CN104735063A - 一种用于云基础设施的安全评测方法 - Google Patents
一种用于云基础设施的安全评测方法 Download PDFInfo
- Publication number
- CN104735063A CN104735063A CN201510107604.0A CN201510107604A CN104735063A CN 104735063 A CN104735063 A CN 104735063A CN 201510107604 A CN201510107604 A CN 201510107604A CN 104735063 A CN104735063 A CN 104735063A
- Authority
- CN
- China
- Prior art keywords
- test
- appraisal
- mirror image
- resource
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012360 testing method Methods 0.000 claims abstract description 292
- 230000000694 effects Effects 0.000 claims description 62
- 238000011156 evaluation Methods 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 23
- 238000004422 calculation algorithm Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 8
- 230000015572 biosynthetic process Effects 0.000 claims description 7
- 238000011084 recovery Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 5
- 239000000203 mixture Substances 0.000 claims description 4
- 238000012856 packing Methods 0.000 claims description 4
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 3
- 238000011002 quantification Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N ***e Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000009863 impact test Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011158 quantitative evaluation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及信息安全技术领域,尤其是一种用于云基础设施的安全评测方法。所述的方法由调度模块、测评软件库、测评镜像、测评配置库、测评结果库、分析模块、测评需求书、测评报告等模块构成的装置完成;在测评前用户预先做测评软件库的配置工作;先把市场上已有的针对云基础设施的安全测评软件、自主编写的测评软件程序上传至测评软件库中;然后按照通常的分类:***安全、网络安全、数据安全、行为安全等,对这些软件进行分类,划分到不同的“测评软件列表”;测评软件库可以不断地更新,确保测评软件的先进性、成熟性。本发明解决了信息安全测评方法与云计算相适应的问题;可以用于云基础设施的安全评测。
Description
技术领域
本发明涉及信息安全技术领域,尤其是一种用于云基础设施的安全评测方法。
背景技术
云基础设施:是指为支撑各种云计算服务而构建的软硬件体系的统称,它包含物理基础设施资源和虚拟基础设施资源。虚拟基础设施资源是在物理基础设施资源的基础上利用虚拟化技术构建的虚拟资源,涉及操作***、存储、网络以及CPU等一系列硬件和软件资源。
信息安全科目:按照信息***安全涉及的不同领域,分为***安全、行为安全、数据安全、网络安全、终端安全等科目。
信息安全评测:利用人工、半自动化和自动化工具对计算机***进行安全测试和评价,其目的在于检验是否满足安全需求并弄清期望结果与测试实际结果的差别,从而发现***存在的安全问题。
资源单位:对云基础设施测评时,将可量化额度的计算、存储等物理资源集合抽象为一个可独立运行的实体。具体通过虚拟化技术实现。
测评镜像:将资源单位、测评软件程序等打包成一个虚拟机镜像。
测评活动:对云基础设施中指定范围内的或者全部资源进行从安装测评镜像到记录测评结果的安全测评过程。
