面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)及方法
【專利摘要】本發(fā)明公開(kāi)了一種面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)及方法����,屬于信息安全領(lǐng)域���,包括用戶行為異常檢測(cè)�����、虛擬機(jī)遷移����、安全隔離三個(gè)實(shí)施階段。首先,將相同密級(jí)網(wǎng)絡(luò)的用戶與虛擬機(jī)綁定起來(lái)�����,利用相同密級(jí)網(wǎng)絡(luò)中用戶操作行為之間的相似性構(gòu)建用戶行為特征庫(kù)�����;其次�,將實(shí)時(shí)用戶行為特征與歷史用戶行為特征庫(kù)匹配,計(jì)算用戶當(dāng)前操作威脅等級(jí)���,選擇遷移目標(biāo)主機(jī)����,將具有潛在威脅的虛擬機(jī)遷移到虛擬機(jī)安全隔離模型中執(zhí)行�;最后���,虛擬機(jī)安全隔離模型代為執(zhí)行虛擬機(jī)進(jìn)程請(qǐng)求的系統(tǒng)調(diào)用���。該方法避免了虛擬機(jī)進(jìn)程直接訪問(wèn)宿主機(jī)系統(tǒng)資源,減少虛擬機(jī)進(jìn)程對(duì)內(nèi)核的依賴��,提高了宿主機(jī)系統(tǒng)的安全性�,達(dá)到了虛擬機(jī)安全隔離的目的。
【專利說(shuō)明】面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全領(lǐng)域����,涉及云計(jì)算中的虛擬化技術(shù),尤其是一種面向多安全等級(jí)虛擬桌面系統(tǒng)中虛擬機(jī)安全隔離系統(tǒng)及方法�����。
【背景技術(shù)】
[0002]隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的部署,系統(tǒng)資源在規(guī)模上不斷擴(kuò)展�,當(dāng)前計(jì)算機(jī)領(lǐng)域面臨著如何保護(hù)數(shù)據(jù)中心信息安全以及充分利用硬件資源的重大問(wèn)題。傳統(tǒng)的桌面PC作為IT資源中最普遍也是最重要的辦公設(shè)備�,越來(lái)越暴露出它的弊端和不便,例如:系統(tǒng)安全性不高���,信息易泄露���,資源利用率低等問(wèn)題。然而���,云桌面解決方案的出現(xiàn)���,讓虛擬化技術(shù)又迎來(lái)了一個(gè)新的春天。虛擬化技術(shù)通過(guò)在一個(gè)物理平臺(tái)上虛擬出更多的虛擬機(jī)���,其中每一個(gè)虛擬機(jī)可以作為獨(dú)立的終端加入到云端的分布式系統(tǒng)����。因此�����,同直接使用物理平臺(tái)相比較,使用虛擬化技術(shù)使得資源在有效利用��、動(dòng)態(tài)調(diào)配���、高可靠性等方面有著巨大的優(yōu)勢(shì)�����。
[0003]近年來(lái),云計(jì)算的興起��,支撐著云計(jì)算的虛擬化技術(shù)得到了飛速發(fā)展����,利用虛擬化技術(shù)可以更加充分地利用原有的IT資源,并日益成為云桌面解決方案技術(shù)研究的熱點(diǎn)�����。
[0004]可是����,在安全性方面,虛擬桌面系統(tǒng)中虛擬機(jī)操作系統(tǒng)之間面臨的一個(gè)挑戰(zhàn)來(lái)自于互相之間存在的相互獨(dú)立性和資源互操作性之間的矛盾����,即每個(gè)虛擬機(jī)都希望能夠運(yùn)行在一個(gè)相對(duì)獨(dú)立的系統(tǒng)環(huán)境下��,不受其他虛擬機(jī)的影響���,同時(shí)能夠限制虛擬機(jī)對(duì)宿主機(jī)系統(tǒng)敏感資源的訪問(wèn),以此防止惡意代碼的執(zhí)行�����,達(dá)到保護(hù)虛擬機(jī)寄宿主機(jī)操作系統(tǒng)資源安全的目的�。云計(jì)算通常使用服務(wù)器虛擬化技術(shù)利用各個(gè)虛擬機(jī)之間天然的自然分離安全優(yōu)勢(shì),在不同虛擬桌面用戶之間形成某種程度的虛擬機(jī)安全隔離�。虛擬機(jī)安全技術(shù)包括:監(jiān)督模式執(zhí)行保護(hù)(Supervision Mode Execution Protection, SMEP),控制群組(ControlGroups, cgroups), Linux 內(nèi)核安全特性 SELinux (Security-Enhanced Linux), RedHat 公司的sVirt技術(shù),Intel公司的可信執(zhí)行技術(shù)(Trusted Execution Technology, TXT),以及客戶機(jī)鏡像文件加密等�。然而,憑借虛擬化安全技術(shù)自然實(shí)現(xiàn)的虛擬機(jī)與宿主機(jī)之間的隔離并不具有抵抗惡意攻擊的強(qiáng)度����。
[0005]目前,研究者們針對(duì)虛擬機(jī)的安全隔離機(jī)制����,提出了基于虛擬化技術(shù)的虛擬安全隔離機(jī)制。Figueiredo, Santhanam, Krsul等人分別提出了基于虛擬機(jī)技術(shù)實(shí)現(xiàn)的Grid環(huán)境下的隔離執(zhí)行機(jī)制�����。但是,此類基于虛擬機(jī)的安全隔離機(jī)制的研究主要集中于實(shí)現(xiàn)隔離系統(tǒng)的方式����,無(wú)法實(shí)現(xiàn)對(duì)宿主機(jī)系統(tǒng)資源的直接重用。此外���,一些研究者提出了平臺(tái)安全的虛擬化方法��,通過(guò)控制內(nèi)存管理單元來(lái)對(duì)操作系統(tǒng)內(nèi)核遮蔽應(yīng)用程序內(nèi)存�,即使操作系統(tǒng)內(nèi)核被惡意控制也不能訪問(wèn)被遮蔽的應(yīng)用程序內(nèi)存����,然而此種由虛擬機(jī)監(jiān)控器(VirtualMachine Monitor, VMM)以及管理虛擬機(jī)(Management VM, MVM)實(shí)現(xiàn)的虛擬機(jī)之間的隔離并不能有效抵御由系統(tǒng)管理員的數(shù)據(jù)中心內(nèi)部攻擊者發(fā)起的攻擊���。
[0006]簡(jiǎn)而言之���,目前所有數(shù)據(jù)中心虛擬機(jī)安全隔離解決方案還沒(méi)有針對(duì)多安全等級(jí)虛擬桌面系統(tǒng)的情況,以及現(xiàn)有的虛擬機(jī)安全隔離機(jī)制無(wú)法解決宿主機(jī)系統(tǒng)資源重用�����、超權(quán)限者內(nèi)部發(fā)起攻擊等問(wèn)題。綜上所述��,提出一種面向多安全等級(jí)虛擬桌面系統(tǒng)中虛擬機(jī)安全隔離系統(tǒng)及方法�。
【發(fā)明內(nèi)容】
[0007]針對(duì)以上現(xiàn)有技術(shù)中的不足,本發(fā)明的目的在于提供一種有效地保護(hù)宿主機(jī)操作系統(tǒng)資源安全面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)及方法�����,本發(fā)明的技術(shù)方案如下:
[0008]一種面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)����,其包括用戶行為采集模塊、用戶行為建模模塊���、用戶行為分析模塊�����、響應(yīng)模塊����、虛擬機(jī)遷移模塊以及虛擬機(jī)隔離模塊���;其中
[0009]用戶行為采集模塊:用于獲取用戶所對(duì)應(yīng)虛擬機(jī)的流量消耗值���、內(nèi)存占用率�、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值���,并對(duì)獲得的流量消耗值�����、內(nèi)存占用率���、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值進(jìn)行過(guò)濾預(yù)處理;
[0010]用戶行為建模模塊:用于根據(jù)用戶行為采集模塊預(yù)處理后的訓(xùn)練數(shù)據(jù)建立用戶行為特征庫(kù)����;
[0011]用戶行為分析模塊:用于根據(jù)用戶行為采集模塊實(shí)時(shí)采集的用戶對(duì)應(yīng)虛擬機(jī)的數(shù)據(jù)作為輸入量,并以用戶行為特征庫(kù)作為參考量分析用戶的行為正?���;蚴钱惓?����;
