本发明专利技术涉及一种基于影子分身虚机的Linux云主机信息安全判定装置,包括:判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。与现有技术相比,本发明专利技术具有效率高、安全、成本低等优点。
Linux virtual machine information security judging device based on shadow separate virtual machine
【技术实现步骤摘要】
基于影子分身虚机的Linux云主机信息安全判定装置
本专利技术涉及一种云主机信息处理
,尤其是涉及一种基于影子分身虚机的Linux云主机信息安全判定装置。
技术介绍
云计算平台作为一种基础服务平台,以虚机的形式为用户提供资源。随着云计算在行业的普及,云主机系统的安全问题也得到越来越高的关注。常用的安全措施是在客户的虚机中安装防毒软件、漏洞扫描软件等安全工具,但随着信息安全攻击技术的不断提升,简单的防御显得捉襟见肘,但如果在客户云主机上部署复杂、专业的安全软件,不但在软件工作时会占用许多CPU和内存资源,影响客户业务系统的性能,同时定期更新信息安全指纹库、病毒库等也会占用许多存储资源,从而提高用户使用云主机的成本。另外,让用户自己维护安全软件和安全库,对于大多数用户而言,有额外的知识要求与学习成本,一旦配置错误或者长期不更新相关数据库会造成安全软件形同虚设。
技术实现思路
本专利技术的目的在于克服上述现有技术存在的缺陷而提供一种基于影子分身虚机的Linux云主机信息安全判定装置,以构建既安全可靠又高效亲民的云服务。本专利技术的目的可以通过以下技术方案来实现:一种基于影子分身虚机的Linux云主机信息安全判定装置,包括:判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。进一步地,所述信息安全判定请求包括目标虚机ID号码和初始参数。进一步地,所述初始参数包括周期性评估标识和评估结果发送地址。进一步地,所述相同规格指CPU、内存和操作系统均相同。进一步地,所述信息安全风险判定模块包括:检查单元,基于历史数据判断是否存在已运行的影子分身虚机,若是,则直接调用所述影子分身虚机,若否,则创建一影子分身虚机;初始化单元,在所述影子分身虚机上挂载一块空的云硬盘,并对所述云硬盘进行初始化;同步单元,将所述目标虚机上的文件系统同步复制至所述云硬盘中;安全评估单元,启动所述影子分身虚机,调用安全程序对所述影子分身虚机进行安全评估,生成安全评估报告。进一步地,所述初始化单元中,对云硬盘进行初始化为对云硬盘进行分区并在云硬盘中创建一个主分区。进一步地,所述安全程序对影子分身虚机进行远程安全扫描或登录至影子分身虚机中进行本地扫描。进一步地,所述信息安全风险判定模块还包括:报告发送单元,用于发送所述安全评估报告。进一步地,所述信息安全风险判定模块还包括:报告显示单元,通过图形化界面显示所述安全评估报告。进一步地,所述信息安全风险判定模块还包括:资源释放单元,在完成信息安全风险判定后销毁所述影子分身虚机。与现有技术相比,本专利技术在云计算环境中提供一种面向使用Linux内核操作系统的用户云主机的信息安全判定方法,该方法既克服了在虚拟机中安装安全软件造成虚拟机系统性能下降,并占用云存储空间而造成用户成本上升的问题,同时也将安全运维的工作从用户自身转移到平台管理员,使得平台更安全,用户更省心。本专利技术具有如下有益效果:1)本专利技术无需用户在虚机中下载病毒库等安全相关数据库,降低了虚机的存储资源需求量,降低了用户使用云主机的成本。2)本专利技术无需用户在虚机中安装安全软件,减少了安全软件运行和扫描时对业务系统CPU和内存的消耗,提升了业务系统的效率。3)本专利技术避免了用户来维护和使用专业的安全软件,而是让更新和维护工作转给了平台管理员,平台管理员负责检查更新最新的安全库,配置安全选项,使系统更安全,用户更放心。附图说明图1为本专利技术的应用场景示意图;图2为本专利技术的流程示意图。具体实施方式下面结合附图和具体实施例对本专利技术进行详细说明。本实施例以本专利技术技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本专利技术的保护范围不限于下述的实施例。本实施例提供一种基于影子分身虚机的Linux云主机信息安全判定装置,用于提供信息安全风险监测与态势感知服务,包括判定请求监测模块和信息安全风险判定模块,其中,判定请求监测模块实时判断是否接收到针对某一目标虚机的信息安全判定请求;信息安全风险判定模块在判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对目标虚机进行信息安全风险判定,影子分身虚机与目标虚机具有相同规格。