测评需求书:一种文档,其62记录了本次测评活动的关键技术点,例如对多大物理网络边界范围内的云基础实施设备进行测评、测评人员、测评时间及其他有关要求。
测评报告:通过分析测评数据,对云基础设施的不同信息安全领域和整体安全状态进行评价、并给出整改建议的文档。
轮询调度算法:算法原理是每一次把来自用户的请求轮流分配给请求者器,从1开始,直到N(请求者个数),然后重新开始循环。算法的优点是其简洁性和公平性,它无需记录当前所有连接的状态,所以是无状态调度。
云计算作为一种能够提供资源共享、按需服务的新型信息技术,当前已经在电子政务、教育、医疗等较大范围内得到普及。由政府、企业牵头建设的大型云基础设施日益增多。然而,在享受云计算带来便捷、易扩展计算和存储能力的同时,由于云计算在网络拓扑结构、使用模式等方面都与传统计算机***有着巨大区别,许多传统安全防护措施在云计算环境中失效,云基础设施自身安全正面临着巨大挑战。近年来相关的信息安全事故常有发生。
评估***的安全性是研究***安全状态的重要手段和前提。与针对传统计算机***的信息安全评估一样,云基础设施的安全性评估需要对其进行安全评测,其目的在于检验是否满足云计算的安全需求并弄清期望结果与测试结果的差别,从而发现***存在的安全问题。
经检索,发明人发现,与本申请最为相关的文献有:
1、CN2012101308311(名称:一种云计算环境安全量化评估***)的中国专利申请公开了一种云计算环境安全量化评估***。所述的***分为三部分,分别为:信息采集模块,管理分析模块和Web查询模块,所述三大功能模块可挂接方式连接。该发明基于云计算环境安全量化评估指标模型,采用自动化、半自动化、人工访谈等多种形式相结合的方式,对各类云计算环境进行信息安全量化评估。
2、《云计算平台的访问控制评测技术研究》(李文雪,哈尔滨工业大学,2013,硕士学位论文)设计并实现了能对***的访问控制安全性进行自动化评测的***。该***通过向待测***中嵌入访问控制测试接口,实现远程对待测***的访问控制安全性进行评测。该评测***采用C/S架构,主要分为两部分:评测工具客户端和待测***。评测工具客户端的功能子模块包括:界面、测试库、测试分析模块、测试用例生成模块、测试执行模块、测试结果采集模块,测试结果处理模块和部署于待测***的测试接口。
3、CN201110316666.4(名称:一种面向云计算的网络安全预警方法)的中国专利申请公开了网络安全预警方法。为了保证云计算环境下网络通信的安全可靠,动态实时地识别和监控云计算环境下各种攻击企图和行为,为面向云计算下各种网络攻击提供实时预警和安全防护的方法。它主要有安全事件采集器、安全事件处理器、安全状态分析器以及网络安全预警操作核心等部分组成。通过Agent技术和Apriori关联规则算法来解决云计算环境下网络安全预警问题。
纵观现有技术发现存在以下方面的问题:
1、现有已公开的资料多是用户自己编写评测脚本去测试云基础设施的安全状态,但受限于技术水平,这样未必能够全面和深入的了解云基础设施的安全状况。市面上已经有不少开源的功能全面、性能较好的评测软件,例如漏洞扫描的Nessus,入侵检测的Snort等,完全可以按需组合不同的评测软件,对云基础设施实施更全面、深入的安全状态评估。
2、现有技术手段基本遵循的思路是:在云基础设施中的不同主机上安装代理Agent采集数据,通过网络返回数据给管理分析模块进行分析处理。这仍旧是传统信息安全防护理念,存在资源分配可扩展性不够好的缺点。具体论述如下:
若多个Agent采集的信息数据量很大,对信息的去重、转换、归并等操作将给分析处理模块带来很高的工作负载。但现有公开资料却少有论述测试分析模块的体系结构,即是否是单个节点来处理,如果是单个节点处理,那么又会陷入“C/S”架构的问题,即单个节点容易陷入负载过高的局面。若是采用多服务器或者集群,则采集端与后台存储两种***之间海量测评数据的导入、存储等问题处理起来也较为麻烦。而且事先难以估计对计算、存储资源的需求量,可能导致在评测过程中发现现有资源跟不上实际需求,又一时难以调配,影响评测进程;同时分配过多资源也容易造成浪费,总的来说不够灵活。
3、在云基础设施中部署代理采集测评数据,且自主上报数据给后台容易造成信息之间互相冲突,从而给后台的分析处理工作带来干扰,影响测评结论。
总的来说,当前还缺少适应云计算特点的信息安全测评装置和方法。
发明内容
本发明解决的技术问题在于提供一种用于云基础设施的安全评测方法;可以适用于云计算的特点,对信息安全状况进行测评。
本发明解决上述技术问题的技术方案是:
所述的方法由调度模块、测评软件库、测评镜像、测评配置库、测评结果库、分析模块、测评需求书、测评报告等模块构成的装置完成;
在测评前,由用户对测评软件库进行配置;然后,
调度模块读取本次测评活动的测评需求书;确定本次测评所需要的软件,再启动某一测评镜像,开始对某一安全科目进行安全测评,将数据写入测评结果库中;
在测评活动执行过程中,记录所需的资源配置、测评时间等参数;在本次测评活动结束后,写入测评配置库中,为下一次的测评活动提供配置和执行等参考;
