專利名稱:一種性能優化的虛擬化資源的監控方法和系統的制作方法
技術領域:
本發明涉及虛擬化技術和信息安全技術領域,特別是一種性能優化的虛擬化資源的監控方法和系統。
背景技術:
虛擬化技術是一種在IT界廣泛使用的技術,由于云計算技術的大規模使用,虛擬化技術,特別是服務器虛擬化技術正在快速發展并迅速改變著IT的面貌,并從根本上改變著人們的計算方式。通過將物理資源虛擬化,可以將服務器資源分配給多個虛擬機,虛擬化支持不同的應用,甚至不同的操作系統在同一臺服務器上運行。通過和云計算技術結合,可以提供靈活的配置手段、快速的部署模式并能夠節約計算資源。然而,在帶來巨大的優點的同時,虛擬化技術也帶來了不同于傳統安全模式的很大的安全風險。物理資源的虛擬化后,一臺物理服務器上可能運行著多臺虛擬機。實際的計算資源(CPU、內存、磁盤、網絡等)通過虛擬化形成虛擬化資源而被不同的虛擬機所共用。因此實際使用過程中,不同的虛擬機實際上在共用同一個物理服務器資源,只是對它們而言,以為是在獨享系統資源,整個資源共享使用過程由虛擬化模塊(如Xen等虛擬機監視器)來調度。一旦攻擊者利用其漏洞侵入系統,虛擬化模塊就能影響其上運行的所有虛擬機,進而威脅運行在虛擬機上的所有應用和用戶數據,因此針對虛擬機的安全防護至關重要。虛擬化技術帶來了新的安全威脅主要有:虛擬化資源的隔離問題:在多租戶環境下,同一云平臺內可能運行著不同租戶的不同業務系統,租戶的資源面臨著被其它租戶非法訪問的威脅,同時某一租戶的惡意或誤操作等安全事故有可能會擴大影響到同一云平臺的其它租戶業務系統,對其它租戶造成安全威脅;虛擬機管理層(VMM)安全問題:由于虛擬機管理層運行于比虛擬機更高的級別,因此對虛擬機管理層的攻擊,就威脅到了運行于同一物理服務器之上的所有虛擬機;虛擬機逃逸問題:如果在虛擬機里運行的惡意程序繞過虛擬機本身的安全機制,獲得了虛擬機管理層或物理服務器的某些權限,就對同一物理服務器之上的所有虛擬機產生了威脅;虛擬網絡安全風險:云計算環境下,由于虛擬網絡資源的廣泛應用,傳統的網絡邊界變得模糊。傳統的安全設備,如防火墻、IDS、IPS等,只能部署于物理邊界,無法對同一物理計算機上虛擬機之間的通信進行細粒度訪問控制,如果攻擊行為發自云平臺內某一虛擬機,就能繞過所有的網絡邊界防護措施,從內部對其它虛擬機進行攻擊,嚴重時可能威脅到整個虛擬網絡甚至云計算平臺的安全運行。已有的虛擬化技術自身的隔離機制只能解決基本的應用程序運行環境隔離,并不能防止程序訪問越界或非法訪問。而這種實際的物理資源的共享往往會造成數據更容易被非法訪問,比如不同虛擬機的程序在公用同一塊緩存時,一旦其中一個虛擬機的程序被惡意代碼利用,就很容易造成另一個虛擬機的數據被非法訪問或泄露。目前現有的解決思路是通過在虛擬機監視器層部署安全應用來監控上層客戶虛擬機的安全行為,對其系統調用進行攔截,同時在系統內部署安全虛擬機,將攔截的系統調用進行安全分析并根據安全策略進行實時響應,決定將此系統調用放行或攔截。這種解決方案可以解決大部分的虛擬機安全問題,但是其主要的缺點就是安全虛擬機和客戶虛擬機會同時請求使用系統資源,二者對虛擬化資源的請求使用成正比關系。如果客戶虛擬機業務繁忙,需要進行大量系統調用,安全虛擬機就要同時進行大量的實時安全處理任務,這樣就造成了安全虛擬機和客戶虛擬機爭奪系統資源的狀況,成倍的加劇整體資源緊張,造成物理服務器整體性能急劇下降,從而帶來不好的客戶體驗。為了釋放系統資源,只能強行減少或關閉安全虛擬機部分安全功能,故帶來安全性的損失。
發明內容
