一种云平台的内存安全检测系统及方法技术方案

本发明专利技术公开了一种云平台的内存安全检测系统及方法，涉及网络安全领域。云平台上部署有若干虚拟机并分别运行在同一宿主机上，宿主机分别为各虚拟机提供内存；安全检测系统通过向虚拟机写入特征值的方式进行内存安全检测；内存隔离检测子系统包括：第一写入模块，持续向写入虚拟机中写入特征值，直至虚拟机的剩余内存容量不大于预先设置的第一阈值容量；第一查找模块，依次于除写入虚拟机之外的虚拟机中查找是否包含有特征值，并在任意一台虚拟机中查找到特征值时输出表征内存未完全隔离的检测结果，以及在所有虚拟机中均未查找到时输出表征内存完全隔离的检测结果。具有以下有益效果：准确、直观的展示云平台的内存安全状态。

【技术实现步骤摘要】
一种云平台的内存安全检测系统及方法
本专利技术涉及网络安全领域，尤其涉及一种云平台的内存安全检测系统及方法。
技术介绍
近年来，云计算技术作为一种新的服务模式，得到了飞速的发展。由于云服务的一系列优点，越来越多的用户选择将信息系统迁移到云端，因此，提供各种云服务的云服务商也随之出现，而基础设施服务提供商(IaaS)提供的云计算平台是最基础的一种模式，云计算平台安全也是信息系统安全运行的基础。相对于传统的信息系统，迁移到云端的信息系统，信息系统构建用户不需要自己购买各种服务器资源进行系统的搭建，只需要跟云服务商租用相应的服务，就可以组建自己的信息系统，这样，可以很大程度上节省了成本。与此同时，运维成本也得以降低，信息系统构建用户只需关注云服务器的自身问题，而无需关注底层的服务器的硬件问题、网络的运维问题等。针对这种服务模式，云服务商保障的安全技术更多的在于抵御各种攻击，加强的安全防范基本都体现在主机层安全、网络层安全、应用层安全以及整个云系统的安全。然而，对于云服务商提供的云服务，如何保证云平台自身的安全，一直以来缺少相应的研究和检测。对于云服务提供者，存在多种租户同时租用云上的服务，这些云服务部署在云服务商提供的一台台虚拟机上，而这些虚拟机运行在底层的宿主机(安装了虚拟化软件的物理服务器)上，多个租户是共享宿主机上的资源的，如CPU、内存、磁盘等。这里多个租户使用云服务时，每个租户执行时的内存数据是否是隔离的；以及在租户实例关机、删除、重启场景下，将申请的实例释放时，实例内存的数据是否得到相应的清除。这些针对云平台自身的安全，是亟需解决的问题。
技术实现思路
本专利技术为了解决上述问题，现提出一种云平台的内存安全检测系统，所述云平台上部署有若干虚拟机，各所述虚拟机分别运行在同一宿主机上，所述宿主机分别为各所述虚拟机提供内存；所述安全检测系统通过向所述虚拟机写入特征值的方式进行内存安全检测；所述安全检测系统包括至少一内存隔离检测子系统，所述内存隔离检测子系统包括：第一写入模块，用于任选一台虚拟机，将所述虚拟机作为写入虚拟机，并持续向所述写入虚拟机中写入所述特征值，直至所述虚拟机的剩余内存容量不大于预先设置的第一阈值容量；第一查找模块，连接所述第一写入模块，用于依次于所述云平台上部署的除所述写入虚拟机之外的所述虚拟机中查找是否包含有所述特征值，并在任意一台所述虚拟机中查找到所述特征值时输出表征内存未完全隔离的检测结果作为所述云平台的内存安全检测结果，以及在所有所述虚拟机中均未查找到所述特征值时输出表征内存完全隔离的检测结果作为所述云平台的所述内存安全检测结果。