分析模块综合所有测评结果,采用模糊综合评价法、AHP评价法、灰色理论、神经网络法等综合评价方法,对被测试的云基础设施的安全状况给出整体评价,并出具可供用户下载的测评报告;
每个工作中的测评镜像定期返回其资源消耗状况;调度模块根据这些信息判断该测评镜像的工作状态;工作状态集合中包含:“任务失效”、“任务执行中”2种状态;
对任务结束的测评镜像,进行虚拟机资源的回收工作;
对处于失效状态的测评镜像,进行唤醒操作;如果在设定的时间内未能唤醒,则进行虚拟机迁移;对处于任务执行中的测评镜像,根据按照轮询调度算法,将回收的资源重新分配给仍在执行任务的镜像。
在测评前用户预先做测评软件库的配置工作;先把市场上已有的针对云基础设施的安全测评软件、自主编写的测评软件程序上传至测评软件库中;然后按照通常的分类:***安全、网络安全、数据安全、行为安全等,对这些软件进行分类,划分到不同的“测评软件列表”;测评软件库可以不断地更新,确保测评软件的先进性、成熟性。
为每种测评软件分配其所需的虚拟机资源,即资源单位;每个测评软件安装于虚拟机中,与计算、存储、网络等资源一并打包形成一个测评镜像;启动测评镜像,进行测评活动,最后对数据进行分析处理,形成测评结论。
具体测评流程是:
(1)、访问测评配置库模块,该模块记录有以前测评活动的基础配置信息;获取以往针对同一云基础设施的网络安全域测评时有关测评活动的资源单位配置状态;比如:为该测评活动分配了多少CPU、内存等资源情况;
(2)、调度模块读取本次测评活动的测评需求书,根据测评的不同安全科目,访问测评软件库中的测评软件列表,确定本次测评所需要的软件;
(3)、根据本次测评的云基础设施的物理边界范围,从而为本次测评活动分配合适的资源单位;这是一种自主学习的过程,如上一次测评活动对100台服务器实施了安全测评,本次需要对60台服务器进行安全测评,考虑到资源的冗余性应付测评过程中的突发事件,则本次分配资源可取上一次所需物理资源的60-70%;
(4)、将本次测评所需软件、程序与为其分配的资源单位打包,形成可运行的测评镜像;
(5)、调度模块启动某一测评镜像,初始化并获取相关控制权限,采集数据,开始对某一领域进行安全测评;
(6)、测评镜像执行测评活动;对原始数据进行转换、清洗等操作;本次测评活动结束后,将已处理过的测评结果数据写入测评结果库中;
(7)、待所有测评镜像完成工作后,分析模块综合所有测评结果;
(8)、如果是第一次对该云基础设施进行测评,则无法从测评历史库中获取可供参考的配置状态;
如果访问测评配置库,没有读取到相关测评配置信息,或者是第一次针对该云基础设施实施测评活动,则没有历史数据可以借鉴;针对这种情况,可取该云基础设施日常运行最普遍的虚拟机资源配置情况,作为一个资源单位分配物理资源的参考。
对于处于任务执行中的测评镜像,可根据实际情况为其分配更多资源,加快其完成测评任务;具体过程如下:
设有一执行任务的测评镜像Ci,当前Ci的测评活动已消耗时间为TC,;Ci预计完成测评活动的时间为TF,新的资源从加入Ci能够用于测评所需要的准备时间为TP,若TF-TC<TP,则将已经结束测评活动的测评镜像中回收的资源再分配;否则不做操作。
具体分配过程是:
每个仍在工作的测评镜像定期返回其资源消耗状况,调度模块将这些测评镜像按照它们消耗物理资源从高到低的顺序,生成到一个“测评镜像的资源消耗队列”;假设已回收R个资源单位。按照“消耗越多,分配越多”的原则,将这R个资源单位按照轮询调度算法(Round-Robin Scheduling)分配给资源消耗队列”中的测评镜像。
本发明提到的信息安全评测装置部署于云基础设施中,以虚拟机状态运行,利用云基础设施自身的各种资源来评测自身的安全状态。部署较为灵活、可按需组合不同地安全测评软件、有着良好的计算和存储伸缩能力,能够以客户为中心实现各种需求。具体而言,本发明具有以下有益效果:
1、具备自主学习功能,资源利用效率更高。根据每次测评的要求,访问测评配置库模块,获取以前测评活动的基础配置信息,从而推算本次测评活动所需资源单位,减少了因资源分配不足造成的测评时间延长,也减少了对多余资源的不必要占用。
2、按照通常的安全科目分类,把市场上已有的针对云基础设施的安全测评软件、自主编写的测评软件程序上传至测评软件库中,并对这些软件进行分类,划分到不同的“测评软件列表”。测评软件库具备对其存储的测评软件的更新能力,保证了测评软件的先进性、成熟性。
3、将每个安全科目的测评工作,包括数据采集、预处理和分析等流程转移到测评镜像中完成,而不是集中到后台分析模块,减轻了其工作负载。
4、由调度模块对测评活动中的所需资源进行调度分配,采用轮询调度算法,使得各工作中的测评镜像之间负载较为均衡,能够加快测评活动执行。
5、可以按需构建专门针对某一安全科目的安全测评镜像,也可多种组合搭配,测评镜像可独立完成对某一安全科目的测评活动。
6、可把专业的安全测评软件集成到测评镜像中,每个软件完成专业的工作,使得测评结果更准确、全面和深入。
附图说明
