[发明专利]用户虚拟机数据访问证据收集方法及系统

权利要求书

1.用户虚拟机数据访问证据收集方法，其特征在于，所述收集方法，包括：

用户登录第三方可信性证据收集用户登录服务器，如果登录账号及密码有效，则请求继续进行证据收集、分析和展示流程；

向第三方可信性证据展示服务器申请收集可信性证据，并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据；

云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息，通过nova数据库查找到用户虚拟机相关的宿主机，向这些宿主机发起采集请求；

云端宿主机用户数据访问行为监控器收集本地可信性证据；

将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器，由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为；

将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。

2.根据权利要求1所述的用户虚拟机数据访问证据收集方法，其特征在于，所述可信性证据，包括：

来自服务组件、虚拟化管理工具和虚拟化进程访问三个层次的正常的用户访问行为和非法的恶意服务商访问行为信息。

3.根据权利要求1所述的用户虚拟机数据访问证据收集方法，其特征在于，所述可信性证据的层级结构表现为虚拟机数据访问可信性证据树，在可信性证据树中的第二层节点包含证据来源层次信息，叶子节点包含访问行为名称及发生时间信息；服务组件监控采集到的行为证据为用户发起的请求如对虚拟机的shutdown,start,pause,suspend等操作及时间信息；虚拟化管理工具监控采集到的行为证据为对虚拟机的shutdown,start,pause,suspend等操作及时间信息；虚拟化进程监控采集到的行为证据为对虚拟机的qemu-img，qemu-system，qemu-nbd等操作及时间信息。

4.根据权利要求1所述的用户虚拟机数据访问证据收集方法，其特征在于，所述云端宿主机用户数据访问行为监控器收集本地可信性证据，包括：

服务组件访问虚拟机数据行为监控模块获得用户ID对应的行为名称以及时间信息，记为nova-access.log；

虚拟化管理工具访问虚拟机数据行为监控模块通过虚拟机镜像日志获得对用户虚拟机数据的访问行为证据信息，包括访问行为名称以及时间信息，信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息，记为vtool-access.log；

虚拟化进程访问虚拟机数据行为监控模块通过对系统调用的监控获取对用户虚拟机数据的访问行为证据信息，包括访问行为名称以及时间信息，上述信息中包括正常的用户访问行为和非法的恶意服务商访问行为信息，记为vp-access.log。

5.根据权利要求4所述的用户虚拟机数据访问证据收集方法，其特征在于，所述虚拟化进程监控信息获取算法包括：

判断当前访问进程的操作op是否为被监控的关键访问操作，如open，read，write，append等；如果是，继续下一操作；如果否，不进行监控；

获取需要保护的虚拟机镜像文件地址；

判断当前访问进程是否是合法的虚拟化进程，如qemu-system或qemu-kvm等；如果是，则继续下一步；如果否，不允许未经允许的虚拟化进程直接访问用户虚拟机数据，并报警；

获取当前访问的系统时间time；

将当前访问行为主体(虚拟化进程)、客体(虚拟机文件)及时间(当前访问时间)记录到虚拟化日志vp-access.log中。

6.根据权利要求1所述的用户虚拟机数据访问证据收集方法，其特征在于，所述由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为，包括：

根据获取的层次行为数据集得到行为集合；

关联分析得到恶意IaaS服务商非法行为集合。