最新中国发明专利
/
2024-02-13

一种针对云计算IaaS层漏洞检测方法、系统和介质转让专利

申请号 : CN202311644380.8

文献号 : CN117354060B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 杨良志白琳汪志新杨安培卢业波

申请人 : 彩讯科技股份有限公司

摘要 :

本申请提供了一种针对云计算IaaS层漏洞检测方法、系统和介质。该方法包括:获取主机数据以及虚拟机系统数据,首先根据主机数据和虚拟机系统数据对虚拟机逃逸漏洞进行检测,然后处理获得主机安全漏洞检测指数,再对IaaS层分别进行存储安全漏洞和网络安全漏洞检测,最后根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。本申请通过对主机安全漏洞、存储安全漏洞以及网络安全漏洞的检测实现对云计算IaaS层漏洞精准检测并根据IaaS层漏洞等级智能匹配对应的漏洞修复策略的目的。

权利要求 :

1.一种针对云计算IaaS层漏洞检测方法,其特征在于,包括以下步骤:获取主机数据,包括:主机存储空间数据、主机网络带宽数据、主机CPU占用率和虚拟机模板篡改数据;

获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;

根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数;

根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;

根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数;

根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数;

根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略;

所述获取虚拟机系统数据,包括:获取虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,包括:所述虚拟机权限数据包括:虚拟机存储权限数据、虚拟机访问权限数据;

所述虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。

2.根据权利要求1所述的针对云计算IaaS层漏洞检测方法,其特征在于,所述根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数,包括:根据所述虚拟机存储空间数据以及所述虚拟机存储权限数据利用预设缓冲区攻击器进行模拟攻击测试,获得缓冲区溢出漏洞检测指数;

根据所述虚拟机访问权限数据利用预设模拟仿真指令对虚拟机进行权限提升测试,获得权限提升漏洞检测指数;

根据所述缓冲区溢出漏洞检测指数以及所述权限提升漏洞检测指数处理获得虚拟机逃逸漏洞检测指数。

3.根据权利要求2所述的针对云计算IaaS层漏洞检测方法,其特征在于,所述根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数,包括:所述主机安全漏洞检测指数的程序处理公式为:

其中, 为主机安全漏洞检测指数, 为虚拟机逃逸漏洞检测指数, 为主机CPU占用率, 为虚拟机模板篡改数据, 为虚拟机CPU占用率, 、 、 、 、 为预设特征系数。

4.根据权利要求3所述的针对云计算IaaS层漏洞检测方法,其特征在于,所述根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数,包括:根据所述主机网络带宽数据结合所述虚拟机网络带宽数据、虚拟机端口网络通信数据、虚拟防火墙数据以及所述虚拟机访问权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数。

5.根据权利要求4所述的针对云计算IaaS层漏洞检测方法,其特征在于,所述根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略,包括:根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞检测指数;

将所述IaaS层漏洞检测指数与预设IaaS层漏洞检测指数阈值进行阈值对比,根据阈值对比结果所属的范围等级确定IaaS层漏洞等级;

将所述IaaS层漏洞等级与预设IaaS层漏洞修复库进行漏洞等级匹配,根据漏洞等级匹配结果获得对应的漏洞修复策略。

6.一种针对云计算IaaS层漏洞检测系统,其特征在于,包括存储器和处理器,所述存储器中包括针对云计算IaaS层漏洞检测方法程序,所述针对云计算IaaS层漏洞检测方法程序被所述处理器执行时实现如下步骤:获取主机数据,包括:主机存储空间数据、主机网络带宽数据、主机CPU占用率和虚拟机模板篡改数据;

获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;

根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数;

根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;

根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数;

根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数;

根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略;

所述获取虚拟机系统数据,包括:获取虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,包括:所述虚拟机权限数据包括:虚拟机存储权限数据、虚拟机访问权限数据;

所述虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。

7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括针对云计算IaaS层漏洞检测方法程序,所述针对云计算IaaS层漏洞检测方法程序被处理器执行时,实现如权利要求1至5中任一项所述的针对云计算IaaS层漏洞检测方法的步骤。

说明书 :