下面结合附图对本发明进一步说明:
图1是本发明测评装置功能模块示意图;
图2是本发明测评软件库配置流程图;
图3是本发明测评活动流程示意图;
图4是本发明测评镜像任务结束后的资源回收流程图;
图5是本发明测评镜像工作失效后的处理流程图;
图6是本发明已回收资源调度流程图。
具体实施方式
见图1所示,本发明针对云基础设施进行安全评测的装置由调度模块、测评软件库、测评镜像、测评配置库、测评结果库、分析模块、测评需求书、测评报告等模块构成。
在测评前用户预先要做测评软件库的配置工作;具体流程见图2所示。把市场上已有的针对云基础设施的安全测评软件、自主编写的测评软件程序上传至测评软件库中。按照通常的分类:***安全、网络安全、数据安全、行为安全等,对这些软件进行分类,划分到不同的“测评软件列表”。测评软件库可以不断地更新,确保测评软件的先进性、成熟性。
一次测评活动的完整过程包括以下:根据每次测评的要求(例如本次测评要对该云基础设施范围内的哪些服务器进行测评),为每种测评软件分配其所需的虚拟机资源,即资源单位。每个测评软件安装于虚拟机中,与计算、存储、网络等资源一并打包形成一个测评镜像。启动测评镜像,进行测评活动,最后对数据进行分析处理,形成测评结论。
为了更好地说明问题,下面列举一次完整测评活动的实例;具体见图3所示。假设当前要对整个云基础设施中的网络安全科目进行测评,从而得知该云基础设施在这方面的安全状况。
1、访问测评配置库模块,该模块记录有以前测评活动的基础配置信息。获取以往针对同一云基础设施的网络安全域测评时有关测评活动的资源单位配置状态。比如:为该测评活动分配了多少CPU、内存等资源情况。
2、获得这些配置情况后,调度模块读取本次测评活动的测评需求书,根据测评的不同安全科目,访问测评软件库中的测评软件列表,确定本次测评所需要的软件。
3、根据本次测评的云基础设施的物理边界范围,从而为本次测评活动分配合适的资源单位。这是一种自主学习的过程,举例来说,上一次测评活动对100台服务器实施了安全测评,本次需要对60台服务器进行安全测评,考虑到资源的冗余性应付测评过程中的突发事件,则本次分配资源可取上一次所需物理资源的60-70%。
4、将本次测评所需软件、程序与为其分配的资源单位打包,形成可运行的测评镜像。
5、调度模块启动某一测评镜像,初始化并获取相关控制权限,采集数据,开始对某一领域进行安全测评。
6、测评镜像执行测评活动。对原始数据进行转换、清洗等操作;本次测评活动结束后,将已处理过的测评结果数据写入测评结果库中。
7、待所有测评镜像完成工作后,分析模块综合所有测评结果。
由于云基础设施的安全状况涉及对多个安全科目的评估,是受到多种因素制约的事物。为了做出一个总体、较为准确的评估,可采用综合评价方法,包括模糊综合评价法、层次分析法(AHP,Analytic Hierarchy Process)、灰色理论、神经网络法等。对被测试的云基础设施的安全状况给出整体评价,并出具可供用户下载的测评报告。
8、如果是第一次对该云基础设施进行测评,则无法从测评历史库中获取可供参考的配置状态。
如果访问测评配置库,没有读取到相关测评配置信息,或者是第一次针对该云基础设施实施测评活动,则没有历史数据可以借鉴。针对这种情况,可采取的一种简单方式是:取该云基础设施日常运行最普遍的虚拟机资源配置情况,作为一个资源单位分配物理资源的参考。
在本次测评活动执行过程中,记录所需的资源配置、测评时间等参数。在本次测评活动结束后,写入测评配置库中,为下一次的测评活动提供配置和执行等参考。
由于每个测评镜像的工作任务量不尽相同,各测评镜像之间完成测评活动有先后顺序;同时,也可能存在硬件或软件故障引起测评镜像工作失效。针对这几种情况,可利用调度模块进行资源的重新分配、任务调整。
见图4、5所示,具体工作过程如下:
每个工作中的测评镜像定期返回其资源消耗状况。调度模块根据这些信息判断该测评镜像的工作状态。工作状态集合中包含:“任务失效”、“任务执行中”2种状态。
当测评镜像的任务结束时,通知调度模块,调度模块进行虚拟机资源的回收工作。
对处于失效状态的测评镜像,进行唤醒操作。如果在设定的时间内未能唤醒,则进行虚拟机迁移。
对于处于任务执行中的测评镜像,可根据实际情况为其分配更多资源,加快其完成测评任务。具体过程如下:
设有一执行任务的测评镜像Ci,当前Ci的测评活动已消耗时间为TC,;Ci预计完成测评活动的时间为TF,新的资源从加入Ci能够用于测评所需要的准备时间为TP,若TF-TC<TP,则将已经结束测评活动的测评镜像中回收的资源再分配;否则不做操作。
见图6所示,下面列举一个实例说明具体分配过程。
每个仍在工作的测评镜像定期返回其资源消耗状况,调度模块将这些测评镜像按照它们消耗物理资源从高到低的顺序,生成到一个“测评镜像的资源消耗队列”。假设已回收R个资源单位。按照“消耗越多,分配越多”的原则,将这R个资源单位按照轮询调度算法(Round-Robin Scheduling)分配给资源消耗队列”中的测评镜像。
Claims (7)
