-
公开(公告)号:CN113132349A
公开(公告)日:2021-07-16
申请号:CN202110270449.X
申请日:2021-03-12
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明公开了一种免代理云平台虚拟流量入侵检测方法及装置,包括:宿主机初始化DPDK,并启动OpenvSwitch,使用vhost‑user后端驱动启动qemu虚拟机;采集网卡流量及虚拟流量,其中网卡流量通过DPDK到达用户空间,网卡流量及虚拟流量通过vhost‑user后端驱动旁路至共享内存无锁环形缓冲区中;对网卡流量及虚拟流量的数据包进行解码;通过解析若干样本流程生成一规则库,并依据所述规则库对解码数据进行检测,获取入侵检测结果。本发明使用DPDK从网卡高性能采集数据包,提高数据收发及处理效率;通过将入侵检测系统采用代理方式部署在云计算节点内部,及在转发数据包到入侵检测代理前对隧道头的处理,实现“看见”且“认识”虚拟流量。
-
公开(公告)号:CN106096400B
公开(公告)日:2019-10-01
申请号:CN201610391501.6
申请日:2016-06-06
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明公开了一种Linux内核并行LSM框架实现方法。本方法为:1)LSM框架中的钩子函数指针结构体中添加一链表结构;在LSM框架中创建一安全域字段数组,该安全域域字段数组中的每一指针对应一安全模块的安全域;2)根据配置获得多个安全模块的启动参数并执行对应初始化函数;当安全模块加载进入内核时,给该安全模块分配一钩子函数指针结构体,然后将该安全模块中的钩子函数与该结构体中的指针相连接,之后通过链表结构将该安全模块与其他安全模块的钩子函数指针结构体链接;3)运行LSM框架插入在系统调用函数中的钩子函数,按顺序依次执行链接起来的各安全模块对应的具体钩子函数。本发明使得各安全模块间相互独立,地位平等。
-
公开(公告)号:CN106096400A
公开(公告)日:2016-11-09
申请号:CN201610391501.6
申请日:2016-06-06
Applicant: 中国科学院信息工程研究所
IPC: G06F21/55
Abstract: 本发明公开了一种Linux内核并行LSM框架实现方法。本方法为:1)LSM框架中的钩子函数指针结构体中添加一链表结构;在LSM框架中创建一安全域字段数组,该安全域域字段数组中的每一指针对应一安全模块的安全域;2)根据配置获得多个安全模块的启动参数并执行对应初始化函数;当安全模块加载进入内核时,给该安全模块分配一钩子函数指针结构体,然后将该安全模块中的钩子函数与该结构体中的指针相连接,之后通过链表结构将该安全模块与其他安全模块的钩子函数指针结构体链接;3)运行LSM框架插入在系统调用函数中的钩子函数,按顺序依次执行链接起来的各安全模块对应的具体钩子函数。本发明使得各安全模块间相互独立,地位平等。
-
公开(公告)号:CN105138905A
公开(公告)日:2015-12-09
申请号:CN201510526555.4
申请日:2015-08-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/53
CPC classification number: G06F21/53
Abstract: 本发明提供了一种Linux应用程序的隔离运行方法,所述方法包括以下步骤:为Linux应用程序配置其运行所需资源的沙箱,其中所述沙箱配置了独立的文件系统、所占CPU时间的最大百分比、所绑定的CPU核以及所使用的最大内存;独立的文件系统转换为Linux应用程序的根目录;将Linux应用程序绑定到与其对应的沙箱中配置的所绑定的CPU核;中断发生时,判断当前进程对CPU访问时长是否大于所占CPU时间的最大百分比对应的一时间段内对CPU的最长访问时间,若是切换到沙箱之外的进程;实时检测Linux应用程序运行使用的内存,并在其大于所使用的最大内存时结束Linux应用程序的运行。本发明实现了应用程序之间及应用程序与操作系统之间的隔离,保证恶意应用程序不会对操作系统产生威胁。
-
Patent Agency Ranking
公开(公告)号:CN117892361A
公开(公告)日:2024-04-16
申请号:CN202311714896.5
申请日:2023-12-13
Applicant: 中国科学院信息工程研究所
Abstract: 本申请提供一种容器运行时安全控制方法及装置,涉及容器安全技术领域。所述方法包括:基于目标容器安全钩子与初始容器配置文件,确定目标容器配置文件;所述目标容器安全钩子包含一种或多种容器安全验证机制;所述初始容器配置文件包括运行容器时所需的配置信息;基于容器运行参数与所述目标容器配置文件,进行容器运行时安全控制。本申请提供的容器运行时安全控制方法及装置,可以实现一种通用的容器安全架构。
-
公开(公告)号:CN113315805A
公开(公告)日:2021-08-27
申请号:CN202110379713.3
申请日:2021-04-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种云基础设施可信设备的群组验证方法和系统,该方法包括:获取目标客户端的平台配置寄存器PCR信息和度量日志,目标客户端上设置有多台虚拟机;通过目标客户端在注册时的白名单验证所述设备启动阶段的PCR值是否正确,并通过所述IMA度量日志验证所述操作系统运行阶段的PCR值是否正确,并通过所述虚拟机度量日志验证所述虚拟机运行阶段的PCR值是否正确;如果所述设备启动阶段的PCR值、所述操作系统运行阶段的PCR值和所述虚拟机运行阶段的PCR值均正确,则判定所述目标客户端可信。本发明可以使用户安全使用云平台服务,保护用户隐私,大幅提升虚拟机验证的效率。
-
公开(公告)号:CN113157386A
公开(公告)日:2021-07-23
申请号:CN202110236121.6
申请日:2021-03-03
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种从物理机到虚拟机的信任链构建方法及系统,该方法包括:进行物理机和虚拟机监控器的可信度量处理;在云平台对虚拟机进行启动和关闭操作时,度量并保存所述虚拟机的状态信息;获取所述虚拟机的状态信息;如果启动所述虚拟机,则度量虚拟机镜像,与基准值进行比较;根据比较结果得到所述虚拟机的可信结果;如果关闭所述虚拟机,则更新虚拟机可信度量基准值。本发明可以保证云平台计算环境的安全可信。
-
公开(公告)号:CN112667998A
公开(公告)日:2021-04-16
申请号:CN202011442927.2
申请日:2020-12-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种容器镜像仓库的安全访问方法及系统,包括结合一用户当前的defaultDomain参数与officialRepoName参数,解析该用户发起的pull/push命令后的参数,查找目标镜像仓库,确定镜像名和标签;目标镜像仓库依据该用户的信息,确定用户的pull/push权限,进行镜像验签或签名。本发明取消匿名用户,任何docker用户需先登录目标仓库才可进行镜像访问,在系统中设置系统管理员、安全管理员和审计管理员三种管理员,满足了更高的安全需求。
-
公开(公告)号:CN112667998B
公开(公告)日:2024-03-01
申请号:CN202011442927.2
申请日:2020-12-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种容器镜像仓库的安全访问方法及系统,包括结合一用户当前的defaultDomain参数与officialRepoName参数,解析该用户发起的pull/push命令后的参数,查找目标镜像仓库,确定镜像名和标签;目标镜像仓库依据该用户的信息,确定用户的pull/push权限,进行镜像验签或签名。本发明取消匿名用户,任何docker用户需先登录目标仓库才可进行镜像访问,在系统中设置系统管理员、安全管理员和审计管理员三种管理员,满足了更高的安全需求。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.058 seconds)