一种针对云计算IaaS层漏洞检测方法、系统和介质

技术领域

[0001] 本申请涉及大数据及云计算技术领域,具体而言,涉及一种针对云计算IaaS层漏洞检测方法、系统和介质。

背景技术

[0002] 云计算IaaS(infrastructure as a service 基础设施即服务)层作为云服务的最底层,是云计算的基础,主要提供支持上传服务的各种虚拟化运行环境及平台,因而该层的安全性尤为重要,但是所面临的安全威胁也非常突出,通常虚拟机与宿主机是共享资源的,而在一些特定的情况下,如虚拟机强制占用过多的资源,这时就会出现其他虚拟机拒绝服务的情况,进而影响到IaaS的稳定运行,也影响到云计算的正常功能,因此主机安全问题不容忽视。在大量的实践研究中,发现云计算机中IaaS使用过程中存在一些虚拟化存储安全问题,例如,在未经过授权的情况下进行数据访问的现象,因此虚拟化安全存储问题是在对云计算IaaS层漏洞检测过程中必不可少的。在云计算中,网络是虚拟机运行必不可少的因素,更是保证主机以及虚拟机等相互通信的主要通道,因此网络漏洞检测至关重要。截止目前,现有的技术当中尚缺乏同时根据对主机安全漏洞、存储安全漏洞和网络安全漏洞的检测结果进行处理以获得IaaS层漏洞等级,并根据IaaS层漏洞等级智能匹配对应的漏洞修复策略的技术。
[0003] 针对上述问题,目前亟待有效的技术解决方案。