本發明針對現有監控客戶虛擬機安全的技術存在安全虛擬機和客戶虛擬機爭奪資源造成系統性能下降進而使得客戶體驗差以及產生安全性損失的問題,提供一種性能優化的虛擬化資源的監控方法,可以有效的監控系統整體運行及安全狀態,并能夠達到良好的用戶體驗。本發明還涉及一種性能優化的虛擬化資源的監控系統。本發明的技術方案如下:一種性能優化的虛擬化資源的監控方法,其特征在于,先在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,并根據監控到的物理服務器和客戶虛擬機的運行性能,在安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理,在數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。在虛擬機監視器層對客戶虛擬機的系統調用事件進行監控得到事件數據,對物理服務器和客戶虛擬機的運行性能進行監控得到性能監控數據,所述性能監控數據提供對系統調用事件進行數據處理的一種安全策略。在監控得到事件數據后,先對所述事件數據進行語義轉換處理,將所述事件數據從低級語義轉換為高級語義,在語義轉換處理后再對事件數據進行數據處理。對監控的系統調用事件進行數據處理包括調度處理、實時數據處理以及日志和報警處理,所述調度處理是對事件數據進行優先級判斷和調度,對低優先級的事件數據進行日志和報警處理,對高優先級的事件數據進行實時數據處理。所述高優先級的事件數據通過安全監測模塊進行分析并根據安全策略進行實時數據處理,并在實時數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作;和/或,所述日志和報警處理是對低優先級的事件數據先進行日志記錄,再通過安全監測模塊進行事后審查,并根據安全策略進行報警處理。一種性能優化的虛擬化資源的監控系統,其特征在于,包括相互連接的安全事件監控和響應模塊以及數據處理模塊,所述安全事件監控和響應模塊設置在虛擬機監視器層,用于對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,并將監控信息發送至數據處理模塊;所述數據處理模塊設置于安全虛擬機,用于根據監控到的物理服務器和客戶虛擬機的運行性能,按照優先級和安全策略對所述系統調用事件進行數據處理,并在數據處理后向安全事件監控和響應模塊發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。所述安全事件監控和響應模塊包括安全事件監控模塊、安全事件響應模塊和性能監控模塊,所述安全事件監控模塊對客戶虛擬機的系統調用事件進行監控得到事件數據并將所述事件數據發送至數據處理模塊,所述性能監控模塊對物理服務器和客戶虛擬機的運行性能進行監控得到性能監控數據,所述性能監控數據提供給數據處理模塊進行數據處理的一種安全策略,所述安全事件響應模塊接收數據處理模塊發出的控制指令并做出響應。所述數據處理模塊包括依次連接的語義處理模塊、核心處理模塊和安全策略模塊,所述核心處理模塊分別與安全策略模塊、性能監控模塊和安全事件響應模塊相連;所述語義處理模塊與安全事件監控模塊相連,用于對所述事件數據進行語義轉換處理,將所述事件數據從低級語義轉換為高級語義,在語義轉換處理后輸入至核心處理模塊;所述核心處理模塊依據安全策略模塊中的安全策略以及性能監控模塊得到的性能監控數據對事件數據進行數據處理,并在數據處理后向安全事件響應模塊發出控制指令。所述核心處理模塊包括調度處理模塊、實時數據處理模塊以及日志和報警處理模塊,所述實時數據處理模塊以及日志和報警處理模塊分別與調度處理模塊相連,所述調度處理模塊分別與性能監控模塊和語義處理模塊相連,所述實時數據處理模塊以及日志和報警處理模塊均與安全策略模塊相連,所述實時數據處理模塊與安全事件響應模塊相連;所述調度處理模塊對事件數據進行優先級判斷和調度處理,所述實時數據處理模塊對高優先級的事件數據進行實時數據處理并在實時數據處理后向安全事件響應模塊發出控制指令,所述日志和報警處理模塊對低優先級的事件數據進行日志和報警處理。