[发明专利]用户虚拟机数据访问证据收集方法及系统

说明书

本发明提供了用户虚拟机数据访问证据收集方法及系统，属于信息安全领域，包括申请收集可信性证据；云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息，向虚拟机相关的宿主机发起采集请求；访问行为监控器收集本地可信性证据；将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器，通过上述信息还原出正常和恶意的用户虚拟机数据访问行为。通过在证据收集过程中对用户ID信息进行认证并且使用本地可信性证据进行恶意访问请求关联认证，能够解决获取作为IaaS云服务用户在云中访问数据行为证据的问题，同时解决了用户能够关联分析是否有恶意IaaS云服务商的非法访问数据行为的问题。

技术领域

本发明属于信息安全领域，特别涉及用户虚拟机数据访问证据收集方法及系统。

背景技术

当前，来自内部员工盗取公司数据的威胁，对于企业以及用户来说非常严重。如沃达丰200万客户银行资料泄露事件等案例中，都是特权用户访问权限过大导致了客户数据被窃取。

在基础设施即服务(Infrastructure as a Service，IaaS)中，云用户使用的数据以虚拟机镜像的方式存放于云宿主机平台上，而云服务商(管理员)具有用户虚拟机所在宿主机的管理员特权。因此，恶意的IaaS云服务商(管理员)完全能够通过操纵宿主机读取用户虚拟机镜像的方式非法获取用户数据。

然而，当前宿主机访问云虚拟机数据的方式众多，当前的云安全测试技术没有对相关行为进行建模及全面覆盖采集；没有区分恶意云服务商通过宿主机访问虚拟机数据的行为和云用户正常访问虚拟机数据的行为；这都阻碍了用户察觉恶意IaaS云服务商对其数据的非法窃取，无法有效保障用户数据不受恶意IaaS云服务商的威胁。

发明内容

为了解决现有技术中存在的缺点和不足，本发明提供了用于防止出现IaaS云服务商的非法访问数据行为的用户虚拟机数据访问证据收集方法及系统。

为了达到上述技术目的，一方面，本发明提供了用户虚拟机数据访问证据收集方法，所述收集方法，包括：

用户登录第三方可信性证据收集用户登录服务器，如果登录账号及密码有效，则请求继续进行证据收集、分析和展示流程；

向第三方可信性证据展示服务器申请收集可信性证据，并将请求依次发送给第三方IaaS服务虚拟机数据访问可信性接收器和云端IaaS服务虚拟机数据访问可信性证据采集器收集云端证据；

云端IaaS服务虚拟机数据访问可信性证据采集器根据云用户身份唯一标识符ID信息，通过nova数据库查找到用户虚拟机相关的宿主机，向这些宿主机发起采集请求；

云端宿主机用户数据访问行为监控器收集本地可信性证据；

将日志证据共同回传给第三方IaaS服务虚拟机数据访问可信性接收器和第三方恶意访问行为关联器，由第三方恶意访问行为关联器通过上述信息还原出正常和恶意的用户虚拟机数据访问行为；

将关联分析得到恶意IaaS服务商非法行为结果返回给第三方可信性证据展示服务器及用户查看。

可选的，所述可信性证据，包括：

来自服务组件、虚拟化管理工具和虚拟化进程访问三个层次的正常的用户访问行为和非法的恶意服务商访问行为信息。