一种基于虚拟机迁移识别的持续审计系统

摘要

本发明公开了一种基于虚拟机迁移识别的持续审计系统，包括虚拟化平台、虚拟化服务器平台兼容模块、探针部署模块、审计控制中心、特征库、审计处理模块；其中，虚拟化平台搭建基础平台；虚拟化服务器平台兼容模块为虚拟化平台进行兼容处理；探针部署模块生成探针部署建议，提供采集策略、分流策略；审计控制中心对虚拟机迁移过程进行迁移处理；特征库存储虚拟机迁移信息；审计处理模块对虚拟机迁移事件进行审计，并生成审计报表。本发明具有在不影响服务应用的情况下监控虚拟机动态迁移过程、识别迁移过程中的隐患、对迁移过程进行审计等优点，可广泛应用于云环境中。

说明书

技术领域

本发明涉及监测审计技术，特别涉及一种基于虚拟机迁移识别的持续审计 系统。

背景技术

服务器虚拟化技术是采用软件在每台服务器上虚拟出若干虚拟服务器，不 同的虚拟化产品提供商提供的虚拟化服务不同、虚拟网络架构也不同。虚拟机 动态迁移技术是服务应用不中断的情况下，源虚拟服务器将其自身的虚拟机迁 移至两个以上的其他虚拟服务器上，实现不同服务器对虚拟机的无缝接管。这 里的虚拟机包括虚拟机操作系统、内存数据与虚拟机状态。

在信息技术领域，云计算技术是：将计算任务分布在不同网络的大量计算 机构成的资源池上，装设于各计算机上的各种应用系统可根据需要从其自身所 在网络的其他计算机或者分布在其他网络中的计算机获取计算力、存储空间或 信息服务。在云计算技术中，服务器虚拟化与虚拟机动态迁移技术是关键。因 此，在云计算技术为人类的生产、生活带来极大便利的同时，同时也为虚拟机 动态迁移技术中的信息传递带来了安全隐患，比如，虚拟机迁移时的信息不匹 配、迁移被阻断与篡改、迁移后原虚拟机数据残留、在虚拟机迁移过程中出现 的停机等问题。

申请号为201110009315.9、名称为“一种基于Xen的虚拟机热迁移进度监 控方法及装置”的中国发明专利采用设置代理的方式对虚拟机热迁移进行监控， 但其无法获取虚拟机迁移进度。

现有技术中，尚没有在不影响服务应用的情况下监控虚拟机动态迁移过程、 识别迁移过程中的隐患、对迁移过程进行持续审计的技术。

发明内容

有鉴于此，本发明的主要目的在于提供一种在不影响服务应用的情况下监 控虚拟机动态迁移过程、识别迁移过程中的隐患、对迁移过程进行审计的基于 虚拟机迁移识别的持续审计系统。

为了达到上述目的，本发明提出的技术方案为：

一种基于虚拟机迁移识别的持续审计系统，包括虚拟化平台、虚拟化服务 器平台兼容模块、探针部署模块、审计控制中心、特征库、审计处理模块；其 中，虚拟化平台为由两个以上的分布在各种网络中的虚拟化服务器平台组成的 云环境；探针部署模块包括布置在所述基于虚拟机迁移识别的持续审计系统中 各虚拟化服务器平台以采集各虚拟机通讯数据的探针；

虚拟化平台，用于在虚拟化服务器平台兼容模块的控制下，使得所述虚拟 化平台包括的各虚拟化服务器平台具有兼容性；向虚拟化服务器平台兼容模块 提供特征信息、各虚拟化服务器平台的架构与术语定义。

虚拟化服务器平台兼容模块，用于向虚拟化平台发送兼容控制信号，并对 虚拟化平台中所包括的各虚拟化服务器平台进行兼容处理；根据虚拟化平台发 送的各虚拟化服务器平台的架构生成探针部署建议，并将探针部署建议发送至 探针部署模块；根据虚拟化平台发送的各虚拟化服务器平台的架构与术语定义 生成报表模板，并将报表模板发送至审计处理模块；从各虚拟化服务器平台 发送的特征信息中识别虚拟机迁移信息，并将得到的虚拟机迁移信息发送至特 征库。