1.一种用于云基础设施的安全评测方法,其特征在于:所述的方法由调度模块、测评软件库、测评镜像、测评配置库、测评结果库、分析模块、测评需求书、测评报告等模块构成的装置完成;
在测评前,由用户对测评软件库进行配置;然后,调度模块读取本次测评活动的测评需求书;确定本次测评所需要的软件,再启动某一测评镜像,开始对某一安全科目进行安全测评,将数据写入测评结果库中;
在测评活动执行过程中,记录所需的资源配置、测评时间等参数;在本次测评活动结束后,写入测评配置库中,为下一次的测评活动提供配置和执行等参考;
分析模块综合所有测评结果,采用模糊综合评价法、AHP评价法、灰色理论、神经网络法等综合评价方法,对被测评的云基础设施的安全状况给出整体评价,并出具可供用户下载的测评报告;
每个工作中的测评镜像定期返回其资源消耗状况;调度模块根据这些信息判断该测评镜像的工作状态;工作状态集合中包含:“任务失效”、“任务执行中”2种状态;
对任务结束的测评镜像,进行虚拟机资源的回收工作;
对处于失效状态的测评镜像,进行唤醒操作;如果在设定的时间内未能唤醒,则进行虚拟机迁移;对处于任务执行中的测评镜像,根据按照轮询调度算法,将回收的资源重新分配给仍在执行任务的镜像。
2.根据权利要求1所述的安全评测方法,其特征在于:在测评前用户预先做测评软件库的配置工作;先把市场上已有的针对云基础设施的安全测评软件、自主编写的测评软件程序上传至测评软件库中;然后按照通常的分类:***安全、网络安全、数据安全、行为安全等,对这些软件进行分类,划分到不同的“测评软件列表”;测评软件库可以不断地更新,确保测评软件的先进性、成熟性。
3.根据权利要求1所述的安全评测方法,其特征在于:根据每次测评的要求,为每种测评软件分配其所需的虚拟机资源,即资源单位;每个测评软件安装于虚拟机中,与计算、存储、网络等资源一并打包形成一个测评镜像;启动测评镜像,进行测评活动,最后对数据进行分析处理,形成测评结论。
4.根据权利要求2所述的安全评测方法,其特征在于:根据每次测评的要求,为每种测评软件分配其所需的虚拟机资源,即资源单位;每个测评软件安装于虚拟机中,与计算、存储、网络等资源一并打包形成一个测评镜像;启动测评镜像,进行测评活动,最后对数据进行分析处理,形成测评结论。
5.根据权利要求1至4任一项所述的安全评测方法,其特征在于:具体测评流程是:
(1)、访问测评配置库模块,该模块记录有以前测评活动的基础配置信息;获取以往针对同一云基础设施的网络安全域测评时有关测评活动的资源单位配置状态;比如:为该测评活动分配了多少CPU、内存等资源情况;
(2)、调度模块读取本次测评活动的测评需求书,根据测评的不同安全科目,访问测评软件库中的测评软件列表,确定本次测评所需要的软件;
(3)、根据本次测评的云基础设施的物理边界范围,从而为本次测评活动分配合适的资源单位;这是一种自主学习的过程,举例来说上一次测评活动对100台服务器实施了安全测评,本次需要对60台服务器进行安全测评,考虑到资源的冗余性应付测评过程中的突发事件,则本次分配资源可取上一次所需物理资源数量的60-70%;
(4)、将本次测评所需软件、程序与为其分配的资源单位打包,形成可运行的测评镜像;
(5)、调度模块启动某一测评镜像,初始化并获取相关控制权限,采集数据,开始对某一领域进行安全测评;
(6)、测评镜像执行测评活动;对原始数据进行转换、清洗等操作;本次测评活动结束后,将已处理过的测评结果数据写入测评结果库中;
(7)、待所有测评镜像完成工作后,分析模块综合所有测评结果;
(8)、如果是第一次对该云基础设施进行测评,则无法从测评历史库中获取可供参考的配置状态;
如果访问测评配置库,没有读取到相关测评配置信息,或者是第一次针对该云基础设施实施测评活动,则没有历史数据可以借鉴;针对这种情况,可取该云基础设施日常运行最普遍的虚拟机资源配置情况,作为一个资源单位分配物理资源的参考。
6.根据权利要求5所述的安全评测方法,其特征在于:对于处于任务执行中的测评镜像,可根据实际情况为其分配更多资源,加快其完成测评任务;具体过程如下:
设有一执行任务的测评镜像Ci,当前Ci的测评活动已消耗时间为TC,;Ci预计完成测评活动的时间为TF,新的资源从加入Ci能够用于测评所需要的准备时间为TP,若TF-TC<TP,则将已经结束测评活动的测评镜像中回收的资源再分配;否则不做操作。
7.根据权利要求6所述的安全评测方法,其特征在于:具体分配过程是:每个仍在工作的测评镜像定期返回其资源消耗状况,调度模块将这些测评镜像按照它们消耗物理资源从高到低的顺序,生成到一个“测评镜像的资源消耗队列”;假设已回收R个资源单位。按照“消耗越多,分配越多”的原则,将这R个资源单位按照轮询调度算法分配给资源消耗队列”中的测评镜像。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510107604.0A CN104735063B (zh) | 2015-03-11 | 2015-03-11 | 一种用于云基础设施的安全评测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510107604.0A CN104735063B (zh) | 2015-03-11 | 2015-03-11 | 一种用于云基础设施的安全评测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104735063A true CN104735063A (zh) | 2015-06-24 |
