一種Linux虛擬化平臺安全檢測方法及系統的制作方法

一種Linux虛擬化平臺安全檢測方法及系統的制作方法
【專利摘要】本發明公開了一種Linux虛擬化平臺安全檢測方法及系統。該方法包括以下步驟，分別設置安全管理域內各個虛擬域的安全策略等級和內容并下發至受控端；依據安全策略組合調用受控端虛擬域安全模塊，對虛擬域進行分等級的安全檢測；收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息。本發明安全管理域宏觀的角度實時評估平臺系統的安全態勢，并在基于策略的條件下對安全態勢的發展趨勢進行預測。通過定制不同安全等級的安全檢測策略，可以整合多種入侵檢測的技術手段，將對單個域內系統的安全檢測擴展至整個虛擬化平臺，對整個安全管理域中各個獨立的虛擬域提供個性化的安全檢測方案。
【專利說明】一種Linux虛擬化平臺安全檢測方法及系統

【技術領域】
[0001]本發明涉及計算機【技術領域】，具體地說，涉及一種Linux虛擬化平臺安全檢測方法及系統。

【背景技術】
[0002]隨著科技的進步，越來越多的大型企業或者實驗室趨向于使用虛擬化架構來節約服務器成本或者提高應用靈活性。虛擬化的實質是利用眾多的虛擬機來代替原來的物理機來進行各項工作。在虛擬化平臺中，每個用戶不需要整套的硬件設備，只需一個終端顯示設備。虛擬機運行在服務器上，由服務器分發給需要使用虛擬機的用戶。并且，Linux虛擬化平臺作為最底層的基礎平臺，在其上運行著多個虛擬域，每個域都管理著許多重要的數據。
[0003]目前Linux虛擬化環境沒有統一的檢測平臺。現有的Linux虛擬化平臺安全狀態檢測一般只涉及到單個虛擬域內部，各虛擬域獨立進行內部安全檢測。例如，現有的計算機殺毒工作方式中，通常需要每個用戶在各個虛擬機里安裝安全殺毒軟件，單獨對各個虛擬域進行病毒查殺。因此，各個虛擬域沒有通過策略關聯起來進行統一分析處理，以及給出指導意見，不能對整個虛擬化平臺的安全性作出全面評估。
[0004]此外,雖然一些從事虛擬化產品的公司，如VMware、Critrix、Microsoft等針對自己的虛擬化服務器都開發了一套對服務器上的虛擬機的管理套件，這些套件主要強調對單個虛擬機的管理，例如開機、關機、對虛擬機進行快照和恢復快照等。
[0005]針對Linux系統，不僅鮮有廠家發行系統安全管理工具，更沒有基于虛擬化平臺發行一整套安全管理工具方案。因此，亟需一種能夠針對整個虛擬化平臺提供虛擬域整體化安全檢測的Linux安全策略配置方法。


