一种基于云平台的虚拟机资源安全监控及风险预处理系统,通过在运行云平台Compute服务的计算节点布置本发明专利技术的虚拟机资源监控模块,在运行云平台Compute服务的收集节点上布置本发明专利技术的资源数据收集和资源数据分析模块,在同时运行云平台Horizon、Glance、Swift服务的同一主控节点上布置本发明专利技术的风险处理和监控管理模块来实现对云平台计算节点上虚拟机的资源安全监控和风险预处理。本发明专利技术使管理员可以通过本发明专利技术查看各计算节点上被监控虚拟机的资源使用状况和安全状况,并在管理员长时间未处理不安全虚拟机的情况下自主对不安全虚拟机实施管理。本发明专利技术可应用于云计算平台资源监控中。
【技术实现步骤摘要】
本专利技术属于计算机
,更进一步涉及信息安全
中的一种基于云平台的虚拟机资源安全监控及风险预处理系统。本专利技术可用于云平台架构中计算节点上所运行虚拟机的的资源监控、安全性判断及进行相应的预处理。
技术介绍
随着云平台的普及,越来越多的企业将服务器的部署方式从实体改为云平台,既有利于部署空间的节约,也有利于针对服务需求的资源量进行动态分配。监控是云平台的重要组成部分,它是云计算平台中所有管理的前提,可以帮助云平台动态量化资源使用、监测服务缺陷等,对提供云平台的服务质量发挥着重要的作用。Abhinav Srivastava等人在其发表的论文“CloudVMI:Virtual MachineIntrospection as a Cloud Service”(2014IEEE International Conference on CloudEngineering)中提出了以VMI为基础的的CloudVMI系统架构。该论文中将VMI作为一种云平台上的服务,部署到各物理节点之上,采用LibVMI对物理节点上的各个虚拟机进行资源收集。该论文提出的系统架构,有效地屏蔽了虚拟机内恶意程序的攻击,但是,该系统存在的不足之处是,没有充分利用到该系统获取到的监控信息,对获取到的监控信息中的进程事件信息造成了浪费。梁宇等人在其论文“基于OpenStack资源监控系统”(《计算机系统应用》2014年第23卷第4期)中提出了一种基于OpenStack的资源监控系统。该系统的共分为worker、database、server、common和client五个模块。其中worker为其主要监控模块。worker模块以Libvirt为核心API,部署于各物理节点之上,管理和监测该节点运行的目标虚拟机的物理资源状态如内存、CPU、硬盘等。该系统存在的不足之处是,由于该系统的监控模块只获取了虚拟机的物理资源信息,导致该监控系统的监控力度不足。
技术实现思路
本专利技术的目的在于针对上述现有技术存在的问题,提供一种基于云平台的虚
拟机资源安全监控及风险预处理系统。本专利技术可实时监控云平台计算节点上运行的被监控虚拟机的资源信息和安全状态信息,对处于不安全状态的被监控虚拟机能够及时做出处理建议和处理响应,减少被监控虚拟机内潜在威胁可能给用户带来的损失,并保证监控系统所得资源信息的准确性。本专利技术解决上述技术问题的技术方案是:本专利技术包括虚拟机资源监控模块、资源数据收集模块、资源数据分析模块、风险处理模块和监控管理模块。本专利技术的虚拟机资源监控模块,布置在运行着云平台Compute服务的计算节点之上,用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息,并将进程物理页信息进行语义修复,修复为进程结构体信息,再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块。本专利技术的资源数据收集模块,布置在运行着云平台Compute服务的收集节点之上,用于接收虚拟机资源监控模块发送的数据,并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类,再按照预先格式将分类后的数据进行持久化存储。