[0012]響應(yīng)模塊:用于對(duì)所述用戶行為分析模塊的分析結(jié)果進(jìn)行響應(yīng)���,當(dāng)監(jiān)測(cè)到異常時(shí)��,根據(jù)用戶日志庫(kù)中記錄的用戶行為威脅等級(jí)進(jìn)行停機(jī)處理或遷移處理���;
[0013]虛擬機(jī)遷移模塊:用于當(dāng)響應(yīng)模塊發(fā)出遷移處理指令時(shí)��,選擇遷移目的主機(jī)���,進(jìn)行虛擬機(jī)的遷移;
[0014]虛擬機(jī)隔離模塊:用于建立裝載待遷移虛擬機(jī)的安全隔離模型�。
[0015]一種基于所述系統(tǒng)的面向多安全等級(jí)虛擬桌面系統(tǒng)中虛擬機(jī)的安全隔離方法,其包括以下步驟:
[0016]201����、獲取用戶所對(duì)應(yīng)虛擬機(jī)的流量消耗值、內(nèi)存占用率����、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值,并對(duì)獲得的流量消耗值��、內(nèi)存占用率�����、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值進(jìn)行過(guò)濾預(yù)處理;
[0017]202�����、將正常用戶的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)��,根據(jù)預(yù)處理后的訓(xùn)練數(shù)據(jù)建立用戶行為特征庫(kù)����;
[0018]203、根據(jù)實(shí)時(shí)采集的用戶對(duì)應(yīng)虛擬機(jī)的數(shù)據(jù)作為輸入量��,并以用戶行為特征庫(kù)作為參考量分析用戶的行為正?��;蚴钱惓?;
[0019]204���、對(duì)步驟203中的分析結(jié)果進(jìn)行監(jiān)測(cè)�����,當(dāng)監(jiān)測(cè)到異常時(shí),根據(jù)用戶日志庫(kù)中記錄的用戶行為威脅等級(jí)進(jìn)行停機(jī)處理或遷移處理�����;
[0020]205、當(dāng)響應(yīng)模塊發(fā)出遷移處理指令時(shí)�,選擇遷移目的主機(jī),進(jìn)行虛擬機(jī)的遷移�;并將待遷移虛擬機(jī)裝載進(jìn)安全隔離模型,實(shí)現(xiàn)虛擬機(jī)的安全隔離���。
[0021]步驟203中運(yùn)用k-means聚類算法來(lái)檢測(cè)當(dāng)前用戶行為�����,判斷當(dāng)前用戶操作行為是否異常���。
[0022]步驟205中遷移目的主機(jī)的選擇步驟包括:
[0023]Al、限定宿主機(jī)負(fù)載的上限閾值Lvni _和下限閾值Lvni niin;
[0024]A2����、對(duì)宿主機(jī)后續(xù)時(shí)間節(jié)點(diǎn)負(fù)載趨勢(shì)進(jìn)行預(yù)測(cè),在負(fù)載呈下降趨勢(shì)的宿主機(jī)中選擇遷移目的主機(jī)�����。
[0025]本發(fā)明的優(yōu)點(diǎn)及有益效果如下:
[0026]本發(fā)明的方法通過(guò)對(duì)KVM自身的安全機(jī)制研究,從目前虛擬機(jī)隔離研究存在的問(wèn)題入手提出一種集異常檢測(cè)技術(shù)�����、遷移技術(shù)和沙箱技術(shù)為一體的虛擬機(jī)安全隔離方法���。該方法運(yùn)用可信計(jì)算平臺(tái)��,將相同密級(jí)網(wǎng)絡(luò)的用戶行為和虛擬機(jī)關(guān)聯(lián)起來(lái)��,在用戶日志庫(kù)中�,記錄了每個(gè)虛擬機(jī)用戶的操作歷史資料�,并且計(jì)算出每個(gè)虛擬機(jī)所對(duì)應(yīng)的用戶實(shí)時(shí)操作行為的威脅等級(jí),虛擬機(jī)遷移模塊則根據(jù)計(jì)算出的威脅等級(jí)做出遷移響應(yīng)���,將具有潛在威脅的虛擬機(jī)遷移至虛擬機(jī)安全隔離模型�����,當(dāng)運(yùn)行于虛擬機(jī)安全隔離模型中的虛擬機(jī)請(qǐng)求執(zhí)行系統(tǒng)調(diào)用時(shí)�,由虛擬機(jī)安全隔離模型代為執(zhí)行���,即將模擬處理器QEMU模擬產(chǎn)生的系統(tǒng)調(diào)用轉(zhuǎn)化成進(jìn)程間通信(Inter-Process Communication, IPC)請(qǐng)求,傳送到虛擬機(jī)安全隔離模型�����,最后虛擬機(jī)安全隔離模型根據(jù)制定的強(qiáng)關(guān)聯(lián)訪問(wèn)策略訪問(wèn)系統(tǒng)資源��,最后把運(yùn)算結(jié)果返回給虛擬機(jī)���。該虛擬機(jī)安全隔離方法引入了相同密級(jí)網(wǎng)絡(luò)用戶操作行為的相似性,將用戶行為和特定虛擬機(jī)綁定形成強(qiáng)關(guān)聯(lián)訪問(wèn)控制策略���,由虛擬機(jī)安全隔離模型代為執(zhí)行系統(tǒng)調(diào)用訪問(wèn)宿主機(jī)系統(tǒng)資源�,中轉(zhuǎn)計(jì)算結(jié)果給虛擬機(jī)���,避免了虛擬機(jī)直接訪問(wèn)宿主機(jī)系統(tǒng)資源,減少虛擬機(jī)對(duì)內(nèi)核的依賴,提高了宿主機(jī)系統(tǒng)的安全性�。
【專利附圖】
【附圖說(shuō)明】
[0027]圖1是本發(fā)明的一個(gè)優(yōu)選實(shí)施例系統(tǒng)結(jié)構(gòu)示意圖����;
[0028]圖2是本發(fā)明的優(yōu)選實(shí)施例實(shí)施結(jié)構(gòu)示意圖;
[0029]圖3是本發(fā)明的用戶行為異常檢測(cè)結(jié)構(gòu)示意圖�;
[0030]圖4是本發(fā)明的虛擬機(jī)遷移結(jié)構(gòu)示意圖;
[0031]圖5是本發(fā)明的虛擬機(jī)安全隔離模型執(zhí)行流程示意圖���。
【具體實(shí)施方式】
[0032]下面結(jié)合附圖給出一個(gè)非限定性的實(shí)施例對(duì)本發(fā)明作進(jìn)一步的闡述�����。
[0033]如圖1所示為本發(fā)明的實(shí)施例系統(tǒng)結(jié)構(gòu)圖��,包括:客戶端�����、安全認(rèn)證網(wǎng)關(guān)�����、服務(wù)器端三大模塊���。其中�����,面向用戶的客戶端可以是普通電腦����,也可以是瘦客戶端或者專用小型機(jī)終端�;安全認(rèn)證網(wǎng)關(guān)功能是提供一個(gè)完整的多密級(jí)網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證,實(shí)現(xiàn)對(duì)多密級(jí)網(wǎng)絡(luò)用戶的統(tǒng)一認(rèn)證和管理�;服務(wù)器端硬件可以采用中端或者高端配置服務(wù)器��,通過(guò)服務(wù)器虛擬化技術(shù)在宿主機(jī)系統(tǒng)上按需創(chuàng)建虛擬機(jī)�,每個(gè)虛擬機(jī)對(duì)應(yīng)一個(gè)終端桌面用戶����。
[0034]如圖2所示為本發(fā)明的實(shí)施結(jié)構(gòu)示意圖�����。面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)���,其包括用戶行為采集模塊�����、用戶行為建模模塊�、用戶行為分析模塊�、響應(yīng)模塊、虛擬機(jī)遷移模塊以及虛擬機(jī)隔離模塊����;其中
[0035]用戶行為采集模塊:用于獲取用戶所對(duì)應(yīng)虛擬機(jī)的流量消耗值、內(nèi)存占用率��、存儲(chǔ)增長(zhǎng)量及系統(tǒng)調(diào)用時(shí)間值,并對(duì)獲得的流量消耗值�、內(nèi)存占用率、存儲(chǔ)增長(zhǎng)量及系統(tǒng)調(diào)用時(shí)間值進(jìn)行過(guò)濾預(yù)處理��;
[0036]用戶行為建模模塊:用于根據(jù)用戶行為采集模塊預(yù)處理后的訓(xùn)練數(shù)據(jù)建立用戶行為特征庫(kù)���;
[0037]用戶行為分析模塊:用于根據(jù)用戶行為采集模塊實(shí)時(shí)采集的用戶對(duì)應(yīng)虛擬機(jī)的數(shù)據(jù)作為輸入量�����,并以用戶行為特征庫(kù)作為參考量分析用戶的行為正?��;蚴钱惓#?br>