所述實時數據處理模塊以及日志和報警處理模塊均通過一個或多個安全監測模塊與安全策略模塊相連;所述實時數據處理模塊對高優先級的事件數據通過安全監測模塊進行分析并根據安全策略進行實時數據處理;和/或,所述日志和報警處理模塊對低優先級的事件數據先進行日志記錄,再通過安全監測模塊進行事后審查,并根據安全策略進行報警處理;和/或,所述安全監測模塊為入侵檢測模塊和/或入侵防御模塊和/或文件訪問控制模塊。本發明的技術效果如下:本發明涉及一種性能優化的虛擬化資源的監控方法,先在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,可以有效的監護物理服務器和客戶虛擬機的運行及安全狀態,同時根據監控到的物理服務器和客戶虛擬機的運行性能,通過安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理,并在數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。通過監控物理服務器和客戶虛擬機的運行性能得到物理服務器和客戶虛擬機的運行狀態,即得到系統是在繁忙或空閑狀態,進而對客戶虛擬機的系統調用事件即安全事件按照優先級和安全策略進行調度,并發出控制指令控制虛擬化資源(即硬件資源)的操作,比如可以在系統繁忙和空閑時對安全事件采取不同的數據處理方式,在系統繁忙時只對優先級比較高的安全事件優先進行實時數據處理,對優先權比較低的安全事件進行如先記錄再在系統空閑時事后審查處理等方式處理,能夠有效避免安全虛擬機和客戶虛擬機爭奪系統資源的情形,同時也可避免因為資源緊張而丟棄處理大量安全事件,造成系統安全性下降的情況。本發明所述性能優化的虛擬化資源的監控方法,使得整體的虛擬化資源達到合理分配調整,避免了物理服務器整體性能下降的問題,能夠達到良好的用戶體驗;而且無需減少或關閉安全虛擬機的安全功能,避免了安全性損失,提高了安全虛擬機的系統安全性能。本發明所述性能優化的虛擬化資源的監控方法,安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理,具體包括進行調度處理、實時數據處理以及日志和報警處理,通過調度處理對事件數據進行優先級判斷和調度,并結合了安全策略以及監測的物理服務器的運行性能和客戶虛擬機的運行性能,物理服務器和客戶虛擬機的運行性能也可以作為安全策略之一,在調度處理后,對低優先級的事件數據進行日志和報警處理,對高優先級的事件數據進行實時數據處理,并在實時數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。能夠更加明確地根據物理服務器和客戶虛擬機的運行狀態對安全事件進行調度數據處理,嚴格避免安全虛擬機和客戶虛擬機同時請求使用系統虛擬化資源造成在資源緊張的問題,增強了安全虛擬機的安全性能,進一步加強了客戶體驗。本發明所涉及的性能優化的虛擬化資源的監控系統,在虛擬機監視器層設置安全事件監控和響應模塊,對物理服務器的運行性能以及客戶虛擬機的運行性能和系統調用事件實施監控手段,能夠有效的監護物理服務器和客戶虛擬機運行及安全狀態,同時在安全虛擬機內設置數據處理模塊,根據安全事件監控和響應模塊監控到的物理服務器和客戶虛擬機的運行性能,對客戶虛擬機的系統調用事件(或者稱為安全事件)按照優先級和安全策略對進行數據處理,并在數據處理后向安全事件監控和響應模塊發出控制指令以控制系統調用事件針對調用虛擬化資源的操作,這樣可有效避免安全虛擬機和客戶虛擬機爭奪系統資源的情形,同時也不會漏掉安全事件,可以做到高級別安全事件實時監控優先處理,低級別安全事件事后處理的功能。
圖1是本發明性能優化的虛擬化資源的監控系統的結構示意圖。圖2是圖1中的安全事件監控和響應模塊的優選結構示意圖。圖3是圖1中的數據處理模塊的優選結構示意圖。圖4是本發明性能優化的虛擬化資源的監控系統的優選結構示意圖。圖5是圖4所示的本發明性能優化的虛擬化資源的監控系統的工作流程圖。圖6是本發明性能優化的虛擬化資源的監控方法的流程圖。圖7是本發明性能優化的虛擬化資源的監控方法的優選流程圖。