信息安全风险判定模块包括检查单元、初始化单元、同步单元和安全评估单元,其中,检查单元基于历史数据判断是否存在已运行的影子分身虚机,若是,则直接调用影子分身虚机,若否,则创建一影子分身虚机;初始化单元在影子分身虚机上挂载一块空的云硬盘,并对云硬盘进行初始化;同步单元将目标虚机上的文件系统同步复制至云硬盘中;安全评估单元启动影子分身虚机,调用安全程序对影子分身虚机进行安全评估,生成评估报告。在另一实施例中,信息安全风险判定模块还包括报告发送单元,用于发送评估报告。在另一实施例中,信息安全风险判定模块还包括报告显示单元,通过图形化界面显示评估报告。在另一实施例中,信息安全风险判定模块还包括资源释放单元,在完成信息安全风险判定后销毁所述影子分身虚机。如图1所示为上述信息安全判定装置的应用场景示意图。硬件服务器1被部署在数据中心中,通过交换机连接构成服务器集群。本实施例中,硬件服务器1包括但不限于x86,ARM架构的硬件服务器。私有云操作系统2安装在硬件服务器所组成的服务器集群上,主要作用是将硬件资源软件化,高效管理硬件服务器的资源,并提供给上层软件所使用。本实施例中,私有云操作系统2包括基于OpenStack,CloudStack等开源软件构建的私有云操作系统。虚拟机3是假设用户在私有云操作系统上启动的虚机,这些虚拟机的操作系统属于Linux内核,典型的如Ubuntu,CentOS,银河麒麟等操作系统,在操作系统之上运行有用户的业务应用,需要定期或不定期对虚机系统和其上业务应用做信息安全检查。虚机上一般安装有qemu-guest-agent等工具与云操作系统进行交互,云操作系统可以用该工具在虚机中安装软件,并执行命令。用户4为私有云的实际使用者,通过图形化界面使用云提供的服务,其业务系统运行在云平台上的虚拟机中。用户可以通过鼠标操作调用该SaaS接口并用键盘输入相关参数。信息安全风险评估服务5为本实施例信息安全判定装置提供的服务,是一个运行在云操作系统上的SaaS服务。具体实施方式可以是:开启一台虚机,并在其中安装开源或商用的安全软件,典型开源的安全软件有lynis,Metasploit,rkhunter等,将这些工具通过webservice的方式以服务的形式对外提供SaaS接口。时钟6用于实现定期评估。用户在云操作系统提供的管理图形界面上通过鼠标和键盘操作进行手动的非周期本文档来自技高网...
【技术保护点】
1.一种基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,包括:/n判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;/n信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。/n
【技术特征摘要】
1.一种基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,包括:
判定请求监测模块,实时判断是否接收到针对某一目标虚机的信息安全判定请求;
信息安全风险判定模块,在所述判定请求监测模块的判断结果为是时响应,基于一影子分身虚机对所述目标虚机进行信息安全风险判定,所述影子分身虚机与目标虚机具有相同规格。
2.根据权利要求1所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全判定请求包括目标虚机ID号码和初始参数。
3.根据权利要求2所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述初始参数包括周期性评估标识和评估结果发送地址。
4.根据权利要求1所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述相同规格指CPU、内存和操作系统均相同。
5.根据权利要求1所述的基于影子分身虚机的Linux云主机信息安全判定装置,其特征在于,所述信息安全风险判定模块包括:
检查单元,基于历史数据判断是否存在已运行的影子分身虚机,若是,则直接调用所述影子分身虚机,若否,则创建一影子分身虚机;
初始化单元,在所述影子分身虚机上挂载一块空的云硬盘,并对所述云硬盘进行初始化;<...
【专利技术属性】
技术研发人员:刘超,
申请(专利权)人:上海仪电集团有限公司中央研究院,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。