发明内容

[0004] 本申请的目的在于提供一种针对云计算IaaS层漏洞检测方法、系统和介质,首先获取主机数据以及虚拟机系统数据,根据主机数据和虚拟机系统数据对虚拟机逃逸漏洞进行检测,然后处理获得主机安全漏洞检测指数,再对IaaS层分别进行存储安全漏洞和网络安全漏洞检测,最后根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。本申请通过对主机安全漏洞、存储安全漏洞以及网络安全漏洞的检测实现对云计算IaaS层漏洞精准检测并根据IaaS层漏洞等级智能匹配对应的漏洞修复策略的目的。
[0005] 本申请还提供了一种针对云计算IaaS层漏洞检测方法,包括以下步骤:
[0006] 获取主机数据,包括:主机存储空间数据、主机网络带宽数据、主机CPU占用率和虚拟机模板篡改数据;
[0007] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0008] 根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数;
[0009] 根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0010] 根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数;
[0011] 根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数;
[0012] 根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。
[0013] 可选地,在本申请所述的针对云计算IaaS层漏洞检测方法中,所述获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,包括:
[0014] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0015] 所述虚拟机权限数据包括:虚拟机存储权限数据、虚拟机访问权限数据;
[0016] 所述虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。
[0017] 可选地,在本申请所述的针对云计算IaaS层漏洞检测方法中,所述根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数,包括:
[0018] 根据所述虚拟机存储空间数据以及所述虚拟机存储权限数据利用预设缓冲区攻击器进行模拟攻击测试,获得缓冲区溢出漏洞检测指数;
[0019] 根据所述虚拟机访问权限数据利用预设模拟仿真指令对虚拟机进行权限提升测试,获得权限提升漏洞检测指数;
[0020] 根据所述缓冲区溢出漏洞检测指数以及所述权限提升漏洞检测指数处理获得虚拟机逃逸漏洞检测指数。
[0021] 可选地,在本申请所述的针对云计算IaaS层漏洞检测方法中,所述根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数,包括:
[0022] 根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0023] 所述主机安全漏洞检测指数的程序处理公式为:
[0024] ;
[0025] 其中, 为主机安全漏洞检测指数, 为虚拟机逃逸漏洞检测指数, 为主机CPU占用率, 为虚拟机模板篡改数据, 为虚拟机CPU占用率, 、 、 、 、 为预设特征系数。
[0026] 可选地,在本申请所述的针对云计算IaaS层漏洞检测方法中,所述根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数,包括:
[0027] 根据所述主机存储空间数据、虚拟机存储权限数据以及所述虚拟机存储空间数据并利用预设存储安全漏洞检测模型进行测试分析,获得存储安全漏洞检测指数。
[0028] 可选地,在本申请所述的针对云计算IaaS层漏洞检测方法中,所述根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数,包括:
[0029] 根据所述主机网络带宽数据结合所述虚拟机网络带宽数据、虚拟机端口网络通信数据、虚拟防火墙数据以及所述虚拟机访问权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数。
[0030] 可选地,在本申请所述的针对云计算IaaS层漏洞检测方法中,所述根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略,包括:
[0031] 根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞检测指数;
[0032] 将所述IaaS层漏洞检测指数与预设IaaS层漏洞检测指数阈值进行阈值对比,根据阈值对比结果所属的范围等级确定IaaS层漏洞等级;
[0033] 将所述IaaS层漏洞等级与预设IaaS层漏洞修复库进行漏洞等级匹配,根据漏洞等级匹配结果获得对应的漏洞修复策略。
[0034] 第二方面,本申请提供了一种针对云计算IaaS层漏洞检测系统,该系统包括:存储器及处理器,所述存储器中包括针对云计算IaaS层漏洞检测方法的程序,所述针对云计算IaaS层漏洞检测方法的程序被所述处理器执行时实现以下步骤:
[0035] 本申请还提供了一种针对云计算IaaS层漏洞检测方法,包括以下步骤:
[0036] 获取主机数据,包括:主机存储空间数据、主机网络带宽数据、主机CPU占用率和虚拟机模板篡改数据;
[0037] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0038] 根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数;
[0039] 根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0040] 根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数;
[0041] 根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数;
[0042] 根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。
[0043] 可选地,在本申请所述的针对云计算IaaS层漏洞检测系统中,所述获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,包括:
[0044] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0045] 所述虚拟机权限数据包括:虚拟机存储权限数据、虚拟机访问权限数据;
[0046] 所述虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。
[0047] 第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中包括针对云计算IaaS层漏洞检测方法程序,所述针对云计算IaaS层漏洞检测方法程序被处理器执行时,实现如上述任一项所述的针对云计算IaaS层漏洞检测方法的步骤。
[0048] 由上可知,本申请提供的一种针对云计算IaaS层漏洞检测方法、系统和介质,首先获取主机数据以及虚拟机系统数据,根据主机数据和虚拟机系统数据对虚拟机逃逸漏洞进行检测,然后处理获得主机安全漏洞检测指数,再对IaaS层分别进行存储安全漏洞和网络安全漏洞检测,最后根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。本申请通过对主机安全漏洞、存储安全漏洞以及网络安全漏洞的检测实现对云计算IaaS层漏洞精准检测并根据IaaS层漏洞等级智能匹配对应的漏洞修复策略的目的。
[0049] 本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。

附图说明

[0050] 为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0051] 图1为本申请实施例提供的针对云计算IaaS层漏洞检测方法的流程图;
[0052] 图2为本申请实施例提供的针对云计算IaaS层漏洞检测方法的获得虚拟机逃逸漏洞检测指数的流程图;
[0053] 图3为本申请实施例提供的针对云计算IaaS层漏洞检测方法的获得IaaS层漏洞检测指数的流程图。