具體實施例方式下面結合附圖對本發明進行說明。本發明涉及一種性能優化的虛擬化資源的監控系統,其結構示意圖如圖1所示,邏輯上包括兩個部件,即包括相互連接的安全事件監控和響應模塊以及數據處理模塊。安全事件監控和響應模塊設置在虛擬機監視器層,用于對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,并將監控信息發送至數據處理模塊,該監控信息包括物理服務器和客戶虛擬機的運行性能的監控信息和客戶虛擬機的系統調用事件的監控信息。進一步講,各臺客戶虛擬機可能有相同或不同的操作系統,每臺客戶虛擬機會存在多個應用發生客戶虛擬機的硬件資源(CPU、內存、硬盤、網絡等)調用的情形,部署于虛擬機監視器層的安全事件監控和響應模塊提供對系統(由物理服務器與其客戶虛擬機構成)的性能監控功能,以及對客戶虛擬機的各類系統調用的攔截、監控和處理響應功能。安全事件監控和響應模塊負責收集監控物理服務器的運行性能和客戶虛擬機的運行性能,即監控系統整體運行性能,并可以將性能監控數據發送至數據處理模塊供其做調度處理的策略之一,如圖所示的性能監控數據流③。安全事件監控和響應模塊在監控到客戶虛擬機對虛擬化資源進行訪問的系統調用事件后將監控信息發送給數據處理模塊,并根據數據處理模塊的控制,對系統調用事件進行響應,如圖所示的事件數據流①。數據處理模塊設置于安全虛擬機,用于按照優先級和安全策略對所述系統調用事件進行數據處理,并在數據處理后向安全事件監控和響應模塊發出控制指令以控制系統調用事件針對調用虛擬化資源的操作,進一步講,部署于安全虛擬機上的數據處理模塊,提供對安全事件進行處理和安全控制的功能。在接收到安全事件監控和響應模塊的事件數據流后,數據處理模塊進行處理,根據安全策略和處理結果對安全事件監控和響應模塊發出控制指令,如圖所示的控制流②。對于圖1所示的性能優化的虛擬化資源的監控系統,其部署于虛擬機監視器層的安全事件監控和響應模塊的優選結構如圖2所示。安全事件監控和響應模塊包括安全事件監控模塊、安全事件響應模塊和性能監控模塊,其中,性能監控模塊對物理服務器和客戶虛擬機運行的整體性能進行監控得到性能監控數據,性能監控數據可以提供給數據處理模塊進行事件調度數據處理的一種安全策略,將性能監控數據發送至數據處理模塊,如圖所示的性能監控數據流③;安全事件監控模塊對客戶虛擬機的系統調用事件進行監控得到事件數據并將所述事件數據發送至位于安全虛擬機上的數據處理模塊,如圖所示的事件數據流①,再根據數據處理模塊發出控制流②的控制將此事件交由安全事件響應模塊處理或直接放行;安全事件響應模塊接收數據處理模塊發出的控制指令并做出響應,具體是安全事件響應模塊根據數據處理模塊發出控制流②的控制指令對接收的系統調用事件進行處理、拒絕或者放行此次系統調用針對虛擬化資源的訪問操作,其中,安全響應模塊根據控制指令對接收的系統調用事件進行處理可以是對系統調用事件實施模糊控制處理,比如當系統調用事件是文件訪問時,數據處理模塊發出的控制指令是處理時,安全響應模塊可以通過模糊處理來讀取文件內容等。對于圖1所示的性能優化的虛擬化資源的監控系統,其部署于安全虛擬機上的數據處理模塊的優選結構如圖3所示。數據處理模塊能夠對安全事件進行處理,該數據處理模塊采用了優先級調度方法,能夠減小因安全功能自身的資源占用而代來的性能損失。數據處理模塊包括語義處理模塊、核心處理模塊、安全策略模塊以及一個或多個安全監測模塊,核心處理模塊和語義處理模塊均與安全事件監控和響應模塊相連;核心處理模塊包括調度處理模塊、實時數據處理模塊以及日志和報警處理模塊,實時數據處理模塊以及日志和報警處理模塊分別與調度處理模塊相連,調度處理模塊與語義處理模塊相連,調度處理模塊和實時數據處理模塊均與安全事件監控和響應模塊相連;實時數據處理模塊以及日志和報警處理模塊均通過一個或多個安全監測模塊與安全策略模塊相連。