基于Ovirt-Kvm桌面云管理平台安全子系统设计与实现

摘要

随着云计算技术的应用和普及，其暴露出来的安全问题也越来越突出。由于云计算平台用户虚拟机数量十分庞大，传统的监控技术很难对用户虚拟机系统内外安全性做到有效的监控。由于云平台部署的分布性和复杂性，传统的安全审计技术也无法完成对云计算平台整体安全态势的有效掌握。
　　本文设计并实现了一套基于Ovirt-Kvm桌面云管理平台安全子系统，主要包括云平台监控模块和云平台审计模块。分别实现了对云平台虚拟机文件系统和内存进程的安全监控，以及对云平台服务可用性、身份权限认证、业务流程安全等相关信息的安全审计。本文以Ovirt桌面云平台为代表设计了安全子系统，其可以实现与Ovirt云平台的深度结合，有效地监控了虚拟机系统内外安全，通过审计可以有效掌握云平台整体的安全态势，保证云平台服务的可用性和安全性。本文主要工作如下：
　　1、研究虚拟机内省技术(基于Libvmi开源内省库)，通过内省技术对虚拟机底层信息（进程页表、内存映射等）进行重构，获取虚拟机高层信息（进程信息，内核数据），从而实时监控虚拟机的进程行为和状态，完成对虚拟机内存的安全监控。并且，本文对Libvmi内省库进行了改进，完成了对换出页内存的挖掘，从而避免进程检测的遗漏。
　　2、研究系统文件格式和磁盘镜像解析相关技术，实现对raw、qcow2等磁盘镜像格式的解析和对NTFS、EXT等文件系统的挂载。在hypervisor层引入开源病毒扫描引擎，实现对挂载的文件系统进行安全扫描和病毒查杀，完成对虚拟机文件系统的安全监控。
　　3、研究云平台安全审计技术。设计数据采集与信息分析模型，实现对云平台安全总体态势的及时掌控和统一处理。分别设计了审计信息收集模块和审计信息分析模块，引入实时审计和事后审计两种模式，满足了云平台安全审计的不同要求。本文引入的关联分析算法Apriori并对之进行了改进，使安全审计模块的审计规则库可以得到不断完善，从而保证了安全子系统审计的灵活性和准确性。
　　本文最后对桌面云管理平台安全子系统的各个模块进行功能验证。经实验证明，本文设计的基于Ovirt-Kvm桌面云管理平台安全子系统对于云平台安全具有较好的适用性和可靠性，基本满足设计需求。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 研究背景与意义

1.2 研究现状

1.3 本文的主要贡献与创新

1.4 本文的研究内容和组织结构

第二章 云计算与Ovirt云平台简介

2.1 云计算简介

2.2 Ovirt系统简介

2.3 本章小结

第三章 云计算安全问题分析

3.1 云安全问题分类

3.2 云平台监控技术研究

3.3 云平台审计技术研究

3.4 本章小结

第四章 Ovirt云平台安全子系统模型设计与实现

4.1 需求概述

4.2 设计目标

4.3 总体框架设计

4.4 安全子系统监控模块设计与实现

4.5 安全子系统审计模块设计与实现

4.6 本章小结

第五章 系统测试

5.1 Ovirt云平台和安全子系统平台的搭建

5.2 安全子系统分模块测试

5.3 本章小结

第六章 总结与展望

6.1 总结

6.2 展望

致谢

参考文献

攻读硕士学位期间取得的成果