优选的，所述安全检测系统还包括一内存剩余信息检测子系统，所述内存剩余信息检测子系统包括：第二写入模块，用于任选一台虚拟机，将所述虚拟机作为写入虚拟机，并持续向所述写入虚拟机中写入所述特征值，直至所述虚拟机的剩余内存容量不大于预先设置的第二阈值容量；第一控制模块，连接所述第二写入模块，用于控制所述写入虚拟机与所述宿主机断开连接；第二查找模块，连接所述第一控制模块，用于在所述虚拟机与所述宿主机断开连接后在所述宿主机中进行内存查找，并在所述宿主机中查找到所述特征值时输出第一查找结果，以及在所述宿主机中未查找到所述特征值时输出表征内存剩余信息保护的检测结果作为所述云平台的所述内存安全检测结果；分配模块，连接所述第二查找模块，用于根据所述第一查找结果在所述宿主机上生成一新虚拟机，并将所述宿主机中的剩余内存全部分配给所述新虚拟机；第三查找模块，连接所述分配模块，用于对所述新虚拟机进行内存查找，并在所述新虚拟机中查找到所述特征值时输出表征内存剩余信息未保护的检测结果作为所述云平台的内存安全检测结果，以及在所述新虚拟机中未查找到所述特征值时输出表征内存剩余信息保护的检测结果作为所述云平台的所述内存安全检测结果。优选的，所述第一查找模块包括：第一导出单元，连接一第一缓存单元，用于依次将所述云平台上部署的除所述写入虚拟机之外的其他所述虚拟机中的第一内存值导出至所述第一缓存单元；第一查找单元，连接所述第一导出单元，用于在每次导出所述第一内存值时，对所述第一缓存单元进行查找，并在查找到所述特征值时输出未完全隔离内存检测结果作为所述云平台的内存安全检测结果，以及在所有所述虚拟机的所述第一内存值全部导出时仍未查找到所述特征值，输出完全隔离内存检测结果作为所述云平台的所述内存安全检测结果。优选的，所述第一查找模块还包括一删除单元，连接所述第一缓存单元，用于在内存安全检测完成后对所述第一缓存单元中的所述第一内存值进行删除。优选的，所述第二查找模块包括：第二导出单元，连接一第二缓存单元，用于将所述宿主机中的第二内存值导出至所述第二缓存单元；第二查找单元，连接所述第二导出单元，用于在导出所述宿主机中的所述第二内存值时，对所述第二缓存单元进行查找，并在所述宿主机中查找到所述特征值时输出第一查找结果，以及在所述宿主机中未查找到所述特征值时输出表征内存剩余信息保护的检测结果作为所述云平台的所述内存安全检测结果。优选的，所述第三查找模块包括：第三导出单元，连接一第三缓存单元，用于将所述新虚拟机中的第三内存值导出至所述第三缓存单元；第三查找单元，连接所述第三导出单元，用于在导出所述新虚拟机中的所述第三内存值时，对所述第三缓存单元进行查找，并在所述新虚拟机中查找到所述特征值时输出表征内存剩余信息未保护的检测结果作为所述云平台的内存安全检测结果，以及在所述新虚拟机中未查找到所述特征值时输出表征内存剩余信息保护的检测结果作为所述云平台的所述内存安全检测结果。优选的，还包括删除模块，分别连接所述第二查找模块和所述第三查找模块，用于在内存安全检测完成后分别对所述第二缓存单元中的所述第二内存值和所述第三缓存单元中的所述第三内存值进行删除。优选的，还包括测试环境选择模块，分别连接所述内存隔离检测子系统和所述内存剩余信息检测子系统，用于在对所述云平台进行内存安全检测之前，获取所述云平台的运行环境，并根据所述运行环境切换所述内存安全检测的测试环境。一种云平台的内存安全检测方法，应用于云平台的内存安全检测系统，所述安全检测方法通过向所述虚拟机写入特征值的方式进行内存安全检测；所述安全检测方法包括至少一内存隔离检测流程，所述内存隔离检测流程包括以下步骤：步骤S1，所述内存安全检测系统任选一台虚拟机，将所述虚拟机作为写入虚拟机，并持续向所述写入虚拟机中写入所述特征值，直至所述虚拟机的剩余内存容量不大于预先设置的第一阈值容量；步骤S2，所述内存安全检测系统依次于所述云平台上部署的除所述写入虚拟机之外的所述虚拟机中查找是否包含有所述特征值，若在任意一台所述虚拟机中查找到所述特征值，则输出表征内存未完全隔离的检测结果作为所述云平台的内存安全检测结果，若在所有所述虚拟机中均未查找到所述特征值，则输出表征内存完全隔离的检测结果作本文档来自技高网...