在圖3中,語義處理模塊用于對安全事件監控和響應模塊監控到的事件數據進行語義轉換處理,將所述事件數據從低級語義轉換為高級語義,即通過識別安全事件的關聯方并涉及虛擬化資源屬性和訪問環境上下文等進行處理,在語義轉換處理后輸入至核心處理模塊中的調度處理模塊。核心處理模塊依據事先布置的安全策略模塊中的安全策略以及安全事件監控和響應模塊得到的性能監控數據對事件數據進行數據處理,并在數據處理后向安全事件監控和響應模塊發出控制指令。其中核心處理模塊中的調度處理模塊根據安全策略以及性能監控數據對事件數據進行優先級判斷和調度處理,性能監控模塊監控物理服務器的運行性能和客戶虛擬機的運行性能分別得到的性能監控數據可以共同作為核心處理模塊進行策略處理的依據,將低優先級的安全事件交由日志和報警處理模塊進行日志和報警處理,日志和報警處理模塊具體工作可以是對低優先級的事件數據先進行日志記錄,再待之后物理服務器系統空閑時通過各安全監測模塊進行事后審查,如圖所示的日志處理數據流⑤,并根據安全策略進行消息報警處理;將高優先級的安全事件交由實時數據處理模塊進行實時數據處理,實時數據處理模塊實時推送至安全監測模塊進行分析,并將分析結果交回實時數據處理模塊,如圖所示的實時處理數據流④,實時數據處理模塊根據安全監測模塊的分析結果向安全事件監控和響應模塊發出控制指令。調度處理模塊除了根據安全策略和語義轉換處理結果來判定優先級之外,還可以根據虛擬機監視器層的安全事件監控和響應模塊得到的當前運行性能進行評估,并可以動態調整調度安全策略模塊中的安全策略,如果物理服務器系統繁忙,則將大部分安全事件只通過日志和報警處理模塊進行日志記錄和消息報警處理,只實時通過實時數據處理模塊處理少數安全級高的安全事件;如果物理服務器系統相對空閑,則可以通過實時數據處理模塊適當對更多的安全事件進行實時處理。安全監測模塊:可以由多個模塊組成,如入侵檢測模塊(IDS模塊)、入侵防御模塊(IPS模塊)、文件訪問控制模塊等,每個模塊側重不同的安全監測功能。根據監測功能不同,實時處理數據流④所對應的客戶虛擬機的輸入事件可以是部分事件或全部事件。不同模塊可并行對安全事件進行分析處理,將處理結果提交給安全策略模塊。安全策略模塊:配置安全策略,并作為各種安全監測模塊的輸入,同時也是核心處理模塊中的調度處理模塊進行優先級判定的輸入。圖4是本發明性能優化的虛擬化資源的監控系統的優選結構示意圖,該系統采用圖2所示的優選的安全事件監控和響應模塊,以及圖3所示的優選的數據處理模塊。安全事件監控和響應模塊與數據處理模塊之間的具體部件連接如下:語義處理模塊與安全事件監控模塊相連,用于對安全事件監控模塊監控得到的事件數據進行語義轉換處理,如圖所示的事件數據流①。性能監控模塊與調度處理模塊相連,用于將性能監控模塊監控得到的性能監控數據輸送至調度處理模塊以作為其調度處理的參考依據,如圖所示的性能監控數據流③。實時數據處理模塊分別與安全事件監控模塊和安全事件響應模塊相連,如圖所示的控制流②,安全事件監控模塊可以根據接收到的控制指令直接放行系統調用事件或交由安全事件響應模塊處理,安全事件響應模塊可以根據接收到的控制指令對系統調用事件攔截或處理后放行,設置安全事件監控模塊和安全事件響應模塊均能夠接收實時數據處理模塊發出的控制指令,能夠提高系統運行效率。當然也可以將安全事件監控模塊和安全事件響應模塊接收控制指令的功能合并,放置在這兩個模塊的任意一個模塊中。圖4所述的本發明性能優化的虛擬化資源的監控系統的工作流程如圖5所示:I)、客戶虛擬機發出系統調用事件請求,如I/O請求等等,該系統調用事件又可以稱為安全事件;2)、安全事件監控模塊截獲此系統調用,將事件數據交由語義處理模塊;
