-
公开(公告)号:CN107689953A
公开(公告)日:2018-02-13
申请号:CN201710711788.0
申请日:2017-08-18
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种面向多租户云计算的容器安全监控方法及系统。该方法包括:1)云计算管理平台为租户分配虚拟机,并在虚拟机中部署监控程序;2)在虚拟机上为租户建立容器集群,并运行容器集群中的容器;3)通过监控程序获取容器运行过程中的系统调用信息,并在虚拟机中对系统调用信息进行过滤处理;4)将过滤处理后的系统调用信息传输至监控汇总分析主机;5)监控汇总分析主机对系统调用信息进行汇总分析,分析容器的运行是否出现异常,并将分析结果反馈至系统管理员和租户。本发明可以实现大规模的公有云环境下对于用户容器使用情况的实时监测,并对出现异常情况进行及时处理,能够提高系统的安全性和稳定性。
-
公开(公告)号:CN109412866B
公开(公告)日:2020-07-28
申请号:CN201811473272.8
申请日:2018-12-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种多租户云平台安全隔离的主动检测方法,实现在运行时对多租户云平台的安全隔离性进行实时检测。方法步骤包括:(1)定义图模型;(2)定义检测基准;(3)初始状态生成;(4)初始隔离检测;(5)运行时隔离检测。本发明方法以图的形式对多租户云平台的配置状态进行组织建模,并建立了基于租户安全隔离的检测基准和基于用户组安全隔离的检测基准,然后实施安全隔离检测,以及时发现潜在隔离失效威胁对云内租户造成的危害。本方法具有可扩展性强、时效性高的特点,解决了现有多租户云平台中的安全隔离检测问题,提高了多租户云平台的安全能力,从而满足现有应用场景的需求。
-
公开(公告)号:CN107689953B
公开(公告)日:2020-10-27
申请号:CN201710711788.0
申请日:2017-08-18
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种面向多租户云计算的容器安全监控方法及系统。该方法包括:1)云计算管理平台为租户分配虚拟机,并在虚拟机中部署监控程序;2)在虚拟机上为租户建立容器集群,并运行容器集群中的容器;3)通过监控程序获取容器运行过程中的系统调用信息,并在虚拟机中对系统调用信息进行过滤处理;4)将过滤处理后的系统调用信息传输至监控汇总分析主机;5)监控汇总分析主机对系统调用信息进行汇总分析,分析容器的运行是否出现异常,并将分析结果反馈至系统管理员和租户。本发明可以实现大规模的公有云环境下对于用户容器使用情况的实时监测,并对出现异常情况进行及时处理,能够提高系统的安全性和稳定性。
-
Patent Agency Ranking
公开(公告)号:CN106961387B
公开(公告)日:2020-05-01
申请号:CN201710200585.5
申请日:2017-03-30
Applicant: 中国科学院信息工程研究所
IPC: H04L12/721 , H04L12/801 , H04L29/06
Abstract: 本发明提出了一种基于转发路径自迁移的链路型DDoS防御方法,应用于SDN,其步骤包括:1)通过收集LLDP报文,构造网络流量矩阵并定位拥塞链路;2)判断拥塞链路是否构成链路泛洪攻击;3)如存在链路泛洪攻击,则识别拥塞链路中的可疑网络流;4)依据约束条件选取与拥塞链路不邻接的可迁移链路集合、选取待迁移的网络流和迁移时间间隔,并生成迁移规则信息;依据迁移规格信息对可疑网络流进行迁移。并将该方法在基于OpenFlow的软件定义网络中实现。该方法通过采用易于维护和迁移的组件式实现对链路式DDoS攻击防御系统的部署。同时提出实现上述方法的系统。
-
公开(公告)号:CN109412866A
公开(公告)日:2019-03-01
申请号:CN201811473272.8
申请日:2018-12-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种多租户云平台安全隔离的主动检测方法,实现在运行时对多租户云平台的安全隔离性进行实时检测。方法步骤包括:(1)定义图模型;(2)定义检测基准;(3)初始状态生成;(4)初始隔离检测;(5)运行时隔离检测。本发明方法以图的形式对多租户云平台的配置状态进行组织建模,并建立了基于租户安全隔离的检测基准和基于用户组安全隔离的检测基准,然后实施安全隔离检测,以及时发现潜在隔离失效威胁对云内租户造成的危害。本方法具有可扩展性强、时效性高的特点,解决了现有多租户云平台中的安全隔离检测问题,提高了多租户云平台的安全能力,从而满足现有应用场景的需求。
-
公开(公告)号:CN106982206B
公开(公告)日:2019-11-26
申请号:CN201710140954.6
申请日:2017-03-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种基于IP地址自适应转换的恶意扫描防御方法,应用于SDN,包括以下步骤:1)当受到扫描攻击时,从SDN的每个子网内采样请求数据包,分析请求数据包生成不同时间间隔内的统计数据;2)根据统计数据计算每个时间间隔内源IP地址、目的IP地址及目的端口号的分布;3)计算相邻时间间隔内相同源IP地址、目的IP地址及目的端口号分布的Sibson熵并藉此判断扫描攻击策略;4)依据扫描攻击策略生成IP地址转移策略,并根据IP地址转移策略实施IP地址虚拟转换。同时提供实现上述方法的系统,包括构建于应用于SDN架构中控制器、跳变代理和检测代理,分别用以实现上述方法中的步骤。
-
公开(公告)号:CN106982206A
公开(公告)日:2017-07-25
申请号:CN201710140954.6
申请日:2017-03-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种基于IP地址自适应转换的恶意扫描防御方法,应用于SDN,包括以下步骤:1)当受到扫描攻击时,从SDN的每个子网内采样请求数据包,分析请求数据包生成不同时间间隔内的统计数据;2)根据统计数据计算每个时间间隔内源IP地址、目的IP地址及目的端口号的分布;3)计算相邻时间间隔内相同源IP地址、目的IP地址及目的端口号分布的Sibson熵并藉此判断扫描攻击策略;4)依据扫描攻击策略生成IP地址转移策略,并根据IP地址转移策略实施IP地址虚拟转换。同时提供实现上述方法的系统,包括构建于应用于SDN架构中控制器、跳变代理和检测代理,分别用以实现上述方法中的步骤。
-
公开(公告)号:CN106961387A
公开(公告)日:2017-07-18
申请号:CN201710200585.5
申请日:2017-03-30
Applicant: 中国科学院信息工程研究所
IPC: H04L12/721 , H04L12/801 , H04L29/06
Abstract: 本发明提出了一种基于转发路径自迁移的链路型DDoS防御方法,应用于SDN,其步骤包括:1)通过收集LLDP报文,构造网络流量矩阵并定位拥塞链路;2)判断拥塞链路是否构成链路泛洪攻击;3)如存在链路泛洪攻击,则识别拥塞链路中的可疑网络流;4)依据约束条件选取与拥塞链路不邻接的可迁移链路集合、选取待迁移的网络流和迁移时间间隔,并生成迁移规则信息;依据迁移规格信息对可疑网络流进行迁移。并将该方法在基于OpenFlow的软件定义网络中实现。该方法通过采用易于维护和迁移的组件式实现对链路式DDoS攻击防御系统的部署。同时提出实现上述方法的系统。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.031 seconds)