| CN104735063B CN104735063B (zh) | 2018-01-02 |
Family
ID=53458498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510107604.0A Active CN104735063B (zh) | 2015-03-11 | 2015-03-11 | 一种用于云基础设施的安全评测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104735063B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106383735A (zh) * | 2016-09-21 | 2017-02-08 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实时监测云环境中虚拟机主机安全的***及方法 |
| CN108549934A (zh) * | 2018-04-25 | 2018-09-18 | 福州瑞芯微电子股份有限公司 | 一种基于自动集群神经网络芯片组的运算方法和装置 |
| WO2019075795A1 (zh) * | 2017-10-19 | 2019-04-25 | 国云科技股份有限公司 | 一种评价云计算平台安全性的方法 |
| CN112052070A (zh) * | 2020-08-27 | 2020-12-08 | 亚信科技(南京)有限公司 | 应用容器化评估方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110214124A1 (en) * | 2010-02-26 | 2011-09-01 | James Michael Ferris | Systems and methods for generating cross-cloud computing appliances |
| CN102594617A (zh) * | 2012-01-12 | 2012-07-18 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行评测的***及评测方法 |
| CN103902442A (zh) * | 2012-12-25 | 2014-07-02 | ***通信集团公司 | 一种云软件健康度评测方法及*** |
| CN104333488A (zh) * | 2014-11-04 | 2015-02-04 | 哈尔滨工业大学 | 云服务平台性能测试方法 |
-
2015
- 2015-03-11 CN CN201510107604.0A patent/CN104735063B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110214124A1 (en) * | 2010-02-26 | 2011-09-01 | James Michael Ferris | Systems and methods for generating cross-cloud computing appliances |
| CN102594617A (zh) * | 2012-01-12 | 2012-07-18 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行评测的***及评测方法 |
| CN103902442A (zh) * | 2012-12-25 | 2014-07-02 | ***通信集团公司 | 一种云软件健康度评测方法及*** |
| CN104333488A (zh) * | 2014-11-04 | 2015-02-04 | 哈尔滨工业大学 | 云服务平台性能测试方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106383735A (zh) * | 2016-09-21 | 2017-02-08 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实时监测云环境中虚拟机主机安全的***及方法 |
| WO2019075795A1 (zh) * | 2017-10-19 | 2019-04-25 | 国云科技股份有限公司 | 一种评价云计算平台安全性的方法 |
