本发明专利技术公开了一种Linux虚拟化平台安全检测方法及系统。该方法包括以下步骤,分别设置安全管理域内各个虚拟域的安全策略等级和内容并下发至受控端;依据安全策略组合调用受控端虚拟域安全模块,对虚拟域进行分等级的安全检测;收集各虚拟域安全检测结果,形成安全管理域的安全事态信息。本发明专利技术安全管理域宏观的角度实时评估平台系统的安全态势,并在基于策略的条件下对安全态势的发展趋势进行预测。通过定制不同安全等级的安全检测策略,可以整合多种入侵检测的技术手段,将对单个域内系统的安全检测扩展至整个虚拟化平台,对整个安全管理域中各个独立的虚拟域提供个性化的安全检测方案。
【技术实现步骤摘要】
一种Linux虚拟化平台安全检测方法及系统
本专利技术涉及计算机
,具体地说,涉及一种Linux虚拟化平台安全检测方法及系统。
技术介绍
随着科技的进步,越来越多的大型企业或者实验室趋向于使用虚拟化架构来节约服务器成本或者提高应用灵活性。虚拟化的实质是利用众多的虚拟机来代替原来的物理机来进行各项工作。在虚拟化平台中,每个用户不需要整套的硬件设备,只需一个终端显示设备。虚拟机运行在服务器上,由服务器分发给需要使用虚拟机的用户。并且,Linux虚拟化平台作为最底层的基础平台,在其上运行着多个虚拟域,每个域都管理着许多重要的数据。 目前Linux虚拟化环境没有统一的检测平台。现有的Linux虚拟化平台安全状态检测一般只涉及到单个虚拟域内部,各虚拟域独立进行内部安全检测。例如,现有的计算机杀毒工作方式中,通常需要每个用户在各个虚拟机里安装安全杀毒软件,单独对各个虚拟域进行病毒查杀。因此,各个虚拟域没有通过策略关联起来进行统一分析处理,以及给出指导意见,不能对整个虚拟化平台的安全性作出全面评估。 此外,虽然一些从事虚拟化产品的公司,如VMware、Critrix、Microsoft等针对自己的虚拟化服务器都开发了一套对服务器上的虚拟机的管理套件,这些套件主要强调对单个虚拟机的管理,例如开机、关机、对虚拟机进行快照和恢复快照等。 针对Linux系统,不仅鲜有厂家发行系统安全管理工具,更没有基于虚拟化平台发行一整套安全管理工具方案。因此,亟需一种能够针对整个虚拟化平台提供虚拟域整体化安全检测的Linux安全策略配置方法。 【专利
技术实现思路
】 本专利技术的目的之一在于提供一种Linux虚拟化平台安全检测方法,包括以下步骤: 分别设置安全管理域内各个虚拟域的安全策略等级和内容并下发至受控端; 依据安全策略组合调用受控端虚拟域安全模块,对虚拟域进行分等级的安全检测; 收集各虚拟域安全检测结果,形成安全管理域的安全事态信息。 根据本专利技术的实施例,所述分别设置安全管理域内各个虚拟域的安全策略等级和内容并下发至受控端包括: 在主控端分别为各个虚拟域设置安全策略等级; 根据不同等级设定相应等级的安全策略内容; 受控端通过网络监听的方式接收主控端设置的应用于本地虚拟域的安全策略。 根据本专利技术的实施例,所述依据安全策略组合调用受控端虚拟域安全模块包括: 在受控端提供多个对虚拟域进行本地安全态势检测的安全模块; 依据安全策略内容选择并调用所述安全模块中的至少一个,对本地虚拟域安执行符合全策略内容的安全检测。 根据本专利技术的实施例,所述收集各虚拟域安全检测结果,形成安全管理域的安全事态信息包括: 受控端对检测结果进行态势分析,对本地虚拟域进行安全审计和安全评估,将结果返回主控端; 在主控端接收受控端的虚拟域的安全检测结果; 根据全部虚拟域的安全检测结果进行安全管理域的安全态势分析,形成安全事态信息,实现对安全管理域内各个虚拟域的集中式管理。 根据本专利技术的实施例,所述安全模块包括病毒查杀模块、弱点扫描模块、漏洞检测模块、渗透检测模块、垃圾清理模块、启动加速模块和预警提示模块中的至少一种。 