3)、語義處理模塊進行安全事件語義轉換,將轉換后的事件數據交由調度處理模塊;4)、調度處理模塊從性能監控模塊獲取當前系統性能監控數據,同時根據安全策略綜合進行調度處理:a)、如果是低優先級的安全事件,將此安全事件交由日志和報警處理模塊進行日志記錄,之后等物理服務器系統空閑時通過安全監測模塊讀取日志進行事后審查操作;b)、如果是高優先級的安全事件,將此安全事件交由實時數據處理模塊;5)、實時數據處理模塊將此事件推送至各需要的安全監測模塊進行實時數據處理;6)、安全監測模塊根據安全策略模塊中的安全策略對此安全事件進行安全分析操作,將分析結果交回實時數據處理模塊,安全監測模塊可能包含多個并行處理的模塊,如IDS、IPS、文件訪問控制模塊等;7)、實時數據處理模塊根據當前安全策略以及安全監測模塊的分析結果,做出并下達控制指令給安全事件監控模塊和安全事件響應模塊;8 )、安全事件監控模塊根據控制指令進行操作:a)、控制指令為放行,則直接放行此系統調用事件;b)、控制指令為處理,則將此系統調用事件交由安全事件響應模塊處理;9)、安全事件響應模塊根據控制指令進行處理:a)、控制指令為攔截,則攔截此指令并返回錯誤信息;b)、控制指令為處理,則根據處理指令對此系統調用事件進行處理后放行。相比于現有的虛擬化安全監控技術,本發明性能優化的虛擬化資源的監控系統系統具有如下優勢:不需要在客戶虛擬機安裝代理,本發明所述系統的組成部件是安裝在虛擬機監控器層以及安全虛擬機上;能夠兼容不同的安全監測模塊,支持第三方的安全擴展功能;根據系統虛擬化資源(或者說硬件資源)使用狀況,動態調度安全處理操作,根據優先級將此安全事件選擇實時處理或者日志記錄操作,可以避免出現安全虛擬機和客戶虛擬機搶奪系統虛擬化資源造成的系統性能急劇下降的情況,同時可以等物理服務器系統空閑時再進行安全審查操作,做到高級別安全事件實時監控優先處理,低級別安全事件事后審查的功能,避免系統忙碌時丟棄處理大量安全事件造成的系統安全性下降問題,還可以更有效率的利用系統虛擬化資源,很好的平衡了性能和安全,動態調整監控策略,在確保安全性的iu提下,提聞了用戶體驗。本發明還涉及一種性能優化的虛擬化資源的監控方法,其流程圖如圖6所示,先在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,監控物理服務器和客戶虛擬機的運行性能即監控系統整體性能,根據監控到的系統整體運行性能,在安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理,在數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。本發明性能優化的虛擬化資源的監控方法,與上述的本發明性能優化的虛擬化資源的監控系統相對應。在虛擬機監視器層對客戶虛擬機的系統調用事件進行監控得到事件數據,對物理服務器和客戶虛擬機的運行性能進行監控得到性能監控數據,該性能監控數據可以提供對系統調用事件進行數據處理的一種安全策略。優選地,在監控得到事件數據后,先對所述事件數據進行語義轉換處理,將所述事件數據從低級語義轉換為高級語義,在語義轉換處理后再對事件數據進行數據處理。在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,可以有效的監護物理服務器和客戶虛擬機運行及安全狀態;再對監控的安全事件按照優先級和安全策略進行數據處理,該數據處理可以包括調度處理、實時數據處理以及日志和報警處理,其中,調度處理是根據安全策略以及性能監控數據對事件數據進行優先級判斷和調度處理,對低優先級的事件數據進行日志和報警處理,比如,對低優先級的事件數據先進行日志記錄,再通過安全監測模塊進行事后審查,并根據安全策略進行報警處理;對高優先級的事件數據進行實時數據處理,比如,高優先級的事件數據通過安全監測模塊進行分析并根據安全策略進行實時數據處理,并在實時數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。考慮監控物理服務器和客戶虛擬機的運行性能得到的性能監控數據,得到物理服務器的運行狀態,比如是在繁忙或空閑狀態,并得到客戶虛擬機的運行及安全狀態,進而對系統安全事件調度處理,如果物理服務器系統繁忙,則只對高優先級安全事件進行實時監控,實時推送到安全監測模塊進行處理;對低優先級安全事件則記錄進日志,待物理服務器系統閑時再由各安全監測模塊讀取日志進行安全審查。