本专利技术的资源数据分析模块,布置在运行着云平台Compute服务的收集节点之上,用于获取资源数据收集模块分类存储后的信息,取得的进程结构体信息用于建立进程预期行为模型,取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型,通过分析判断将验证结果分为可信、可疑和危险三种状态结果,再将判断的状态结果发送到风险处理模块。本专利技术的风险处理模块,布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上,接收资源数据分析模块发送来的分析状态结果,对分析状态结果中由资源数据分析模块判断得到的可信状态结果,将可信状态结果直接转发到监控管理模块;对分析状态结果中由资源数据分析模块判断得到的可疑状态结果和危险状态结果,则由风险处理模块制定对应的处理建议,再将分析状态结果中的可疑状态结果、危险状态结果和风险处理模块做出的对应的处理建议一并发送给监控管理模块,若监控管理模块对可疑和危险状态结果给出未响应信息,则由风险处理模块自行对被监控虚拟机做出相应处理,再将风险处理模块的处理结果发送到监控管理模块。本专利技术的监控管理模块,布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上,用于启动整个监控系统,系统启动之后用于接收本专利技术的资源数据收集模块发送来的物理资源信息和风险处理模块发送来的风险处理信息,再将收到的物理资源信息和风险处理信息通过web界面进行展示;并将本专利技术的风险处理模块发送的风险处理信息中的可疑或危险状态结果,连同风险处理模块发送的处理建议一起通知云平台管理员,若云平台管理员在一定时间内未处理,监控管理模块则发送可疑或危险状态结果的未响应信息给风险处理模块。与现有技术相比,本专利技术具有以下优点。第一,由于本专利技术的虚拟机资源监控模块布置在被监控虚拟机的计算节点之上而不是在被监控虚拟机之内,克服了现有技术中在被监控虚拟机内置入代理导致的影响被监控虚拟机性能的问题,使得本专利技术减少了资源监控引起的被监控虚拟机的性能损耗。第二,由于本专利技术的虚拟机资源监控模块对被监控虚拟机的进程物理页进行了语义修复,获取了被监控虚拟机的进程实际运行信息,克服了现有技术中监控力度不足的问题,使本专利技术可以获取更多监控信息,为本专利技术对被监控虚拟机的安全性判断提供了有效数据,提高了安全性判断的有效性。第三,由于本专利技术的风险处理模块在云平台管理员长时间未处理不安全虚拟机的情况下可以自主管理虚拟机,克服了现有技术中对被监控虚拟机管理措施不足的问题,使本专利技术可以及时制止不安全虚拟机对用户资源的损害行为,加强了本专利技术的管理力度,减少了不安全虚拟机带给用户的损失。附图说明图1为本专利技术的结构示意图;图2为本专利技术的架构框图;图3为本专利技术的运行图。具体实施方式下面结合附图对本专利技术做进一步的详细描述。参照附图1,本专利技术包括虚拟机监控模块,资源数据收集模块,资源数据分析模块,风险处理模块,监控管理模块;虚拟机监控模块布置在运行着云平台
Compute服务的计算节点之上,用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息,并将进程物理页信息进行语义修复,修复为进程结构体信息,再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块。资源数据收集模块布置在运行着云平台Compute服务的收集节点之上,用于接收虚拟机资源监控模块发送的数据,并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类,再按照预先格式将分类后的数据进行持久化存储。资源数据分析模块布置在运行着云平台Compute服务的收集节点之上,用于获取资源数据收集模块分类存储后的信息,取得的进程结构体信息用于建立进程预期行为模型,取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型,通过分析判断将验证结果分为可信、可疑和危险三种状态结果,再将判断的状态结果发送到风本文档来自技高网...