探针部署模块，用于根据虚拟化服务器平台兼容模块发送的探针部署建议、 所要获取的云环境下的监测信息，在审计控制中心发送的探针管理信息控制下， 生成探针部署信息，并在虚拟化平台上部署探针；将探针部署信息发送至审计 控制中心；还用于采集各虚拟机通讯数据，并将各虚拟机通讯数据发送至审计 控制中心。

审计控制中心，用于根据探针部署模块发送的探针部署信息、从特征库读 取的虚拟机迁移信息，确认各探针采集的各虚拟机通讯数据携带信息是否为虚 拟机迁移信息：当各虚拟机通讯数据携带信息不是虚拟机迁移信息时，将各虚 拟机通讯数据携带信息发送至审计处理模块；当各虚拟机通讯数据携带信息是 虚拟机迁移信息时，对各虚拟机通讯数据携带信息进行解析，获取并记录虚拟 机迁移事件，并就将该虚拟机迁移事件发送至审计处理模块。

特征库，用于预先存储虚拟化服务器平台兼容模块发送的虚拟机迁移信息。

审计处理模块，用于对审计控制中心发送的虚拟机迁移事件进行审计，并 根据虚拟化服务器平台兼容模块发送的报表模板生成各虚拟化服务器平台的对 应审计报表。

综上所述，本发明为一个独立的第三方的安全审计系统，首先在对虚拟化 平台进行审计前，对云环境进行实验，得到系统兼容的各种虚拟化平台的虚拟 机迁移特征库；当被审计虚拟化平台添加到审计系统后，会根据虚拟化平台的 实际情况更新虚拟机迁移特征库，对虚拟化平台迁移条件可能发生迁移的 资源生成动态迁移路径图；根据特征库和网络探针采集的数据包，监听网络上 的所有数据信息，从中分离所有虚拟机迁移相关的数据，通过审计控制中心模 块实时对网络上的数据信息进行处理，可以清楚地跟踪虚拟机的迁移，还原并 记录迁移相关的安全事件，并将实时处理的迁移审计结果进行审计。所以，本 发明所述一种基于虚拟机迁移识别的持续审计系统具有监控虚拟机动态迁移过 程，识别迁移过程中的隐患、不影响服务应用的特点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述 中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所述基于虚拟机迁移识别的持续审计系统的组成结构示意图；

图2为本发明所述虚拟化服务器平台兼容模块的组成结构示意图；

图3为本发明所述审计控制中心的组成结构示意图；

图4为本发明所述审计处理模块的组成结构示意图。

具体实施方式

图1为本发明所述基于虚拟机迁移识别的持续审计系统的组成结构示意图。 如图1所示，本发明所述基于虚拟机迁移识别的持续审计系统包括虚拟化平台1、 虚拟化服务器平台兼容模块2、探针部署模块3、审计控制中心4、特征库5、 审计处理模块6；其中，虚拟化平台1为由两个以上的分布在各种网络中的虚拟 化服务器平台12~1n组成的云环境；探针部署模块3包括布置在基于虚拟 机迁移识别的持续审计系统中各虚拟化服务器平台以采集各虚拟机通讯数据的 探针；

虚拟化平台1，用于在虚拟化服务器平台兼容模块2的控制下，使得虚拟化 平台1包括的各虚拟化服务器平台具有兼容性；向虚拟化服务器平台兼容模块2 提供特征信息、各虚拟化服务器平台的架构与术语定义。

虚拟化服务器平台兼容模块2，用于向虚拟化平台1发送兼容控制信号，并 对虚拟化平台1中所包括的各虚拟化服务器平台进行兼容处理；根据虚拟化平 台1发送的各虚拟化服务器平台的架构生成探针部署建议，并将探针部署建议 发送至探针部署模块3；根据虚拟化平台1发送的各虚拟化服务器平台的架构与 术语定义生成报表模板，并将报表模板发送至审计处理模块6；从各虚拟化服务 器平台发送的特征信息中识别虚拟机迁移信息，并将得到的虚拟机迁移信息发 送至特征库5。

探针部署模块3，用于根据虚拟化服务器平台兼容模块2发送的探针部署建 议、所要获取的云环境下的监测信息，在审计控制中心4发送的探针管理信息 控制下，生成探针部署信息，并在虚拟化平台1上部署探针；将探针部署信息 发送至审计控制中心4；还用于采集各虚拟机通讯数据，并将各虚拟机通讯数据 发送至审计控制中心4。

审计控制中心4，用于根据探针部署模块3发送的探针部署信息、从特征库 5读取的虚拟机迁移信息，确认各探针采集的各虚拟机通讯数据携带信息是否为 虚拟机迁移信息：当各虚拟机通讯数据携带信息不是虚拟机迁移信息时，将各 虚拟机通讯数据携带信息发送至审计处理模块6；当各虚拟机通讯数据携带 信息是虚拟机迁移信息时，对各虚拟机通讯数据携带信息进行解析，获取并记 录虚拟机迁移事件，并就将该虚拟机迁移事件发送至审计处理模块6。

特征库5，用于预先存储虚拟化服务器平台兼容模块2发送的虚拟机迁移信 息。

审计处理模块6，用于对审计控制中心4发送的虚拟机迁移事件进行审计， 并根据虚拟化服务器平台兼容模块2发送的报表模板生成各虚拟化服务器平台 的对应审计报表。

本发明系统中，云环境包括各种类型的云环境；各类型云环境均为现有技 术，此处不再赘述。相应地，针对不同类型的云环境，虚拟化服务器平台兼容 模块2进行不同的兼容处理。

本发明系统中，虚拟机迁移信息包括迁移特征、动态迁移路径映射图、资 源属性；迁移特征包括虚拟机迁移时网络传送的迁移请求、迁移数据、迁移后 响应以及迁移数据格式；动态迁移路径映射图为由虚拟机迁移前所属源主机、 虚拟机迁移后所属目标主机、虚拟机从源主机迁移至目标主机所经历路径构成 的拓扑图；资源属性包括源主机名称、源主机CPU、源主机网卡、目标主机名 称、目标主机CPU、目标主机网卡、虚拟机迁移发生时间、虚拟机迁移发生原 因、虚拟机迁移状态。

总之，本发明所述基于虚拟机迁移识别的持续审计系统为一个独立的第三 方的安全审计系统，首先在对虚拟化平台进行审计前，对云环境进行实验，得 到系统兼容的各种虚拟化平台的虚拟机迁移特征子库；当被审计虚拟化平台添 加到审计系统后，会根据虚拟化平台的实际情况更新虚拟机迁移特征子库， 对虚拟化平台迁移条件可能发生迁移的资源生成动态迁移路径图子库；根据特 征库和网络探针采集的数据包，监听网络上的所有数据信息，从中分离所有虚 拟机迁移相关的数据信息，通过审计控制中心模块实时对网络上的数据信息进 行处理，可以清楚地跟踪虚拟机的迁移，还原并记录迁移相关的安全事件，并 将实时处理的迁移审计结果进行审计。所以，本发明所述一种基于虚拟机迁移 识别的持续审计系统具有监控虚拟机动态迁移过程，识别迁移过程中的隐患、 并不影响服务应用的特点。

图2为本发明所述虚拟化服务器平台兼容模块的组成结构示意图。如图2 所示，虚拟化服务器平台兼容模块2包括第一判断单元21、第二判断单元22、 探针部署建议生成单元23、审计模板生成单元24；其中，

第一判断单元21，用于判定虚拟化平台1中的当前被审计的虚拟化服务器 平台是否与虚拟化平台1兼容：如果不兼容，则向虚拟化平台1发送兼容控制 信号，对当前被审计的虚拟化服务器平台进行兼容处理，将兼容确认信息发送 至探针部署建议生成单元23。

第二判断单元22，用于判断当前被审计的虚拟化服务器平台发送的特征信 息是否为虚拟机迁移信息：如果是，则将当前被审计的虚拟化服务器平台发送 的特征信息发送至特征库5。

探针部署建议生成单元23，用于根据第一判断单元发送的兼容确认信息生 成探针部署信息，并将探针部署信息发送至探针部署模块3。

审计模板生成单元24，用于根据当前被审计的虚拟化服务器平台的架构与 术语定义生成对应的报表模板，并将该报表模板发送至审计处理模块6。

实际应用中，探针部署信息包括探针格式、探针部署位置、探针数目、探 针控制指令。探针格式是指针对不同的虚拟化平台，采集数据所用探针的运行 方式；探针部署位置应根据虚拟化服务器平台兼容模块识别出的虚拟化平台下 的虚拟化信息；探针数目由虚拟化平台的特征和冗余、可靠性等要求确定。