具体实施方式

[0054] 下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0055] 应注意到,相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0056] 请参照图1,图1是本申请一些实施例中的针对云计算IaaS层漏洞检测方法的流程图。该针对云计算IaaS层漏洞检测方法用于终端设备中,例如电脑、手机终端等。该针对云计算IaaS层漏洞检测方法,包括以下步骤:
[0057] S11、获取主机数据,包括:主机存储空间数据、主机网络带宽数据、主机CPU占用率和虚拟机模板篡改数据;
[0058] S12、获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0059] S13、根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数;
[0060] S14、根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0061] S15、根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数;
[0062] S16、根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数;
[0063] S17、根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。
[0064] 需要说明的是,本申请通过对主机安全漏洞、存储安全漏洞以及网络安全漏洞的检测可实现对云计算IaaS层漏洞精准检测的目的,并可根据IaaS层漏洞等级智能匹配对应的漏洞修复策略,具体步骤如下:首先获取主机数据以及虚拟机系统数据,根据主机数据和虚拟机系统数据对虚拟机逃逸漏洞进行检测,然后处理获得主机安全漏洞检测指数,再对IaaS层分别进行存储安全漏洞和网络安全漏洞检测,最后根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级智能匹配对应的漏洞修复策略。
[0065] 根据本发明实施例,所述获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,包括:
[0066] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0067] 所述虚拟机权限数据包括:虚拟机存储权限数据、虚拟机访问权限数据;
[0068] 所述虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。
[0069] 需要说明的是,为了后续根据获取的虚拟机系统数据进行漏洞检测,需要获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,虚拟机权限数据包括:虚拟机存储权限数据和虚拟机访问权限数据,虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。
[0070] 请参照图2,图2是本申请一些实施例中的针对云计算IaaS层漏洞检测方法的获得虚拟机逃逸漏洞检测指数的流程图。根据本发明实施例,所述根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数,包括:
[0071] S21、根据所述虚拟机存储空间数据以及所述虚拟机存储权限数据利用预设缓冲区攻击器进行模拟攻击测试,获得缓冲区溢出漏洞检测指数;
[0072] S22、根据所述虚拟机访问权限数据利用预设模拟仿真指令对虚拟机进行权限提升测试,获得权限提升漏洞检测指数;
[0073] S23、根据所述缓冲区溢出漏洞检测指数以及所述权限提升漏洞检测指数处理获得虚拟机逃逸漏洞检测指数。
[0074] 需要说明的是,虚拟机逃逸攻击是指攻击者通过利用虚拟机管理程序中的漏洞,从权限范围内的虚拟机中逃脱并提升自己权限进而访问主机操作系统和其他无权限虚拟机的数据,一旦攻击者能够逃脱虚拟机,他们可以访问整个物理服务器上的所有数据和资源,因此对虚拟机进行逃逸漏洞检测是十分必要的,而缓冲区溢出类型的虚拟机逃逸漏洞是一种非常普遍、非常危险的漏洞,它可以利用溢出执行非授权指令,权限提升后甚至可以取得主机特权,因此,在对虚拟机逃逸漏洞进行检测的过程中,对于缓冲区溢出漏洞检测和权限提升漏洞检测是十分必要的;
[0075] 根据缓冲区溢出漏洞检测指数以及权限提升漏洞检测指数处理获得虚拟机逃逸漏洞检测指数;
[0076] 所述虚拟机逃逸漏洞检测指数的程序处理公式为:
[0077] ;
[0078] 其中, 为缓冲区溢出漏洞检测指数, 为权限提升漏洞检测指数, 、 为预设特征系数。
[0079] 根据本发明实施例,所述根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数,包括:
[0080] 根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0081] 所述主机安全漏洞检测指数的程序处理公式为:
[0082] ;
[0083] 其中, 为主机安全漏洞检测指数, 为虚拟机逃逸漏洞检测指数, 为主机CPU占用率, 为虚拟机模板篡改数据, 为虚拟机CPU占用率, 、 、 、 、 为预设特征系数。
[0084] 需要说明的是,当需要在同一个计算机上运行多台相同配置的虚拟机时,需要预先配置一个虚拟机模板,通过模板,用户无需从头开始配置一个新的虚拟机,而是直接基于模板进行部署,提高部署效率,然而在IaaS运行过程中会存在虚拟机系统模板被篡改的情况,尤其是存在一些被恶意篡改的现象,其主机所派生的虚拟机也会受到不同程度的影响,进而造成整个云计算系统运行中出现安全漏洞,出现利用虚拟机入侵主机的情况,因此在对主机进行漏洞检测过程中,虚拟机模板篡改数据是一项需要纳入考虑的基础指标。通常虚拟机与主机是共享资源的,而在一些特定的情况下,如果虚拟机强制占用过多的资源,就会出现其他虚拟机拒绝服务的情况,也会影响到主机的正常功能,因此在对主机进行漏洞检测过程中,对主机和虚拟机的CPU占用率进行分析是必要的。
[0085] 根据本发明实施例,所述根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数,包括:
[0086] 根据所述主机存储空间数据、虚拟机存储权限数据以及所述虚拟机存储空间数据并利用预设存储安全漏洞检测模型进行测试分析,获得存储安全漏洞检测指数。
[0087] 需要说明的是,在云计算中,IaaS层往往面临着虚拟化存储安全问题,每个授权用户只能访问权限范围内的存储数据,若发生存储安全漏洞,会直接影响到用户数据的安全性,甚至会造成大量数据泄漏、被篡改等现象,主要体现在虚拟机租户存储空间回收的环节,在回收虚拟机存储空间的过程中,为了保证存储空间释放的完全性,需要彻底清除原虚拟机租户的数据,同时,若发生缓冲区溢出则虚拟机将占用大量主机存储空间,因此进行存储安全漏洞检测时需要同时结合虚拟机存储权限数据以及虚拟机存储空间数据和主机存储空间数据进行检测结果的判定。
[0088] 根据本发明实施例,所述根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数,包括:
[0089] 根据所述主机网络带宽数据结合所述虚拟机网络带宽数据、虚拟机端口网络通信数据、虚拟防火墙数据以及所述虚拟机访问权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数。
[0090] 需要说明的是,网络是虚拟机运行必不可少的因素,更是保证主机以及虚拟机等相互通信的主要通道,网络流量控制不合理的情况下,也会直接影响到虚拟化网络运行的稳定性,因此需要对虚拟机流量进行控制,同时为了网络运行的安全性,需要对虚拟机的网络通信进行控制,禁止虚拟机端口进行网络通信嗅探,并加固防火墙,以避免虚拟机跨权限访问,以确保网络的安全性。因此,进行网络安全漏洞检测需要同时结合主机网络带宽数据、虚拟机网络带宽数据、虚拟机端口网络通信数据、虚拟防火墙数据以及虚拟机访问权限数据进行处理,以获得更加精确的网络安全漏洞检测结果。
[0091] 图3为本申请实施例提供的针对云计算IaaS层漏洞检测方法的获得IaaS层漏洞等级的流程图。根据本发明实施例,所述根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略,包括:
[0092] S31、根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞检测指数;
[0093] S32、将所述IaaS层漏洞检测指数与预设IaaS层漏洞检测指数阈值进行阈值对比,根据阈值对比结果所属的范围等级确定IaaS层漏洞等级;
[0094] S33、将所述IaaS层漏洞等级与预设IaaS层漏洞修复库进行漏洞等级匹配,根据漏洞等级匹配结果获得对应的漏洞修复策略。
[0095] 需要说明的是,为了获得更加准确的IaaS层漏洞检测结果,根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞检测指数;
[0096] 所述IaaS层漏洞检测指数的程序处理公式为:
[0097] ;
[0098] 其中, 为IaaS层漏洞检测指数, 为存储安全漏洞检测指数, 为网络安全漏洞检测指数, 、 、 、 为预设特征系数。
[0099] 本发明还公开了一种针对云计算IaaS层漏洞检测系统,包括存储器和处理器,所述存储器中包括针对云计算IaaS层漏洞检测方法程序,所述针对云计算IaaS层漏洞检测方法程序被所述处理器执行时实现如下步骤:
[0100] 获取主机数据,包括:主机存储空间数据、主机网络带宽数据、主机CPU占用率和虚拟机模板篡改数据;