[0038]響應(yīng)模塊:用于對(duì)所述用戶行為分析模塊的分析結(jié)果進(jìn)行響應(yīng)�����,當(dāng)監(jiān)測(cè)到異常時(shí)���,根據(jù)用戶日志庫(kù)中記錄的用戶行為威脅等級(jí)進(jìn)行停機(jī)處理或遷移處理�;
[0039]虛擬機(jī)遷移模塊:用于當(dāng)響應(yīng)模塊發(fā)出遷移處理指令時(shí)����,選擇遷移目的主機(jī)���,進(jìn)行虛擬機(jī)的遷移;
[0040]虛擬機(jī)隔離模塊:用于建立裝載待遷移虛擬機(jī)的安全隔離模型����。
[0041]具體說(shuō)明本發(fā)明的詳細(xì)實(shí)施過(guò)程,主要包括如下3個(gè)步驟:
[0042]S1:對(duì)綁定用戶身份虛擬機(jī)的用戶行為進(jìn)行統(tǒng)計(jì)和分析��,即異常檢測(cè)����;
[0043]S2:根據(jù)用戶行為威脅等級(jí)觸發(fā)相應(yīng)的虛擬機(jī)遷移操作���,即虛擬機(jī)遷移����;
[0044]S3:對(duì)遷移到安全隔離模型中的虛擬機(jī)進(jìn)行系統(tǒng)調(diào)用中轉(zhuǎn)執(zhí)行�,即虛擬機(jī)隔離。
[0045]上述步驟SI用戶行為異常檢測(cè)操作參照?qǐng)D3所示����,具體可以分為如下3個(gè)步驟:
[0046]Sll:用戶行為采集模塊是獲取用戶所對(duì)應(yīng)虛擬機(jī)的流量消耗、內(nèi)存占用���、存儲(chǔ)增長(zhǎng)��、系統(tǒng)調(diào)用時(shí)間等數(shù)據(jù)����,并對(duì)該多維數(shù)據(jù)進(jìn)行預(yù)處理,然后把處理過(guò)的數(shù)據(jù)傳送給用戶行為建模模塊來(lái)對(duì)用戶行為進(jìn)行建模�。其中,需要收集的數(shù)據(jù)為用戶正常情況下使用虛擬桌面服務(wù)的數(shù)據(jù)��。
[0047]S12:用戶行為建模模塊的主要任務(wù)是負(fù)責(zé)建立多密級(jí)網(wǎng)絡(luò)系統(tǒng)中用戶的正常行為特征庫(kù)���。用戶行為特征庫(kù)是指用戶特定數(shù)據(jù)的一個(gè)記錄���,具體描述了用戶是如何使用虛擬桌面服務(wù)的,包括每天不同時(shí)段內(nèi)的流量使用序列���、系統(tǒng)調(diào)用序列等�����。
[0048]S13:用戶行為分析模塊實(shí)時(shí)接收用戶對(duì)應(yīng)虛擬機(jī)的流量消耗�、內(nèi)存占用�����、存儲(chǔ)增長(zhǎng)、系統(tǒng)調(diào)用時(shí)間這四維特征向量�����,將其作為分析模塊輸入特征向量�����,并計(jì)算檢測(cè)結(jié)果�。新的用戶行為Xi歸屬于用戶特征庫(kù)X,當(dāng)判斷為正常行為時(shí)需要對(duì)用戶特征庫(kù)X進(jìn)行更新�,豐富特征庫(kù)樣本容量����。同時(shí),將得到的異常結(jié)果更新到用戶日志庫(kù)���,以便響應(yīng)模塊查詢�。
[0049]其中�,所述步驟S13中用戶行為特征庫(kù)更新操作分為如下3個(gè)步驟:
[0050]S131:若XP+1=Xi,那么X={X∪XPX+1};
[0051]S132:x中同密級(jí)網(wǎng)絡(luò)用戶行為類中心
【權(quán)利要求】
1.一種面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離系統(tǒng)���,其特征在于:包括用戶行為采集模塊����、用戶行為建模模塊、用戶行為分析模塊����、響應(yīng)模塊、虛擬機(jī)遷移模塊以及虛擬機(jī)隔離模塊��;其中 用戶行為采集模塊:用于獲取用戶所對(duì)應(yīng)虛擬機(jī)的流量消耗值�、內(nèi)存占用率、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值�,并對(duì)獲得的流量消耗值、內(nèi)存占用率�����、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值進(jìn)行過(guò)濾預(yù)處理�����; 用戶行為建模模塊:用于根據(jù)用戶行為采集模塊預(yù)處理后的訓(xùn)練數(shù)據(jù)建立用戶行為特征庫(kù)��; 用戶行為分析模塊:用于根據(jù)用戶行為采集模塊實(shí)時(shí)采集的用戶對(duì)應(yīng)虛擬機(jī)的數(shù)據(jù)作為輸入量,并以用戶行為特征庫(kù)作為參考量分析用戶的行為正?