| CN108549934A (zh) * | 2018-04-25 | 2018-09-18 | 福州瑞芯微电子股份有限公司 | 一种基于自动集群神经网络芯片组的运算方法和装置 |
| CN108549934B (zh) * | 2018-04-25 | 2020-06-19 | 福州瑞芯微电子股份有限公司 | 一种基于自动集群神经网络芯片组的运算方法和装置 |
| CN112052070A (zh) * | 2020-08-27 | 2020-12-08 | 亚信科技(南京)有限公司 | 应用容器化评估方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104735063B (zh) | 2018-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8261266B2 (en) | Deploying a virtual machine having a virtual hardware configuration matching an improved hardware profile with respect to execution of an application | |
| CN112685170B (zh) | 备份策略的动态优化 | |
| CN106886485B (zh) | ***容量分析预测方法及装置 | |
| McKenna et al. | Machine learning predictions of runtime and IO traffic on high-end clusters | |
| US9229838B2 (en) | Modeling and evaluating application performance in a new environment | |
| CN108205541B (zh) | 分布式网络爬虫任务的调度方法及装置 | |
| CN108521339B (zh) | 一种基于集群日志的反馈式节点故障处理方法及*** | |
| Bovenzi et al. | Workload characterization for software aging analysis | |
| US10789146B2 (en) | Forecasting resource utilization | |
| CN104735063A (zh) | 一种用于云基础设施的安全评测方法 | |
| CN102187327B (zh) | 趋势确定和识别 | |
| CN107861796A (zh) | 一种支持云数据中心能耗优化的虚拟机调度方法 | |
| CN112700131B (zh) | 基于人工智能的ab测试方法、装置、计算机设备及介质 | |
| US10389823B2 (en) | Method and apparatus for detecting network service | |
| Caglar et al. | Intelligent, performance interference-aware resource management for iot cloud backends | |
| Wang et al. | Lube: Mitigating bottlenecks in wide area data analytics | |
| CN115543577A (zh) | 基于协变量的Kubernetes资源调度优化方法、存储介质及设备 | |
| CN106845215A (zh) | 基于虚拟化环境下的安全防护方法及装置 | |
| Bezemer et al. | Performance optimization of deployed software-as-a-service applications | |
| CN117851257A (zh) | 基于云计算的分布式软件测试环境构建*** | |
| Ferreira da Silva et al. | Accurately simulating energy consumption of I/O-intensive scientific workflows | |
| CN112580816A (zh) | 机器学习训练资源管理 | |
| CN107515779B (zh) | 基于探测器的虚拟机性能干扰度量***及方法 | |
| CN105897841A (zh) | 用于网络资源处理的调度方法、设备、***及子调度器 | |
| Umesh et al. | Optimum software aging prediction and rejuvenation model for virtualized environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |