设备安全挂载和卸载的方法、设备和存储介质
CN102810067A (zh) 虚拟机模板更新系统及方法
CN105282180B (zh) 业务鉴权的处理方法及装置
CN114217999A (zh) 一种云桌面系统及方法
CN118708506B (zh) 一种通道的控制方法、控制器、计算机设备及存储介质
CN112711444A (zh) 一种电网监控服务单元的虚拟化方法及系统
CN113326513B (zh) 应用测试方法和装置、系统、电子设备、计算机可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant