一种支持用户自定制的第三方云安全监控系统及方法

摘要

本发明涉及一种支持用户自定制的第三方云安全监控系统及方法，包括监控接口、第三方云平台监控资源库、第三方监控服务器端、云平台监控代理单元，监控接口可接收来自用户提交的拟监控信息，并将监控信息交给第三方云平台监控资源库；第三方云平台监控资源库可接收来自监控接口的监控信息，进行信息匹配，将云平台信息匹配结果交给第三方监控服务器端；第三方监控服务器端，包括XML监控文件配模块置、服务器监控代理模块、数据处理模块、界面显示模块；云平台监控代理单元，可将收集的监控信息预处理后，交由第三方监控服务器端的服务器监控代理模块。

说明书

技术领域

本发明涉及一种支持用户自定制的第三方云安全监控系统及方法。

背景技术

目前，云平台以其强大的通讯、存储以及计算能力，成为各国军事界、商业 界和学术界的关注热点。然而，随着云计算技术的发展与普及，云计算在为用户 提供方便服务的同时，随之产生的安全隐患也逐渐成为云计算研究中的重要挑战。 近几年，云服务提供商(Cloud Service Provider,CSP)频繁曝出各种安全问题。 从云提供商的角度来说，云计算的服务模式从底层的IaaS模式到顶层的SaaS模 式会向用户提供不同的服务和接口，用户也会接触到不同的资源，这就决定了在 不同服务层会有不同的安全问题。IaaS会提供给用户设施的使用权，使用户可以 自由地部署自己的操作系统镜像，所以IaaS模式面临的安全问题是最多的，而 且这些问题也主要与云平台本身相关。PaaS层的特点是提供给用户丰富的API， 让用户可以通过这些API在云平台上开发、部署自己的应用，所以PaaS层面临 的最突出的安全问题是API安全问题。SaaS的特性决定了云服务提供商对整个 服务的安全性负主要责任，因为用户只是使用服务提供商提供的应用程序，除了 避免误操作，用户只能使用服务提供商提供的安全措施。IaaS、PaaS、SaaS各层 的安全问题总结见下表。

综上，在云计算的安全威胁中，一类是云计算中心自身的安全，另一类是云 计算中的服务信任问题。若上述问题得不到很好的解决，用户将可能因为云计算 安全问题而拒绝使用云服务。据IDCI的调查显示，74％的IT执行官和CIO将安 全威胁作为阻止他们采纳云服务的首要因素。服务是云计算的核心，而服务的前 提是云用户和云提供商建立起信任关系。在用户缺乏云安全监控的专业技能与手 段，而云提供商提供的安全评估信息缺乏公信力的情况下，解决两者信任问题的 有效途径是建立云计算安全评估的第三方云安全监控机构。

目前在云安全监控方面，专利“基于PAAS云的电信综合业务平台系统和其 使用方法”(CN201110220894，)，采用PAAS支撑电信业务的运行环境，解决相 关技术中电信综合业务融合比较复杂，开发成本比较高的问题，主要面向电信业 务，与本发明的方法和面向的对象均不同。专利“REAL-TIME COMPRESSIVE  DATA COLLECTION FOR CLOUD MONITORING”(US20140047106Al)，主要 在云环境中实现了压缩感知(compressive-sensing-based)为基础的数据采集系统， 用来收集底层的物理机和虚拟机基本信息，但是没有支持第三方定制的接口，与 本发明不同。专利“NOMALY DETECTION FOR CLOUD MONITORING” (US20140040174Al)提出在云环境中使用稀疏变换，根据异常预定阈值进行异 常检测，同样缺少支持第三方定制的接口，与本发明不同。现有技术中，没有公 开的文献提出针对第三方的云安全监控的架构和方法，同时，目前云安全监控都 不能支持用户的自定制，难以满足用户的个性化需求。

发明内容

本发明目的在于提供一种支持用户自定制的第三方云安全监控系统及方法， 能够对云平台实现有效监控，同时支持用户的自定制。

基于同一发明构思，本发明具有两个独立的技术方案：

1、一种支持用户自定制的第三方云安全监控系统，其特征在于:包括监控 接口、第三方云平台监控资源库、第三方监控服务器端、云平台监控代理单元，

监控接口，可接收来自用户提交的拟监控信息，并将监控信息交给第三方云 平台监控资源库，进行平台匹配；

第三方云平台监控资源库，可接收来自监控接口的监控信息，进行信息匹配， 将云平台信息匹配结果交给第三方监控服务器端；

第三方监控服务器端，包括XML监控文件配模块置、服务器监控代理模块、 数据处理模块、界面显示模块，XML监控文件配置模块可根据来自第三方云平台 监控资源库的平台信息匹配结果，生成XML格式的监控配置文件，交给服务器监 控代理模块；服务器监控代理模块可将XML格式的监控文件发送给云平台监控代 理单元；数据处理模块对云平台监控代理单元交给服务器监控模块的数据进行处 理，将处理得到的云平台的安全结果信息交给界面显示模块；

云平台监控代理单元，可接收来自第三方监控服务器端的服务器监控代理模 块发送的监控配置文件，当接收到监控配置文件后启动代理，进而配置监控信息； 云平台监控代理单元可将收集的监控信息预处理后，交由第三方监控服务器端的 服务器监控代理模块。

监控接口可确定用户需要监控的云平台是属于IaaS云平台还是SaaS云平台。

第三方云平台监控资源库包括IaaS云平台监控资源库、SaaS云平台监控资 源库，可维护监控IaaS云平台运行的状态信息、SaaS云平台系统漏洞、软件运 行行为、组件有效性。

第三方云平台监控资源库可维护监控IaaS云平台运行的状态信息包括CPU 利用率、内存利用率、磁盘利用率、网络流量、进程状态、进程数量、TCP连接 数、Filesystem可用性、服务监控。

第三方云平台监控资源库可检查监控信息是否合法。

云平台监控代理单元部署在网络的边界，可以部署的平台包括IaaS云平台 和SaaS云平台。

2、一种利用上述支持用户自定制的第三方云安全监控系统的监控方法，其 特征在于：包括以下步骤，

步骤1：用户根据自己的云安全需求，通过监控接口提交拟监控信息；

步骤2：第三方云平台监控资源库通过监控接口接收用户的监控信息，进行 信息匹配，

步骤3：XML监控文件配置模块根据来自第三方云平台监控资源库的平台信 息匹配结果，生成XML格式的监控配置文件，交给第三方监控服务器端的服务器 监控代理模块；

步骤4：第三方监控服务器端的服务器监控代理模块接收XML格式的监控配 置文件，启动服务器端监控代理，并将监控文件发送给云平台监控代理单元；

步骤5：云平台监控代理单元根据接收到的监控配置文件配置监控信息，并 启动监控代理，实施监控，最终将监控数据结果发送给第三方监控服务器端的服 务器监控代理模块；

步骤6：第三方监控服务器端的服务器监控代理模块将接收的监控信息发送 给数据处理模块，数据处理模块对监控信息进行处理，将处理结果发送给界面显 示模块。

步骤2中，第三方云平台监控资源库判断用户需要监控的是否是IaaS云平 台，如果是，执行步骤3；否则，判断用户需要监控的云平台是否是SaaS云平 台，如果是，执行步骤3，否则结束监控。

步骤2中，第三方云平台监控资源库可检查监控信息是否合法。

本发明具有的有益效果：

本发明云安全监控系统包括监控接口、第三方云平台监控资源库、第三方监 控服务器端、云平台监控代理单元，能够对云平台实现有效监控，同时支持用户 的自定制，充分满足用户的个性化需求。本发明向用户提供云安全监控接口，用 户可以根据自己对云平台(IaaS、PaaS)安全的需求定制自己的监控内容，由第 三方来实施具体的监控，充分满足用户个性化定制的需求。本发明提供第三方云 平台监控资源库，通过云平台信息的匹配，既可以实现对IaaS平台监控，也可 以实现PaaS云平台的监控，具有更好的普适性。

附图说明

图1为本发明支持用户自定制的第三方云安全监控系统结构框图；

图2为本发明监控方法的流程图。

具体实施方式

如图1所示，本发明支持用户自定制的第三方云安全监控系统包括监控接口、 第三方云平台监控资源库、第三方监控服务器端、云平台监控代理单元。

监控接口：可接收来自用户提交的拟监控信息，并将监控信息交给第三方云 平台监控资源库，进行平台匹配；确定用户需要监控的云平台是属于IaaS云平 台还是SaaS云平台。

第三方云平台监控资源库：可接收来自监控接口的监控信息，进行信息匹配， 将云平台信息匹配结果交给第三方监控服务器端；第三方云平台监控资源库包括 IaaS云平台监控资源库、SaaS云平台监控资源库，可维护监控IaaS云平台运行 的状态信息、SaaS云平台系统漏洞、软件运行行为、组件有效性。第三方云平 台监控资源库可维护监控IaaS云平台运行的状态信息包括CPU利用率、内存利 用率、磁盘利用率、网络流量、进程状态、进程数量、TCP连接数、Filesystem 可用性、服务监控。第三方云平台监控资源库可检查监控信息是否合法。

第三方监控服务器端：包括XML监控文件配模块置、服务器监控代理模块、 数据处理模块、界面显示模块，XML监控文件配置模块可根据来自第三方云平台 监控资源库的平台信息匹配结果，生成XML格式的监控配置文件，交给服务器监 控代理模块；服务器监控代理模块可将XML格式的监控文件发送给云平台监控代 理单元；数据处理模块对云平台监控代理单元交给服务器监控模块的数据进行处 理，将处理得到的云平台的安全结果信息交给界面显示模块；界面显示模块将监 控得到的处理结果以可视化的方式呈现给用户。

云平台监控代理单元：部署在网络的边界，可接收来自第三方监控服务器端 的服务器监控代理模块发送的监控配置文件，当接收到监控配置文件后启动代理， 进而配置监控信息；云平台监控代理单元可将收集的监控信息预处理后，交由第 三方监控服务器端的服务器监控代理模块。云平台监控代理单元可以部署的平台 包括IaaS云平台和SaaS云平台。

如图2所示，本发明监控方法包括以下步骤：

步骤1：用户根据自己的云安全需求，通过监控接口提交拟监控信息；

步骤2：第三方云平台监控资源库通过监控接口接收用户的监控信息，进行 信息匹配，并检查监控信息是否合法；判断用户需要监控的是否是IaaS云平台， 如果是，执行步骤3；否则，判断用户需要监控的云平台是否是SaaS云平台， 如果是，执行步骤3，否则结束监控。

步骤3：XML监控文件配置模块根据来自第三方云平台监控资源库的平台信 息匹配结果，生成XML格式的监控配置文件，交给第三方监控服务器端的服务器 监控代理模块；

步骤4：第三方监控服务器端的服务器监控代理模块接收XML格式的监控配 置文件，启动服务器端监控代理，并将监控文件发送给云平台监控代理单元；

步骤5：云平台监控代理单元根据接收到的监控配置文件配置监控信息，并 启动监控代理，实施监控，最终将监控数据结果发送给第三方监控服务器端的服 务器监控代理模块；

步骤6：第三方监控服务器端的服务器监控代理模块将接收的监控信息发送 给数据处理模块，数据处理模块对监控信息进行处理，将处理结果发送给界面显 示模块，界面显示模块将分析得到的云安全状态以及安全事件呈献给用户。