根据本专利技术的实施例,所述病毒查杀模块用于针对全盘、U盘、关键区域或者指定的区域的系统关键文件进行病毒扫描,其中系统关键文件包括/etc、/boot、/bin以及/sbin目录下的关键文件; 所述弱点扫描模块用于对虚拟域的防火墙安全性、Selinux安全性、PAM密码安全性、软件版本固有漏洞、常用命令完整性和缺失以及日志信息进行扫描分析; 所述漏洞检测模块用于检测系统rootkit残留,判断是否存在安全隐患; 所述渗透检测模块用于检测当前登录账号的密码安全情况; 所述垃圾清理模块用于对虚拟域系统中的临时文件、上网记录、用户Cookie以及回收站垃圾文件进行清理; 所述启动加速模块用于列举分类虚拟域系统的启动服务,提供服务的相关描述以及优化推荐等功能供用户使用,对系统的非必要服务进行关闭和开启,从而提高系统的启动速度; 所述预警提示模块用于监视系统内具有suid属性的特权程序,防止非法的或多余的suid程序。 根据本专利技术的实施例,所述安全策略等级包括高级、中级和初级,其中, 高级安全策略的内容包括强制开启虚拟域内所有文件类型的全盘查杀,强制开启全部级别的弱点扫描,强制开启漏洞检测、渗透检测、垃圾清理以及预警提示,选择启动加速; 中级安全策略的内容包括强制开启虚拟域内可执行文件类型的全盘查杀,强制开启扫描紧急、严重级别的弱点,强制开启预警提示,选择启动漏洞检测、渗透检测、垃圾清理以及启动加速; 初级安全策略的内容包括强制开启虚拟域内关键区域的可执行文件类型的查杀,强制开启扫描紧急级别的弱点,选择启动预警提示、漏洞检测、渗透检测、垃圾清理以及启动加速。 根据本专利技术的另一方面,提供一种Linux虚拟化平台安全检测系统,包括主控端以及与主控端连接的多个受控端,所述主控端包括策略等级单元和策略内容单元,所述策略等级单元用于设置安全管理域内各个虚拟域的安全策略等级,所述策略内容单元用于设定与安全等级相对应的安全策略内容;主控端将安全策略下发至受控端,并收集各虚拟域安全检测结果,形成安全管理域的安全事态信息; 所述受控端包括多个对虚拟域进行本地安全态势检测的安全模块。 根据本专利技术的实施例,所述受控端依据安全策略内容选择并调用所述安全模块中的至少一个,对本地虚拟域安执行符合全策略内容的安全检测。 根据本专利技术的实施例,所述安全模块包括病毒查杀模块、弱点扫描模块、漏洞检测模块、垃圾清理模块、渗透检测模块、启动加速模块和预警提示模块中的至少一种; 所述病毒查杀模块用于针对全盘、U盘、关键区域或者指定的区域的系统关键文件进行病毒扫描,其中系统关键文件包括/etc、/boot、/bin以及/sbin目录下的关键文件; 所述弱点扫描模块用于对虚拟域的防火墙安全性、Selinux安全性、PAM密码安全性、软件版本固有漏洞、常用命令完整性和缺失以及日志信息进行扫描分析; 所述漏洞检测模块用于检测系统rootkit残留,判断是否存在安全隐患; 所述渗透检测模块用于检测当前登录账号的密码安全情况; 所述垃圾清理模块用于对虚拟域系统中的临时文件、上网记录、用户Cookie以及回收站垃圾文件进行清理; 所述启动加速模块用于列举分类虚拟域系统的启动服务,可以提供服务的相关描述以及优化推荐等功能供用户使用,可以对系统的非必要服务进行关闭和开启,从而提高系统的启动速度; 所述预警提示模块用于监视系统内具有suid属性的特权程序,防止非法的或多余的suid程序。 本专利技术带来了以下有益效果。 (I)通过定制不同安全等级的安全检测策略,可以整合多种入侵检测的技术手段,将对单个域内系统的安全检测扩展至整个虚拟化平台,对整个安全管理域中各个独立的虚拟域提供个性化的安全检测方案。 (2)从安全管理域宏观的角度实时评估平台系统的安全态势,并在基于策略的条件下对安全态势的发展趋势进行预测,为平台管理员的决策分析提供依据,将不安全因素带来的风险和损失降到最低。 本专利技术的其它特征和优点将在随后的说本文档来自技高网...