实际应用中，特征库5包括迁移特征子库、动态迁移路径映射图子库、资 源属性子库；其中，

迁移特征子库，用于存储各虚拟机迁移时的迁移特征。

动态迁移路径映射图子库，用于各虚拟机迁移时可能的动态迁移路径映射 图。

资源属性子库，用于各虚拟机迁移时的资源属性。

图3为本发明审计控制中心的组成结构示意图。如图3所示，审计控制中 心4包括管理单元41、监控单元42；其中，

管理单元41，用于对探针进行包括启停、采集数据筛选的探针管理，对包 括采集策略、筛选策略进行包括增加、删除、修改、查询的策略管理，对审计 控制中心4、探针部署模块3中的探针运行状态进行监控，对基于虚拟机迁移识 别的持续审计系统进行配置管理。

监控单元42，用于对探针部署模块3发送的各虚拟机通讯数据的数据格式、 从特征库5读取的虚拟机迁移信息的数据格式进行比较：当各虚拟机通讯数据 的数据格式与虚拟机迁移信息的数据格式不同时，将各虚拟机通讯数据发送至 审计处理模块6；当各虚拟机通讯数据的数据格式与虚拟机迁移信息的数据格式 相同时，对虚拟机通讯数据进行解析获取虚拟机迁移信息，并识别虚拟机在动 态迁移路径映射图中的位置：如果识别不成功则将识别不成功信息发送至审计 处理模块6，如果识别成功则确定各虚拟机通讯数据中的虚拟机迁移状态是否为 完成：如果不是，则结合虚拟机迁移信息生成并记录一次不完整迁移事件，并 将该不完整迁移事件中的虚拟机通讯数据发送至审计处理模块6；如果是，则结 合虚拟机迁移信息生成并记录一次完整迁移事件，并将该完整迁移事件发送至 审计处理模块6。

图4为本发明所述审计处理模块的组成结构示意图；如图4所示，审计处 理模块6包括审计处理单元61、网络审计单元62、运维审计单元63、数据库审 计单元64、动态资源审计单元65、审计报表生成单元66；其中，

审计处理单元61，用于根据监控单元42发送的各虚拟机通讯数据、虚拟机 在动态迁移路径映射图中的位置识别不成功信息、不完整迁移事件中的虚拟机 通讯数据，整合完整的虚拟机迁移事件记录，得到整合虚拟机迁移事件；同时， 从监控单元42发送的各虚拟机通讯数据、虚拟机在动态迁移路径映射图中的位 置识别不成功信息、不完整迁移事件中的虚拟机通讯数据、整合虚拟机迁移事 件、完整迁移事件中，抽取网络信息、运维信息、数据库调用信息、虚拟机迁 移引发的云环境资源变化信息后，并将网络信息、运维信息、数据库调用信息、 虚拟机迁移引发的云环境资源变化信息分别发送至网络审计单元62、运维审计 单元63、数据库审计单元64、动态资源审计单元65。

网络审计单元62，用于对审计处理单元61发送的网络信息进行审计，并将 得到的网络审计结果发送至审计报表生成单元66。

这里，网络审计单元62的审计方式为现有技术，此处不再赘述。

运维审计单元63，用于对审计处理单元61发送的运维信息进行审计，并将 得到的运维审计结果发送至审计报表生成单元66。

这里，运维审计单元63的审计方式为现有技术，此处不再赘述。

数据库审计单元64，用于对审计处理单元61发送的数据库调用信息进行审 计，并将得到的数据库审计结果发送至审计报表生成单元66。

这里，数据库审计单元64的审计方式为现有技术，此处不再赘述。

动态资源审计单元65，用于对审计处理单元61发送的云环境资源变化信息 进行审计，并将得到的动态资源审计结果发送至审计报表生成单元66。

审计报表生成单元66，用于根据并根据虚拟化服务器平台兼容模块2发送 的报表模板，以及网络审计单元62发送的网络审计结果、运维审计单元63发 送的运维审计结果、数据库审计单元64发送的数据库审计结果、动态资源审计 单元65发送的动态资源审计结果，生成综合审计报表。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于 此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到 变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应 所述以权利要求的保护范围为准。