【技术保护点】
一种基于云平台的虚拟机资源安全监控及风险预处理系统,包括虚拟机资源监控模块、资源数据收集模块、资源数据分析模块、风险处理模块和监控管理模块;所述的虚拟机资源监控模块,布置在运行着云平台Compute服务的计算节点之上,用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息,并将进程物理页信息进行语义修复,修复为进程结构体信息,再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块;所述的资源数据收集模块,布置在运行着云平台Compute服务的收集节点之上,用于接收虚拟机资源监控模块发送的数据,并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类,再按照预先格式将分类后的数据进行持久化存储;所述的资源数据分析模块,布置在运行着云平台Compute服务的收集节点之上,用于获取资源数据收集模块分类存储后的信息,取得的进程结构体信息用于建立进程预期行为模型,取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型,通过分析判断将验证结果分为可信、可疑和危险三种状态结果,再将判断的状态结果发送到风险处理模块;所述的风险处理模块,布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上,接收资源数据分析模块发送来的分析状态结果,对分析状态结果中由资源数据分析模块判断得到的可信状态结果,将可信状态结果直接转发到监控管理模块;对分析状态结果中由资源数据分析模块判断得到的可疑状态结果和危险状态结果,则由风险处理模块制定对应的处理建议,再将分析状态结果中的可疑状态结果、危险状态结果和风险处理模块做出的对应的处理建议一并发送给监控管理模块,若监控管理模块对可疑和危险状态结果给出未响应信息,则由风险处理模块自行对被监控虚拟机做出相应处理,再将风险处理模块的处理结果发送到监控管理模块;所述的监控管理模块,布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上,用于启动整个监控系统;系统启动之后用于接收资源数据收集模块发送来的物理资源信息和风险处理模块发送来的风险处理信息,再将收到的物理资源信息和风险处理信息通过web界面进行展示;并将风险处理模块发送的风险处理信息中的可疑或危险状态结果,连同风险处理模块发送的处理建议一起通知云平台管理员,若云平台管理员在一定时间内未处理,监控管理模块则发送可疑或危险状态结果的未响应信息给风险处理模块。...
【技术特征摘要】
1.一种基于云平台的虚拟机资源安全监控及风险预处理系统,包括虚拟机资源监控模块、资源数据收集模块、资源数据分析模块、风险处理模块和监控管理模块;所述的虚拟机资源监控模块,布置在运行着云平台Compute服务的计算节点之上,用于周期性地收集被监控虚拟机的物理资源信息、进程物理页信息和进程实际运行信息,并将进程物理页信息进行语义修复,修复为进程结构体信息,再将修复后的进程结构体信息和虚拟机资源监控模块收集到的物理资源信息和进程实际运行信息发送到资源数据收集模块;所述的资源数据收集模块,布置在运行着云平台Compute服务的收集节点之上,用于接收虚拟机资源监控模块发送的数据,并按照进程结构体信息、物理资源信息和进程实际运行信息三个类别进行分类,再按照预先格式将分类后的数据进行持久化存储;所述的资源数据分析模块,布置在运行着云平台Compute服务的收集节点之上,用于获取资源数据收集模块分类存储后的信息,取得的进程结构体信息用于建立进程预期行为模型,取得的物理资源信息和进程实际运行信息用于验证是否符合资源数据分析模块建立的进程预期行为模型,通过分析判断将验证结果分为可信、可疑和危险三种状态结果,再将判断的状态结果发送到风险处理模块;所述的风险处理模块,布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上,接收资源数据分析模块发送来的分析状态结果,对分析状态结果中由资源数据分析模块判断得到的可信状态结果,将可信状态结果直接转发到监控管理模块;对分析状态结果中由资源数据分析模块判断得到的可疑状态结果和危险状态结果,则由风险处理模块制定对应的处理建议,再将分析状态结果中的可疑状态结果、危险状态结果和风险处理模块做出的对应的处理建议一并发送给监控管理模块,若监控管理模块对可疑和危险状态结果给出未响应信息,则由风险处理模块自行对被监控虚拟机做出相应处理,再将风险处理模块的处理结果发送到监控管理模块;所述的监控管理模块,布置在同时运行着云平台Horizon、Glance、Swift服务的同一主控节点之上,用于启动整个监...
【专利技术属性】
技术研发人员:马卓,郑天翔,姜奇,童跃,张俊伟,马建峰,王葵,张梦,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。