本發明所述監控方法可有效避免安全虛擬機和客戶虛擬機爭奪系統資源的情形,同時也可避免因為資源緊張而丟棄處理大量安全事件,造成系統安全性下降的情況,達到高級別安全事件實時監控處理,低級別安全事件事后審查的功能。圖7是本發明性能優化的虛擬化資源的監控方法的優選流程圖。I)、客戶虛擬機發出系統調用事件請求,如I/O請求等等,該系統調用事件又可以稱為安全事件;2)、通過對安全事件監控截獲此系統調用,將安全事件數據進行語義轉換處理;3)、語義轉換處理后的事件數據進入調度處理;4)、調度處理從對物理服務器和客戶虛擬機的運行性能的監控中獲取當前系統性能監控數據,同時根據安全策略綜合進行調度處理:a)、如果是低優先級的安全事件,將此安全事件進行日志和報警處理,即先日志記錄,之后等物理服務器系統空閑時通過安全監測模塊讀取日志進行事后審查操作;b)、如果是高優先級的安全事件,將此安全事件進行實時數據處理;5)、實時數據處理將此事件推送至各需要的安全監測模塊進行實時數據處理;6)、安全監測模塊根據安全策略對此安全事件進行安全分析操作,安全監測模塊可能包含多個并行處理的模塊,如IDS、IPS、文件訪問控制模塊等;7)、根據當前安全策略以及安全監測模塊的分析結果,做出并下達控制指令;8)、通過控制指令控制系統調用事件針對調用虛擬化資源的操作:a)、控制指令為放行,則直接放行此系統調用事件;b)、控制指令為攔截,則攔截此指令并返回錯誤信息;C)、控制指令為處理,則根據處理指令對此系統調用事件進行處理后放行。應當指出,以上所述具體實施方式
可以使本領域的技術人員更全面地理解本發明創造,但不以任何方式限制本發明創造。因此,盡管本說明書參照附圖和實施例對本發明創造已進行了詳細的說明,但是,本領域技術人員應當理解,仍然可以對本發明創造進行修改或者等同替換,總之,一切不脫離本發明創造的精神和范圍的技術方案及其改進,其均應涵蓋在本發明創造專利的保護范圍當中。
權利要求
1.一種性能優化的虛擬化資源的監控方法,其特征在于,先在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,并根據監控到的物理服務器和客戶虛擬機的運行性能,在安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理,在數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。
2.根據權利要求1所述的性能優化的虛擬化資源的監控方法,其特征在于,在虛擬機監視器層對客戶虛擬機的系統調用事件進行監控得到事件數據,對物理服務器和客戶虛擬機的運行性能進行監控得到性能監控數據,所述性能監控數據提供對系統調用事件進行數據處理的一種安全策略。
3.根據權利要求2所述的性能優化的虛擬化資源的監控方法,其特征在于,在監控得到事件數據后,先對所述事件數據進行語義轉換處理,將所述事件數據從低級語義轉換為高級語義,在語義轉換處理后再對事件數據進行數據處理。
4.根據權利要求2或3所述的性能優化的虛擬化資源的監控方法,其特征在于,對監控的系統調用事件進行數據處理包括調度處理、實時數據處理以及日志和報警處理,所述調度處理是對事件數據進行優先級判斷和調度,對低優先級的事件數據進行日志和報警處理,對高優先級的事件數據進行實時數據處理。
5.根據權利要求4所述的性能優化的虛擬化資源的監控方法,其特征在于,所述高優先級的事件數據通過安全監測模塊進行分析并根據安全策略進行實時數據處理,并在實時數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作; 和/或,所述日志和報警處理是對低優先級的事件數據先進行日志記錄,再通過安全監測模塊進行事后審查,并根據安全策略進行報警處理。