【技术保护点】
一种Linux虚拟化平台安全检测方法,其特征在于,包括以下步骤:分别设置安全管理域内各个虚拟域的安全策略等级和内容并下发至受控端;依据安全策略组合调用受控端虚拟域安全模块,对虚拟域进行分等级的安全检测;收集各虚拟域安全检测结果,形成安全管理域的安全事态信息。
【技术特征摘要】
1.一种Linux虚拟化平台安全检测方法,其特征在于,包括以下步骤: 分别设置安全管理域内各个虚拟域的安全策略等级和内容并下发至受控端; 依据安全策略组合调用受控端虚拟域安全模块,对虚拟域进行分等级的安全检测; 收集各虚拟域安全检测结果,形成安全管理域的安全事态信息。2.根据权利要求1所述的方法,其特征在于,所述分别设置安全管理域内各个虚拟域的安全策略等级和内容并下发至受控端包括: 在主控端分别为各个虚拟域设置安全策略等级; 根据不同等级设定相应等级的安全策略内容; 受控端通过网络监听的方式接收主控端设置的应用于本地虚拟域的安全策略。3.根据权利要求1所述的方法,其特征在于,所述依据安全策略组合调用受控端虚拟域安全模块包括: 在受控端提供多个对虚拟域进行本地安全态势检测的安全模块; 依据安全策略内容选择并调用所述安全模块中的至少一个,对本地虚拟域安执行符合全策略内容的安全检测。4.根据权利要求1 所述的方法,其特征在于,所述收集各虚拟域安全检测结果,形成安全管理域的安全事态信息包括: 受控端对检测结果进行态势分析,对本地虚拟域进行安全审计和安全评估,将结果返回主控端; 在主控端接收受控端的虚拟域的安全检测结果; 根据全部虚拟域的安全检测结果进行安全管理域的安全态势分析,形成安全事态信息,实现对安全管理域内各个虚拟域的集中式管理。5.根据权利要求1-4中任一项所述的方法,其特征在于,所述安全模块包括病毒查杀模块、弱点扫描模块、漏洞检测模块、渗透检测模块、垃圾清理模块、启动加速模块和预警提示模块中的至少一种。6.根据权利要求5所述的方法,其特征在于,所述病毒查杀模块用于针对全盘、U盘、关键区域或者指定的区域的系统关键文件进行病毒扫描,其中系统关键文件包括/etc、/boot、/bin以及/sbin目录下的关键文件; 所述弱点扫描模块用于对虚拟域的防火墙安全性、Selinux安全性、PAM密码安全性、软件版本固有漏洞、常用命令完整性和缺失以及日志信息进行扫描分析; 所述漏洞检测模块用于检测系统rootkit残留,判断是否存在安全隐患; 所述渗透检测模块用于检测当前登录账号的密码安全情况; 所述垃圾清理模块用于对虚拟域系统中的临时文件、上网记录、用户Cookie以及回收站垃圾文件进行清理; 所述启动加速模块用于列举分类虚拟域系统的启动服务,提供服务的相关描述以及优化推荐等功能供用户使用,对系统的非必要服务进行关闭和开启,从而提高系统的启动速度; 所述预警提示模块用于监视系统内具有suid属性的...
【专利技术属性】
技术研发人员:姜春林,张伟,
申请(专利权)人:中标软件有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。