����;蚴钱惓?��; 響應(yīng)模塊:用于對(duì)所述用戶行為分析模塊的分析結(jié)果進(jìn)行響應(yīng)�,當(dāng)監(jiān)測(cè)到異常時(shí)��,根據(jù)用戶日志庫(kù)中記錄的用戶行為威脅等級(jí)進(jìn)行停機(jī)處理或遷移處理����; 虛擬機(jī)遷移模塊:用于當(dāng)響應(yīng)模塊發(fā)出遷移處理指令時(shí),選擇遷移目的主機(jī)��,進(jìn)行虛擬機(jī)的遷移�; 虛擬機(jī)隔離模塊:用于建立裝載待遷移虛擬機(jī)的安全隔離模型。
2.一種基于權(quán)利要求1所述系統(tǒng)的面向多安全等級(jí)虛擬桌面系統(tǒng)中虛擬機(jī)的安全隔離方法�,其特征在于包括以下步驟: 201�����、獲取用戶所對(duì)應(yīng)虛擬機(jī)的流量消耗值�����、內(nèi)存占用率、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值�����,并對(duì)獲得的流量消耗值�����、內(nèi)存占用率����、存儲(chǔ)增長(zhǎng)量以及系統(tǒng)調(diào)用時(shí)間值進(jìn)行過(guò)濾預(yù)處理; 202��、將正常用戶的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)���,根據(jù)預(yù)處理后的訓(xùn)練數(shù)據(jù)建立用戶行為特征庫(kù)�; 203�、根據(jù)實(shí)時(shí)采集的用戶對(duì)應(yīng)虛擬機(jī)的數(shù)據(jù)作為輸入量,并以用戶行為特征庫(kù)作為參考量分析用戶的行為正?����;蚴钱惓#? 204��、對(duì)步驟203中的分析結(jié)果進(jìn)行監(jiān)測(cè)���,當(dāng)監(jiān)測(cè)到異常時(shí)����,根據(jù)用戶日志庫(kù)中記錄的用戶行為威脅等級(jí)進(jìn)行停機(jī)處理或遷移處理�����; 205�、當(dāng)響應(yīng)模塊發(fā)出遷移處理指令時(shí),選擇遷移目的主機(jī)��,進(jìn)行虛擬機(jī)的遷移�;并將待遷移虛擬機(jī)裝載進(jìn)安全隔離模型,實(shí)現(xiàn)虛擬機(jī)的安全隔離���。
3.根據(jù)權(quán)利要求2所述的面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離方法��,其特征在于,步驟203中運(yùn)用k-means聚類算法來(lái)檢測(cè)當(dāng)前用戶行為�,判斷當(dāng)前用戶操作行為是否異常���。
4.根據(jù)權(quán)利要求2所述的面向多安全等級(jí)虛擬桌面系統(tǒng)虛擬機(jī)安全隔離方法,其特征在于��,步驟205中遷移目的主機(jī) 的選擇步驟包括: Al��、限定宿主機(jī)負(fù)載的上限閾值Lvm-max和下限閾值Lvm-min; A2�、對(duì)宿主機(jī)后續(xù)時(shí)間節(jié)點(diǎn)負(fù)載趨勢(shì)進(jìn)行預(yù)測(cè),在負(fù)載呈下降趨勢(shì)的宿主機(jī)中選擇遷移目的主機(jī)�����。
【文檔編號(hào)】G06F21/53GK103902885SQ201410076591
【公開(kāi)日】2014年7月2日 申請(qǐng)日期:2014年3月4日 優(yōu)先權(quán)日:2014年3月4日
【發(fā)明者】肖云鵬, 龔波, 劉宴兵, 蹇怡, 徐光俠, 許書(shū)彬, 袁仲, 張海軍, 董濤 申請(qǐng)人:重慶郵電大學(xué), 中國(guó)電子科技集團(tuán)公司第五十四研究所