[0101] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0102] 根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数;
[0103] 根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0104] 根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数;
[0105] 根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数;
[0106] 根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。
[0107] 需要说明的是,本申请通过对主机安全漏洞、存储安全漏洞以及网络安全漏洞的检测可实现对云计算IaaS层漏洞精准检测的目的,并可根据IaaS层漏洞等级智能匹配对应的漏洞修复策略,具体步骤如下:首先获取主机数据以及虚拟机系统数据,根据主机数据和虚拟机系统数据对虚拟机逃逸漏洞进行检测,然后处理获得主机安全漏洞检测指数,再对IaaS层分别进行存储安全漏洞和网络安全漏洞检测,最后根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级智能匹配对应的漏洞修复策略。
[0108] 根据本发明实施例,所述获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,包括:
[0109] 获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率;
[0110] 所述虚拟机权限数据包括:虚拟机存储权限数据、虚拟机访问权限数据;
[0111] 所述虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。
[0112] 需要说明的是,为了后续根据获取的虚拟机系统数据进行漏洞检测,需要获取虚拟机系统数据,包括:虚拟机存储空间数据、虚拟机权限数据、虚拟机网络空间数据和虚拟机CPU占用率,虚拟机权限数据包括:虚拟机存储权限数据和虚拟机访问权限数据,虚拟机网络空间数据包括:虚拟机网络带宽数据、虚拟机端口网络通信数据和虚拟防火墙数据。
[0113] 根据本发明实施例,所述根据所述虚拟机存储空间数据以及所述虚拟机权限数据处理获得虚拟机逃逸漏洞检测指数,包括:
[0114] 根据所述虚拟机存储空间数据以及所述虚拟机存储权限数据利用预设缓冲区攻击器进行模拟攻击测试,获得缓冲区溢出漏洞检测指数;
[0115] 根据所述虚拟机访问权限数据利用预设模拟仿真指令对虚拟机进行权限提升测试,获得权限提升漏洞检测指数;
[0116] 根据所述缓冲区溢出漏洞检测指数以及所述权限提升漏洞检测指数处理获得虚拟机逃逸漏洞检测指数。
[0117] 需要说明的是,虚拟机逃逸攻击是指攻击者通过利用虚拟机管理程序中的漏洞,从权限范围内的虚拟机中逃脱并提升自己权限进而访问主机操作系统和其他无权限虚拟机的数据,一旦攻击者能够逃脱虚拟机,他们可以访问整个物理服务器上的所有数据和资源,因此对虚拟机进行逃逸漏洞检测是十分必要的,而缓冲区溢出类型的虚拟机逃逸漏洞是一种非常普遍、非常危险的漏洞,它可以利用溢出执行非授权指令,权限提升后甚至可以取得主机特权,因此,在对虚拟机逃逸漏洞进行检测的过程中,对于缓冲区溢出漏洞检测和权限提升漏洞检测是十分必要的;
[0118] 根据缓冲区溢出漏洞检测指数以及权限提升漏洞检测指数处理获得虚拟机逃逸漏洞检测指数;
[0119] 所述虚拟机逃逸漏洞检测指数的程序处理公式为:
[0120] ;
[0121] 其中, 为缓冲区溢出漏洞检测指数, 为权限提升漏洞检测指数, 、 为预设特征系数。
[0122] 根据本发明实施例,所述根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数,包括:
[0123] 根据所述主机CPU占用率、虚拟机模板篡改数据结合所述虚拟机CPU占用率以及所述虚拟机逃逸漏洞检测指数进行处理,获得主机安全漏洞检测指数;
[0124] 所述主机安全漏洞检测指数的程序处理公式为:
[0125] ;
[0126] 其中, 为主机安全漏洞检测指数, 为虚拟机逃逸漏洞检测指数, 为主机CPU占用率, 为虚拟机模板篡改数据, 为虚拟机CPU占用率, 、 、 、 、 为预设特征系数。
[0127] 需要说明的是,当需要在同一个计算机上运行多台相同配置的虚拟机时,需要预先配置一个虚拟机模板,通过模板,用户无需从头开始配置一个新的虚拟机,而是直接基于模板进行部署,提高部署效率,然而在IaaS运行过程中会存在虚拟机系统模板被篡改的情况,尤其是存在一些被恶意篡改的现象,其主机所派生的虚拟机也会受到不同程度的影响,进而造成整个云计算系统运行中出现安全漏洞,出现利用虚拟机入侵主机的情况,因此在对主机进行漏洞检测过程中,虚拟机模板篡改数据是一项需要纳入考虑的基础指标。通常虚拟机与主机是共享资源的,而在一些特定的情况下,如果虚拟机强制占用过多的资源,就会出现其他虚拟机拒绝服务的情况,也会影响到主机的正常功能,因此在对主机进行漏洞检测过程中,对主机和虚拟机的CPU占用率进行分析是必要的。
[0128] 根据本发明实施例,所述根据所述主机存储空间数据结合所述虚拟机权限数据以及所述虚拟机存储空间数据利用预设存储安全漏洞检测模型进行测试,获得存储安全漏洞检测指数,包括:
[0129] 根据所述主机存储空间数据、虚拟机存储权限数据以及所述虚拟机存储空间数据并利用预设存储安全漏洞检测模型进行测试分析,获得存储安全漏洞检测指数。
[0130] 需要说明的是,在云计算中,IaaS层往往面临着虚拟化存储安全问题,每个授权用户只能访问权限范围内的存储数据,若发生存储安全漏洞,会直接影响到用户数据的安全性,甚至会造成大量数据泄漏、被篡改等现象,主要体现在虚拟机租户存储空间回收的环节,在回收虚拟机存储空间的过程中,为了保证存储空间释放的完全性,需要彻底清除原虚拟机租户的数据,同时,若发生缓冲区溢出则虚拟机将占用大量主机存储空间,因此进行存储安全漏洞检测时需要同时结合虚拟机存储权限数据以及虚拟机存储空间数据和主机存储空间数据进行检测结果的判定。
[0131] 根据本发明实施例,所述根据所述主机网络带宽数据结合所述虚拟机网络空间数据以及所述虚拟机权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数,包括:
[0132] 根据所述主机网络带宽数据结合所述虚拟机网络带宽数据、虚拟机端口网络通信数据、虚拟防火墙数据以及所述虚拟机访问权限数据利用预设网络安全漏洞测试工具进行测试,获得网络安全漏洞检测指数。
[0133] 需要说明的是,网络是虚拟机运行必不可少的因素,更是保证主机以及虚拟机等相互通信的主要通道,网络流量控制不合理的情况下,也会直接影响到虚拟化网络运行的稳定性,因此需要对虚拟机流量进行控制,同时为了网络运行的安全性,需要对虚拟机的网络通信进行控制,禁止虚拟机端口进行网络通信嗅探,并加固防火墙,以避免虚拟机跨权限访问,以确保网络的安全性。因此,进行网络安全漏洞检测需要同时结合主机网络带宽数据、虚拟机网络带宽数据、虚拟机端口网络通信数据、虚拟防火墙数据以及虚拟机访问权限数据进行处理,以获得更加精确的网络安全漏洞检测结果。
[0134] 根据本发明实施例,所述根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略,包括:
[0135] 根据所述主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞检测指数;
[0136] 将所述IaaS层漏洞检测指数与预设IaaS层漏洞检测指数阈值进行阈值对比,根据阈值对比结果所属的范围等级确定IaaS层漏洞等级;
[0137] 将所述IaaS层漏洞等级与预设IaaS层漏洞修复库进行漏洞等级匹配,根据漏洞等级匹配结果获得对应的漏洞修复策略。
[0138] 需要说明的是,为了获得更加准确的IaaS层漏洞检测结果,根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞检测指数;
[0139] 所述IaaS层漏洞检测指数的程序处理公式为:
[0140] ;
[0141] 其中, 为IaaS层漏洞检测指数, 为存储安全漏洞检测指数, 为网络安全漏洞检测指数, 、 、 、 为预设特征系数。
[0142] 本发明第三方面提供了一种可读存储介质,所述可读存储介质中包括针对云计算IaaS层漏洞检测方法程序,所述针对云计算IaaS层漏洞检测方法程序被处理器执行时,实现如上述任一项所述的针对云计算IaaS层漏洞检测方法的步骤。
[0143] 本发明公开的一种针对云计算IaaS层漏洞检测方法、系统和介质,首先获取主机数据以及虚拟机系统数据,根据主机数据和虚拟机系统数据对虚拟机逃逸漏洞进行检测,然后处理获得主机安全漏洞检测指数,再对IaaS层分别进行存储安全漏洞和网络安全漏洞检测,最后根据主机安全漏洞检测指数、存储安全漏洞检测指数和网络安全漏洞检测指数进行处理,获得IaaS层漏洞等级,根据IaaS层漏洞等级匹配对应的漏洞修复策略。本申请通过对主机安全漏洞、存储安全漏洞以及网络安全漏洞的检测实现对云计算IaaS层漏洞精准检测并根据IaaS层漏洞等级智能匹配对应的漏洞修复策略的目的。
[0144] 在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
[0145] 上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
[0146] 另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0147] 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0148] 或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。