6.一種性能優化的虛擬化資源的監控系統,其特征在于,包括相互連接的安全事件監控和響應模塊以及數據處理模塊,所述安全事件監控和響應模塊設置在虛擬機監視器層,用于對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,并將監控信息發送至數據處理模塊;所述數據處理模塊設置于安全虛擬機,用于根據監控到的物理服務器和客戶虛擬機的運行性能,按照優先級和安全策略對所述系統調用事件進行數據處理,并在數據處理后向安全事件監控和響應模塊發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。
7.根據權利要求6所述的性能優化的虛擬化資源的監控系統,其特征在于,所述安全事件監控和響應模塊包括安全事件監控模塊、安全事件響應模塊和性能監控模塊,所述安全事件監控模塊對客戶虛擬機的系統調用事件進行監控得到事件數據并將所述事件數據發送至數據處理模塊,所述性能監控模塊對物理服務器和客戶虛擬機的運行性能進行監控得到性能監控數據,所述性能監控數據提供給數據處理模塊進行數據處理的一種安全策略,所述安全事件響應模塊接收數據處理模塊發出的控制指令并做出響應。
8.根據權利要求7所述的性能優化的虛擬化資源的監控系統,其特征在于,所述數據處理模塊包括依次連接的語義處理模塊、核心處理模塊和安全策略模塊,所述核心處理模塊分別與安全策略模塊、性能監控模塊和安全事件響應模塊相連;所述語義處理模塊與安全事件監控模塊相連,用于對所述事件數據進行語義轉換處理,將所述事件數據從低級語義轉換為高級語義,在語義轉換處理后輸入至核心處理模塊;所述核心處理模塊依據安全策略模塊中的安全策略以及性能監控模塊得到的性能監控數據對事件數據進行數據處理,并在數據處理后向安全事件響應模塊發出控制指令。
9.根據權利要求8所述的性能優化的虛擬化資源的監控系統,其特征在于,所述核心處理模塊包括調度處理模塊、實時數據處理模塊以及日志和報警處理模塊,所述實時數據處理模塊以及日志和報警處理模塊分別與調度處理模塊相連,所述調度處理模塊分別與性能監控模塊和語義處理模塊相連,所述實時數據處理模塊以及日志和報警處理模塊均與安全策略模塊相連,所述實時數據處理模塊與安全事件響應模塊相連;所述調度處理模塊對事件數據進行優先級判斷和調度處理,所述實時數據處理模塊對高優先級的事件數據進行實時數據處理并在實時數據處理后向安全事件響應模塊發出控制指令,所述日志和報警處理模塊對低優先級的事件數據進行日志和報警處理。
10.根據權利要求9所述的性能優化的虛擬化資源的監控系統,其特征在于,所述實時數據處理模塊以及日志和報警處理模塊均通過一個或多個安全監測模塊與安全策略模塊相連;所述實時數據處理模塊對高優先級的事件數據通過安全監測模塊進行分析并根據安全策略進行實時數據處理; 和/或,所述日志和報警處理模塊對低優先級的事件數據先進行日志記錄,再通過安全監測模塊進行事后審查,并根據安全策略進行報警處理; 和/或,所述安全監測模塊為入侵檢測模塊和/或入侵防御模塊和/或文件訪問控制模塊。
全文摘要
本發明涉及一種性能優化的虛擬化資源的監控系統方法和系統,該方法先在虛擬機監視器層對物理服務器和客戶虛擬機的運行性能以及客戶虛擬機的系統調用事件進行監控,并根據監控到的物理服務器和客戶虛擬機的運行性能,在安全虛擬機按照優先級和安全策略對所述監控的系統調用事件進行數據處理,在數據處理后發出控制指令以控制系統調用事件針對調用虛擬化資源的操作。本發明所涉及的性能優化的虛擬化資源的監控系統方法和系統,可以有效的監控系統整體運行及安全狀態,并能夠達到良好的用戶體驗。
文檔編號H04L12/24GK103178988SQ20131004893
公開日2013年6月26日 申請日期2013年2月6日 優先權日2013年2月6日
發明者陳幼雷, 張雅哲, 張大鵬 申請人:中電長城網際系統應用有限公司