【發明內容】

[0006]本發明的目的之一在于提供一種Linux虛擬化平臺安全檢測方法，包括以下步驟:
[0007]分別設置安全管理域內各個虛擬域的安全策略等級和內容并下發至受控端；
[0008]依據安全策略組合調用受控端虛擬域安全模塊，對虛擬域進行分等級的安全檢測；
[0009]收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息。
[0010]根據本發明的實施例，所述分別設置安全管理域內各個虛擬域的安全策略等級和內容并下發至受控端包括:
[0011]在主控端分別為各個虛擬域設置安全策略等級；
[0012]根據不同等級設定相應等級的安全策略內容；
[0013]受控端通過網絡監聽的方式接收主控端設置的應用于本地虛擬域的安全策略。
[0014]根據本發明的實施例，所述依據安全策略組合調用受控端虛擬域安全模塊包括:
[0015]在受控端提供多個對虛擬域進行本地安全態勢檢測的安全模塊；
[0016]依據安全策略內容選擇并調用所述安全模塊中的至少一個，對本地虛擬域安執行符合全策略內容的安全檢測。
[0017]根據本發明的實施例，所述收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息包括:
[0018]受控端對檢測結果進行態勢分析，對本地虛擬域進行安全審計和安全評估，將結果返回主控端；
[0019]在主控端接收受控端的虛擬域的安全檢測結果；
[0020]根據全部虛擬域的安全檢測結果進行安全管理域的安全態勢分析，形成安全事態信息，實現對安全管理域內各個虛擬域的集中式管理。
[0021]根據本發明的實施例，所述安全模塊包括病毒查殺模塊、弱點掃描模塊、漏洞檢測模塊、滲透檢測模塊、垃圾清理模塊、啟動加速模塊和預警提示模塊中的至少一種。
[0022]根據本發明的實施例，所述病毒查殺模塊用于針對全盤、U盤、關鍵區域或者指定的區域的系統關鍵文件進行病毒掃描，其中系統關鍵文件包括/etc、/boot、/bin以及/sbin目錄下的關鍵文件；
[0023]所述弱點掃描模塊用于對虛擬域的防火墻安全性、Selinux安全性、PAM密碼安全性、軟件版本固有漏洞、常用命令完整性和缺失以及日志信息進行掃描分析；
[0024]所述漏洞檢測模塊用于檢測系統rootkit殘留，判斷是否存在安全隱患；
[0025]所述滲透檢測模塊用于檢測當前登錄賬號的密碼安全情況；
[0026]所述垃圾清理模塊用于對虛擬域系統中的臨時文件、上網記錄、用戶Cookie以及回收站垃圾文件進行清理；
[0027]所述啟動加速模塊用于列舉分類虛擬域系統的啟動服務，提供服務的相關描述以及優化推薦等功能供用戶使用，對系統的非必要服務進行關閉和開啟，從而提高系統的啟動速度；
[0028]所述預警提示模塊用于監視系統內具有suid屬性的特權程序，防止非法的或多余的suid程序。
[0029]根據本發明的實施例，所述安全策略等級包括高級、中級和初級，其中，
[0030]高級安全策略的內容包括強制開啟虛擬域內所有文件類型的全盤查殺，強制開啟全部級別的弱點掃描，強制開啟漏洞檢測、滲透檢測、垃圾清理以及預警提示，選擇啟動加速；
