公开(公告)号：CN107689953A

公开(公告)日：2018-02-13

申请号：CN201710711788.0

申请日：2017-08-18

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  孔同 ,  欧悯洁 ,  雷程 ,  马多贺 ,  王淼

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种面向多租户云计算的容器安全监控方法及系统。该方法包括：1)云计算管理平台为租户分配虚拟机，并在虚拟机中部署监控程序；2)在虚拟机上为租户建立容器集群，并运行容器集群中的容器；3)通过监控程序获取容器运行过程中的系统调用信息，并在虚拟机中对系统调用信息进行过滤处理；4)将过滤处理后的系统调用信息传输至监控汇总分析主机；5)监控汇总分析主机对系统调用信息进行汇总分析，分析容器的运行是否出现异常，并将分析结果反馈至系统管理员和租户。本发明可以实现大规模的公有云环境下对于用户容器使用情况的实时监测，并对出现异常情况进行及时处理，能够提高系统的安全性和稳定性。

公开(公告)号：CN106357673A

公开(公告)日：2017-01-25

申请号：CN201610912580.0

申请日：2016-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  王淼 ,  徐震 ,  马多贺 ,  陈凯 ,  董文婷

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1466 ,  H04L67/10

Abstract: 本发明公开了一种多租户云计算系统DDoS攻击检测方法及系统。本方法为：在多租户云计算系统的控制节点设置一个检测服务器，在每个计算节点建立一个检测代理；检测代理根据第i时间段采集的流量数据，统计该第i时间段每个虚拟机向不同目的IP地址分别发送的数据包数；检测代理根据统计数据计算各虚拟机的流量熵变化值，如果虚拟机i发给目的IP的流量熵变化值超过设定的流量熵变化阈值，则判定该数据流为可疑DDoS攻击流，并将其发给检测服务器；检测服务器根据数据目的IP地址和租户标识聚集目的地址以及聚集结果在总流量中的占比识别出潜在攻击流量；如果两潜在攻击流的相对熵小于设定阈值，则判定为DDoS攻击流。

公开(公告)号：CN106330602B

公开(公告)日：2019-10-25

申请号：CN201610702447.2

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  王淼 ,  徐震 ,  马多贺 ,  陈凯 ,  董文婷

IPC: H04L12/26 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种云计算虚拟租户网络监控方法及系统。本方法为：1)在基础云计算系统的控制节点建立一监控服务器，在计算节点建立一监控代理；2)监控服务器向监控代理发送时间消息和流量采集配置参数；3)各监控代理根据接收的时间消息完成时间同步启动定时机制，根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据；4)各监控代理根据采集的流量数据中的网络设备信息，得到流量数据的租户标识；并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器；5)监控服务器根据各监控代理发送的单节点监控数据生成租户网络监控数据。本发明最大限度减少对网络环境造成的负担，易于系统维护和扩展。

公开(公告)号：CN106330602A

公开(公告)日：2017-01-11

申请号：CN201610702447.2

申请日：2016-08-22

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  王淼 ,  徐震 ,  马多贺 ,  陈凯 ,  董文婷

IPC: H04L12/26 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种云计算虚拟租户网络监控方法及系统。本方法为：1)在基础云计算系统的控制节点建立一监控服务器，在计算节点建立一监控代理；2)监控服务器向监控代理发送时间消息和流量采集配置参数；3)各监控代理根据接收的时间消息完成时间同步启动定时机制，根据收到的采集配置参数开始采集所在计算节点交换机上的流量数据；4)各监控代理根据采集的流量数据中的网络设备信息，得到流量数据的租户标识；并根据定时机制定期将采集的流量数据生成单节点流量监控数据发送给所述监控服务器；5)监控服务器根据各监控代理发送的单节点监控数据生成租户网络监控数据。本发明最大限度减少对网络环境造成的负担，易于系统维护和扩展。

公开(公告)号：CN107689953B

公开(公告)日：2020-10-27

申请号：CN201710711788.0

申请日：2017-08-18

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  孔同 ,  欧悯洁 ,  雷程 ,  马多贺 ,  王淼

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种面向多租户云计算的容器安全监控方法及系统。该方法包括：1)云计算管理平台为租户分配虚拟机，并在虚拟机中部署监控程序；2)在虚拟机上为租户建立容器集群，并运行容器集群中的容器；3)通过监控程序获取容器运行过程中的系统调用信息，并在虚拟机中对系统调用信息进行过滤处理；4)将过滤处理后的系统调用信息传输至监控汇总分析主机；5)监控汇总分析主机对系统调用信息进行汇总分析，分析容器的运行是否出现异常，并将分析结果反馈至系统管理员和租户。本发明可以实现大规模的公有云环境下对于用户容器使用情况的实时监测，并对出现异常情况进行及时处理，能够提高系统的安全性和稳定性。

公开(公告)号：CN106357673B

公开(公告)日：2019-06-21

申请号：CN201610912580.0

申请日：2016-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  王淼 ,  徐震 ,  马多贺 ,  陈凯 ,  董文婷

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种多租户云计算系统DDoS攻击检测方法及系统。本方法为：在多租户云计算系统的控制节点设置一个检测服务器，在每个计算节点建立一个检测代理；检测代理根据第i时间段采集的流量数据，统计该第i时间段每个虚拟机向不同目的IP地址分别发送的数据包数；检测代理根据统计数据计算各虚拟机的流量熵变化值，如果虚拟机i发给目的IP的流量熵变化值超过设定的流量熵变化阈值，则判定该数据流为可疑DDoS攻击流，并将其发给检测服务器；检测服务器根据数据目的IP地址和租户标识聚集目的地址以及聚集结果在总流量中的占比识别出潜在攻击流量；如果两潜在攻击流的相对熵小于设定阈值，则判定为DDoS攻击流。