【技术保护点】
1.一种云平台的内存安全检测系统，其特征在于，所述云平台上部署有若干虚拟机，各所述虚拟机分别运行在同一宿主机上，所述宿主机分别为各所述虚拟机提供内存；/n所述安全检测系统通过向所述虚拟机写入特征值的方式进行内存安全检测；/n所述安全检测系统包括至少一内存隔离检测子系统，所述内存隔离检测子系统包括：/n第一写入模块，用于任选一台虚拟机，将所述虚拟机作为写入虚拟机，并持续向所述写入虚拟机中写入所述特征值，直至所述虚拟机的剩余内存容量不大于预先设置的第一阈值容量；/n第一查找模块，连接所述第一写入模块，用于依次于所述云平台上部署的除所述写入虚拟机之外的所述虚拟机中查找是否包含有所述特征值，并在任意一台所述虚拟机中查找到所述特征值时输出表征内存未完全隔离的检测结果作为所述云平台的内存安全检测结果，以及在所有所述虚拟机中均未查找到所述特征值时输出表征内存完全隔离的检测结果作为所述云平台的所述内存安全检测结果。/n

【技术特征摘要】
1.一种云平台的内存安全检测系统，其特征在于，所述云平台上部署有若干虚拟机，各所述虚拟机分别运行在同一宿主机上，所述宿主机分别为各所述虚拟机提供内存；
所述安全检测系统通过向所述虚拟机写入特征值的方式进行内存安全检测；
所述安全检测系统包括至少一内存隔离检测子系统，所述内存隔离检测子系统包括：
第一写入模块，用于任选一台虚拟机，将所述虚拟机作为写入虚拟机，并持续向所述写入虚拟机中写入所述特征值，直至所述虚拟机的剩余内存容量不大于预先设置的第一阈值容量；
第一查找模块，连接所述第一写入模块，用于依次于所述云平台上部署的除所述写入虚拟机之外的所述虚拟机中查找是否包含有所述特征值，并在任意一台所述虚拟机中查找到所述特征值时输出表征内存未完全隔离的检测结果作为所述云平台的内存安全检测结果，以及在所有所述虚拟机中均未查找到所述特征值时输出表征内存完全隔离的检测结果作为所述云平台的所述内存安全检测结果。


2.根据权利要求1所述的内存安全检测系统，其特征在于，所述安全检测系统还包括一内存剩余信息检测子系统，所述内存剩余信息检测子系统包括：
第二写入模块，用于任选一台虚拟机，将所述虚拟机作为写入虚拟机，并持续向所述写入虚拟机中写入所述特征值，直至所述虚拟机的剩余内存容量不大于预先设置的第二阈值容量；
第一控制模块，连接所述第二写入模块，用于控制所述写入虚拟机与所述宿主机断开连接；
第二查找模块，连接所述第一控制模块，用于在所述虚拟机与所述宿主机断开连接后在所述宿主机中进行内存查找，并在所述宿主机中查找到所述特征值时输出第一查找结果，以及在所述宿主机中未查找到所述特征值时输出表征内存剩余信息保护的检测结果作为所述云平台的所述内存安全检测结果；
分配模块，连接所述第二查找模块，用于根据所述第一查找结果在所述宿主机上生成一新虚拟机，并将所述宿主机中的剩余内存全部分配给所述新虚拟机；
第三查找模块，连接所述分配模块，用于对所述新虚拟机进行内存查找，并在所述新虚拟机中查找到所述特征值时输出表征内存剩余信息未保护的检测结果作为所述云平台的内存安全检测结果，以及在所述新虚拟机中未查找到所述特征值时输出表征内存剩余信息保护的检测结果作为所述云平台的所述内存安全检测结果。


3.根据权利要求1所述的内存安全检测系统，其特征在于，所述第一查找模块包括：
第一导出单元，连接一第一缓存单元，用于依次将所述云平台上部署的除所述写入虚拟机之外的其他所述虚拟机中的第一内存值导出至所述第一缓存单元；
第一查找单元，连接所述第一导出单元，用于在每次导出所述第一内存值时，对所述第一缓存单元进行查找，并在查找到所述特征值时输出未完全隔离内存检测结果作为所述云平台的内存安全检测结果，以及在所有所述虚拟机的所述第一内存值全部导出时仍未查找到所述特征值，输出完全隔离内存检测结果作为所述云平台的所述内存安全检测结果。


4.根据权利要求3所述的内存安全检测系统，其特征在于，所述第一查找模块还包括一删除单元，连接所述第一缓存单元，用于在内存安全检测完成后对所述第一缓存单元中的所述第一内存值进行删除。


5.根据权利要求2所述的内存安全检测系统，其特征在于，所述第二查找模块包括：
第二导出单元，连接一第二缓存单元，用于将所述宿主机中的第二内存值导出至所述第二缓存单元；
第二查找单元，连接所述第二导出单元，用于在导出所述宿主机中的所述第二内存值时，对所述第二缓存单元进行查找，并在所述宿主机中查找到所述特征值时输出第一查找结果，以及在所述宿主机中未查...

【专利技术属性】
技术研发人员：陈妍，章倩，韦湘，陆臻，杨更，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：上海;31