[0031]中級安全策略的內容包括強制開啟虛擬域內可執行文件類型的全盤查殺，強制開啟掃描緊急、嚴重級別的弱點，強制開啟預警提示，選擇啟動漏洞檢測、滲透檢測、垃圾清理以及啟動加速；
[0032]初級安全策略的內容包括強制開啟虛擬域內關鍵區域的可執行文件類型的查殺，強制開啟掃描緊急級別的弱點，選擇啟動預警提示、漏洞檢測、滲透檢測、垃圾清理以及啟動加速。
[0033]根據本發明的另一方面，提供一種Linux虛擬化平臺安全檢測系統，包括主控端以及與主控端連接的多個受控端，所述主控端包括策略等級單元和策略內容單元，所述策略等級單元用于設置安全管理域內各個虛擬域的安全策略等級，所述策略內容單元用于設定與安全等級相對應的安全策略內容；主控端將安全策略下發至受控端，并收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息；
[0034]所述受控端包括多個對虛擬域進行本地安全態勢檢測的安全模塊。
[0035]根據本發明的實施例，所述受控端依據安全策略內容選擇并調用所述安全模塊中的至少一個，對本地虛擬域安執行符合全策略內容的安全檢測。
[0036]根據本發明的實施例，所述安全模塊包括病毒查殺模塊、弱點掃描模塊、漏洞檢測模塊、垃圾清理模塊、滲透檢測模塊、啟動加速模塊和預警提示模塊中的至少一種；
[0037]所述病毒查殺模塊用于針對全盤、U盤、關鍵區域或者指定的區域的系統關鍵文件進行病毒掃描，其中系統關鍵文件包括/etc、/boot、/bin以及/sbin目錄下的關鍵文件；
[0038]所述弱點掃描模塊用于對虛擬域的防火墻安全性、Selinux安全性、PAM密碼安全性、軟件版本固有漏洞、常用命令完整性和缺失以及日志信息進行掃描分析；
[0039]所述漏洞檢測模塊用于檢測系統rootkit殘留，判斷是否存在安全隱患；
[0040]所述滲透檢測模塊用于檢測當前登錄賬號的密碼安全情況；
[0041]所述垃圾清理模塊用于對虛擬域系統中的臨時文件、上網記錄、用戶Cookie以及回收站垃圾文件進行清理；
[0042]所述啟動加速模塊用于列舉分類虛擬域系統的啟動服務，可以提供服務的相關描述以及優化推薦等功能供用戶使用，可以對系統的非必要服務進行關閉和開啟，從而提高系統的啟動速度；
[0043]所述預警提示模塊用于監視系統內具有suid屬性的特權程序，防止非法的或多余的suid程序。
[0044]本發明帶來了以下有益效果。
[0045](I)通過定制不同安全等級的安全檢測策略，可以整合多種入侵檢測的技術手段，將對單個域內系統的安全檢測擴展至整個虛擬化平臺，對整個安全管理域中各個獨立的虛擬域提供個性化的安全檢測方案。
[0046](2)從安全管理域宏觀的角度實時評估平臺系統的安全態勢，并在基于策略的條件下對安全態勢的發展趨勢進行預測，為平臺管理員的決策分析提供依據，將不安全因素帶來的風險和損失降到最低。
[0047]本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。

【專利附圖】

【附圖說明】
[0048]附圖用來提供對本發明的進一步理解，并且構成說明書的一部分，與本發明的實施例共同用于解釋本發明，并不構成對本發明的限制。在附圖中:
[0049]圖1是根據本發明實施例的Linux虛擬化平臺安全檢測系統的示意圖；
[0050]圖2是根據本發明實施例的受控端結構示意圖；
[0051]圖3是根據本發明實施例的Linux虛擬化平臺安全檢測方法的步驟流程圖。

【具體實施方式】
[0052]為使本發明的目的、技術方案和優點更加清楚，以下結合附圖對本發明作進一步地詳細說明。
[0053]本發明的實施例提供基于客戶端/服務器(C/S)模式的可視化監測管理平臺，各虛擬域(Client)根據安全管理域(Server)下發的策略操作指令對本域系統文件、操作、配置、服務等的安全性進行檢測與分析，從而提供一種完整的、全平臺的安全策略配置方法。
[0054]首先對本實施例提供的安全檢測方法的應用環境進行說明，如圖1所示，Linux虛擬化平臺安全檢測系統為多域管理系統，包括一個主控端11和多個受控端13。安全管理域中安裝的態勢感知工具端為主控端(Server) 11，用于提取已經連接的多個受控端13的相關信息，實現策略配置下發、操作指令下發、執行結果收集。各虛擬域中安裝的態勢感知代理工具為受控端(Client) 13，用于通過網絡監聽方式接受主控端11下發的策略配置以及操作指令，并將本地執行結果反饋到主控端11。各受控端13可以和主控端11經過虛擬機監視器12通過TCP/IP協議實現端口監聽、指令下發、結果反饋以及信息收集等相關的通?目。
[0055]具體而言，在主控端11中包括主控端代理111，用于實現主控端11和虛擬機監視器12之間的信息轉發；策略等級單元112，用于設置安全管理域內各個虛擬域的安全策略等級；策略內容單元113，用于設定與安全等級相對應的安全策略內容。
[0056]圖2示出了本實施例中受控端13的結構示意圖。在受控端13中設置受控端代理131，用于實現受控端13和虛擬機監視器12之間的信息轉發；還設置有安全模塊，包括病毒查殺模塊132、弱點掃描模塊133、漏洞檢測模塊134、垃圾清理模塊135、滲透檢測模塊136、啟動加速模塊137和預警提示模塊138。可根據安全策略內容組合調用所述安全模塊，用于完成對本地虛擬域的安全檢測。
[0057]主控端11制定與受控端13相對應的策略配置，使之能夠根據各個受控端安全級別的不同，針對受控端關注的安全模塊進行功能組合方式的檢測與分析。根據功能定義細化后，策略等級單元112可以制定出高、中、初三種安全級別的安全策略，通過受控端內不同的安全模塊功能相互組合的方式，可以實現完整的基于策略的安全事態檢測。
[0058]受控端13的安全模塊主要保障系統關鍵文件安全、服務運行安全、系統漏洞、用戶賬號安全以及系統特權程序安全等。其中:
[0059]I)系統關鍵文件安全主要包括/etc、/boot、/bin、/sbin等系統目錄下的關鍵文件安全，病毒查殺模塊132可以根據主控端的策略配置對全盤、U盤、關鍵區域或者指定區域的關鍵文件進行病毒掃描，查殺各種病毒木馬；
[0060]2)服務運行安全包括服務啟動與運行安全、端口開放等內容，弱點掃描模塊133能夠對本域的防火墻安全性、Selinux安全性、軟件版本固有漏洞、常用命令完整性和缺失、日志信息等服務的常見安全弱點進行掃描分析；
[0061]3)系統漏洞主要指系統脆弱性等內容，漏洞檢測模塊134能夠檢測系統rootkit殘留，是否存在安全隱患，防止被黑客軟件利用；
[0062]4)用戶賬號安全包括身份認證配置情況、用戶密碼安全情況等內容，滲透檢測模塊136能夠檢測當前登錄賬號的密碼安全性，是否為弱密碼；
[0063]5)系統特權程序安全主要包括監視系統內具有suid屬性的特權程序，防止非法的或多余的SUid程序等，預警提示模塊138能夠針對系統已存在的安全隱患對系統的安全性給出引導性的提示，并對正在發生的或可能發生的非法特權行為進行預警提示；
[0064]6)此外，對系統中的臨時文件、上網記錄、用戶Cookie以及回收站垃圾文件進行及時清理也是比較重要的，垃圾清理模塊135能夠提供這些功能；
[0065]7)啟動加速模塊137能夠列舉分類系統的啟動服務，可以提供服務的相關描述以及優化推薦等功能供用戶使用，可以對系統的非必要服務進行關閉和開啟，從而提高系統的啟動速度。
[0066]優選的，在受控端還可設置安全審計模塊1391和安全評估模塊1392。安全審計模塊1391用于對本地虛擬域的安全事件進行審計，安全評估模塊1392能夠對所有子功能模塊的進展情況和報告輸出進行執行結果收集整理，針對虛擬域已存在的安全隱患對系統的安全性進行評分及低、中、高分析定級。
[0067]在表1中示出了受控端各個安全模塊的功能列表。
[0068]表1
[0069]

