The invention provides a method and a system for collecting user virtual machine data access evidence, which belongs to the field of information security, including application for collecting trustworthiness evidence; cloud IaaS service virtual machine data access trustworthiness evidence collector launches a collection request to the host computer related to the virtual machine according to the cloud user identity unique identifier ID information; The access behavior monitor collects local trustworthiness evidence and passes the log evidence back to the third party IaaS service virtual machine data access trustworthiness receiver and the third party malicious access behavior correlator to restore normal and malicious user virtual machine data access behavior. By authenticating user ID information in the process of evidence collection and using local trustworthiness evidence for malicious access request Association authentication, the problem of obtaining evidence of data access behavior of IaaS cloud service users in the cloud can be solved. At the same time, the problem of whether users can analyze the illegality of malicious IaaS cloud service providers can be solved. The problem of accessing data behavior.
【技术实现步骤摘要】
用户虚拟机数据访问证据收集方法及系统
本专利技术属于信息安全领域,特别涉及用户虚拟机数据访问证据收集方法及系统。
技术介绍
当前,来自内部员工盗取公司数据的威胁,对于企业以及用户来说非常严重。如沃达丰200万客户银行资料泄露事件等案例中,都是特权用户访问权限过大导致了客户数据被窃取。在基础设施即服务(InfrastructureasaService,IaaS)中,云用户使用的数据以虚拟机镜像的方式存放于云宿主机平台上,而云服务商(管理员)具有用户虚拟机所在宿主机的管理员特权。因此,恶意的IaaS云服务商(管理员)完全能够通过操纵宿主机读取用户虚拟机镜像的方式非法获取用户数据。然而,当前宿主机访问云虚拟机数据的方式众多,当前的云安全测试技术没有对相关行为进行建模及全面覆盖采集;没有区分恶意云服务商通过宿主机访问虚拟机数据的行为和云用户正常访问虚拟机数据的行为;这都阻碍了用户察觉恶意IaaS云服务商对其数据的非法窃取,无法有效保障用户数据不受恶意IaaS云服务商的威胁。
技术实现思路
为了解决现有技术中存在的缺点和不足,本专利技术提供了用于防止出现IaaS云服务商的非法访问数据行为的用户虚拟机数据访问证据收集方法及系统。为了达到上述技术目的,一方面,本专利技术提供了用户虚拟机数据访问证据收集方法,所述收集方法,包括:用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程;向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可...
【技术保护点】
1.用户虚拟机数据访问证据收集方法,其特征在于,所述收集方法,包括:用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程;向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据;云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,通过nova数据库查找到用户虚拟机相关的宿主机,向这些宿主机发起采集请求;云端宿主机用户数据访问行为监控器收集本地可信性证据;将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为;将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。
【技术特征摘要】
1.用户虚拟机数据访问证据收集方法,其特征在于,所述收集方法,包括:用户登录第三方可信性证据收集用户登录服务器,如果登录账号及密码有效,则请求继续进行证据收集、分析和展示流程;向第三方可信性证据展示服务器申请收集可信性证据,并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据;云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息,通过nova数据库查找到用户虚拟机相关的宿主机,向这些宿主机发起采集请求;云端宿主机用户数据访问行为监控器收集本地可信性证据;将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器,由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为;将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。2.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述可信性证据,包括:来自服务组件、虚拟化管理工具和虚拟化进程访问三个层次的正常的用户访问行为和非法的恶意服务商访问行为信息。3.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述可信性证据的层级结构表现为虚拟机数据访问可信性证据树,在可信性证据树中的第二层节点包含证据来源层次信息,叶子节点包含访问行为名称及发生时间信息;服务组件监控采集到的行为证据为用户发起的请求如对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化管理工具监控采集到的行为证据为对虚拟机的shutdown,start,pause,suspend等操作及时间信息;虚拟化进程监控采集到的行为证据为对虚拟机的qemu-img,qemu-system,qemu-nbd等操作及时间信息。4.根据权利要求1所述的用户虚拟机数据访问证据收集方法,其特征在于,所述云端宿主机用户数据访问行为监控器收集本地可信性证据,包括:服务组件访问虚拟机数据行为监控模块获得用户ID对应的行为名称以及时间信息,记为nova-access.log;虚拟化管理工具访问虚拟机数据行为监控模块通过虚拟机镜像日志获得对用户虚拟机数据的访问行为证据信息,包括访问行为名称以及时间信息,信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vtool-access.log;虚拟化进程访问虚拟机数据行为监控模块通过对系统调用的监控获取对用户虚拟机数据的访问行为证据信息,包括访问行为名称以及时间信息,上述信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息,记为vp-access.log。5.根据权利要求4所述的用户虚拟机数据访问证据收集方法,其特征在于,所述虚拟化进程监控信息获取算法包括:判断当前访问进程的...
【专利技术属性】
技术研发人员:姚一杨,赵保华,安宁钰,王彦波,韩嘉佳,卢新岱,张旭东,
申请(专利权)人:国网浙江省电力有限公司,国网浙江省电力有限公司信息通信分公司,全球能源互联网研究院有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。