【權利要求】
1.一種Linux虛擬化平臺安全檢測方法,其特征在于,包括以下步驟: 分別設置安全管理域內各個虛擬域的安全策略等級和內容并下發至受控端； 依據安全策略組合調用受控端虛擬域安全模塊，對虛擬域進行分等級的安全檢測； 收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息。
2.根據權利要求1所述的方法，其特征在于，所述分別設置安全管理域內各個虛擬域的安全策略等級和內容并下發至受控端包括: 在主控端分別為各個虛擬域設置安全策略等級； 根據不同等級設定相應等級的安全策略內容； 受控端通過網絡監聽的方式接收主控端設置的應用于本地虛擬域的安全策略。
3.根據權利要求1所述的方法，其特征在于，所述依據安全策略組合調用受控端虛擬域安全模塊包括: 在受控端提供多個對虛擬域進行本地安全態勢檢測的安全模塊； 依據安全策略內容選擇并調用所述安全模塊中的至少一個，對本地虛擬域安執行符合全策略內容的安全檢測。
4.根據權利要求1 所述的方法，其特征在于，所述收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息包括: 受控端對檢測結果進行態勢分析，對本地虛擬域進行安全審計和安全評估，將結果返回主控端； 在主控端接收受控端的虛擬域的安全檢測結果； 根據全部虛擬域的安全檢測結果進行安全管理域的安全態勢分析，形成安全事態信息，實現對安全管理域內各個虛擬域的集中式管理。
5.根據權利要求1-4中任一項所述的方法,其特征在于,所述安全模塊包括病毒查殺模塊、弱點掃描模塊、漏洞檢測模塊、滲透檢測模塊、垃圾清理模塊、啟動加速模塊和預警提示模塊中的至少一種。
6.根據權利要求5所述的方法，其特征在于，所述病毒查殺模塊用于針對全盤、U盤、關鍵區域或者指定的區域的系統關鍵文件進行病毒掃描，其中系統關鍵文件包括/etc、/boot、/bin以及/sbin目錄下的關鍵文件； 所述弱點掃描模塊用于對虛擬域的防火墻安全性、Selinux安全性、PAM密碼安全性、軟件版本固有漏洞、常用命令完整性和缺失以及日志信息進行掃描分析； 所述漏洞檢測模塊用于檢測系統rootkit殘留，判斷是否存在安全隱患； 所述滲透檢測模塊用于檢測當前登錄賬號的密碼安全情況； 所述垃圾清理模塊用于對虛擬域系統中的臨時文件、上網記錄、用戶Cookie以及回收站垃圾文件進行清理； 所述啟動加速模塊用于列舉分類虛擬域系統的啟動服務，提供服務的相關描述以及優化推薦等功能供用戶使用，對系統的非必要服務進行關閉和開啟，從而提高系統的啟動速度； 所述預警提示模塊用于監視系統內具有suid屬性的特權程序，防止非法的或多余的suid程序。
7.根據權利要求5所述的方法，其特征在于，所述安全策略等級包括高級、中級和初級，其中， 高級安全策略的內容包括強制開啟虛擬域內所有文件類型的全盤查殺，強制開啟全部級別的弱點掃描，強制開啟漏洞檢測、滲透檢測、垃圾清理以及預警提示，選擇啟動加速； 中級安全策略的內容包括強制開啟虛擬域內可執行文件類型的全盤查殺，強制開啟掃描緊急、嚴重級別的弱點，強制開啟預警提示，選擇啟動漏洞檢測、滲透檢測、垃圾清理以及啟動加速； 初級安全策略的內容包括強制開啟虛擬域內關鍵區域的可執行文件類型的查殺，強制開啟掃描緊急級別的弱點，選擇啟動預警提示、漏洞檢測、滲透檢測、垃圾清理以及啟動加速。
8.—種Linux虛擬化平臺安全檢測系統，包括主控端以及與主控端連接的多個受控端，其特征在于， 所述主控端包括策略等級單元和策略內容單元，所述策略等級單元用于設置安全管理域內各個虛擬域的安全策略等級，所述策略內容單元用于設定與安全等級相對應的安全策略內容；主控端將安全策略下發至受控端，并收集各虛擬域安全檢測結果，形成安全管理域的安全事態信息； 所述受控端包括多個對 虛擬域進行本地安全態勢檢測的安全模塊。
9.根據權利要求8所述的系統，其特征在于，所述受控端依據安全策略內容選擇并調用所述安全模塊中的至少一個，對本地虛擬域安執行符合全策略內容的安全檢測。
10.根據權利要求9所述的系統，其特征在于，所述安全模塊包括病毒查殺模塊、弱點掃描模塊、漏洞檢測模塊、垃圾清理模塊、滲透檢測模塊、啟動加速模塊和預警提示模塊中的至少一種； 所述病毒查殺模塊用于針對全盤、U盤、關鍵區域或者指定的區域的系統關鍵文件進行病毒掃描，其中系統關鍵文件包括/etc、/boot、/bin以及/sbin目錄下的關鍵文件； 所述弱點掃描模塊用于對虛擬域的防火墻安全性、Selinux安全性、PAM密碼安全性、軟件版本固有漏洞、常用命令完整性和缺失以及日志信息進行掃描分析； 所述漏洞檢測模塊用于檢測系統rootkit殘留，判斷是否存在安全隱患； 所述滲透檢測模塊用于檢測當前登錄賬號的密碼安全情況； 所述垃圾清理模塊用于對虛擬域系統中的臨時文件、上網記錄、用戶Cookie以及回收站垃圾文件進行清理； 所述啟動加速模塊用于列舉分類虛擬域系統的啟動服務，提供服務的相關描述以及優化推薦等功能供用戶使用，對系統的非必要服務進行關閉和開啟，從而提高系統的啟動速度； 所述預警提示模塊用于監視系統內具有suid屬性的特權程序，防止非法的或多余的suid程序。
【文檔編號】G06F21/57GK104077532SQ201410280874
【公開日】2014年10月1日 申請日期:2014年6月20日 優先權日:2014年6月20日
【發明者】姜春林, 張偉 申請人:中標軟件有限公司