基于消息队列的openstack租户操作行为审计方法及系统技术方案

技术编号:16783617 阅读:73 留言:0更新日期:2017-12-13 02:12
本发明专利技术公开了一种基于消息队列的openstack租户操作行为审计方法和系统,所述方法包括以下步骤:连接openstack消息队列,获取消息队列所有指令消息;对所述指令消息进行过滤和解析,获取符合要求的指令消息;对解析后的操作类指令消息,按一定格式进行存储;对所述操作类指令消息进行分级,根据用户需求执行查询和统计分析。本发明专利技术实现了租户操作行为的可追溯,并且通过操作行为的分级管理,加强了对租户操作行为的监督及预测,从而提高云平台的可信任性。

【技术实现步骤摘要】
基于消息队列的openstack租户操作行为审计方法及系统
本专利技术涉及云资源数据挖掘领域,尤其涉及一种基于消息队列的openstack租户操作行为审计方法及系统。
技术介绍
随着IT行业在全球范围内的快速发展,IT平台的规模和复杂程度出现了大幅度的提升,但是,高昂的硬件和运维管理成本、漫长的业务部署周期以及缺乏统一管理的基础架构为企业IT部门制造了重重障碍。云计算技术颠覆性的改变了传统IT行业的消费模式和服务模式,消费者实现了从以前的“购买软硬件产品”向“购买IT服务”转变,并通过Internet自助式的获取和使用服务,大大提高了IT效率和敏捷性。在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻,一些新型的安全问题变得比较突出,如多个虚拟机租户间并行业务的安全运行,公有云中海量数据的安全存储等。其中还有一个比较重要的方面是云信任问题的突现,不管是公有云还是私有云平台,都会涉及到平台信任问题,即租户会担心自己的环境会不会被其它租户的操作而影响,像修改、变更甚于删除等操作会不会也影响整个云环境的配置等。所有租户的操作行为是否有记录,是否可方便追溯,是否可根据操作行为的危险级别进行统计、分析、预测等。现有的租户操作行为审计主要采用分析日志文件的方式,此种方式存在以下问题:(1)侵入式的采集方式,需要在云计算平台的节点主机上安装日志收集代理程序,并且需要针对云平台内主机的作用不同而采用不同的代理程序;(2)不能动态增加,当增加云平台节点时,需要安装对应的代理程序,操作比较繁琐。(3)日志项不全,有些日志不记录操作人(租户),无法对应到用户,因此也无法溯源。因此,如何实现云平台所有租户操作行为的审计,提高租户对云平台的信任度,是目前需要本领域技术人员迫切解决的一个技术问题。
技术实现思路
为了解决上述问题,本专利技术提供一种基于消息队列的openstack租户操作行为审计方法及系统。所述采用非侵入式采集方式对消息队列进行进行信息采集,减轻了运维工作;对采集的信息进行过滤和解析,区分操作类和非操作类指令消息,并对租户操作类行为进行记录,有效做到了对各租户的操作行为可追溯;此外,还对操作类行为进行分级管理,一定程度上加强了对租户操作行为的监督及预测,从而提高云平台的可信任性。为了实现上述目的,本专利技术采用如下技术方案:一种基于消息队列的openstack租户操作行为审计方法,包括以下步骤:步骤1:连接openstack消息队列,获取消息队列所有指令消息;步骤2:对所述指令消息进行过滤和解析,获取符合要求的指令消息;步骤3:对解析后的操作类指令消息,按一定格式进行存储;步骤4:对所述操作类指令消息进行分级,根据用户需求执行查询和统计分析。进一步地,所述步骤2包括:步骤2.1:按消息类型进行过滤,丢弃非操作类指令消息,保留操作类指令消息;步骤2.2:将所述操作类指令消息格式化为结构化数据;步骤2.3:对结构化后的操作类指令消息进行解析,并根据解析出的租户标识数据,调动权限控制API对所述租户的信息进行查询,若能够获取租户信息,则对该指令消息进行存储;若不能获取租户信息,则丢弃该指令消息。进一步地,所述步骤3包括:将解析后的操作类指令消息存储在关系数据库。进一步地,所述步骤4包括:根据操作指令消息的破坏程度的可能性大小,系统对其进行了分级。进一步地,所述查询和统计分析包括:操作行为查询、按租户统计操作行为、按级别统计操作行为、按项目统计操作行为和按操作类型统计。进一步地,其中,所述操作行为查询,用于按时间段、租户、项目、操作类型综合查询操作行为;所述按租户统计操作行为,用于按时间段统计各租户对云平台操作的次数和操作频度;按级别统计操作行为,用于按时间段统计不同级别的操作次数和频度;按操作类型统计,用于按时间段统计细粒度的操作行为次数及频度。根据本专利技术的第二方面,本专利技术还提供了一种基于消息队列的openstack租户操作行为审计系统,包括openstack云平台和客户端,所述openstack云平台包括API模块和消息队列;所述API模块用于分配账户和密码,并提供多个任务接口;所述消息队列用于解析API模块传输的任务信息,并将其转换为任务消息进行存储;所述客户端包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下操作:监听所述消息队列,截取所有指令消息;对所述指令消息进行过滤和解析,获取符合要求的指令消息;对解析后的操作类指令消息,按一定格式进行存储;对所述操作类指令消息进行分级,根据用户需求执行查询和统计分析。进一步地,对所述指令消息进行过滤和解析包括:按消息类型进行过滤,丢弃非操作类指令消息,保留操作类指令消息;将所述操作类指令消息格式化为结构化数据;对结构化后的操作类指令消息进行解析,并根据解析出的租户标识数据,调动权限控制API对所述租户的信息进行查询,若能够获取租户信息,则对该指令消息进行存储;若不能获取租户信息,则丢弃该指令消息。根据本专利技术的第三方面,本专利技术还提供了一种基于消息队列的openstack租户操作行为审计装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下操作:监听openstack云平台上的消息队列,截取所有指令消息;对所述指令消息进行过滤和解析,获取符合要求的指令消息;对解析后的操作类指令消息,按一定格式进行存储;对所述操作类指令消息进行分级,根据用户需求执行查询和统计分析。进一步地,对所述指令消息进行过滤和解析包括:按消息类型进行过滤,丢弃非操作类指令消息,保留操作类指令消息;将所述操作类指令消息格式化为结构化数据;对结构化后的操作类指令消息进行解析,并根据解析出的租户标识数据,调动权限控制API对所述租户的信息进行查询,若能够获取租户信息,则对该指令消息进行存储;若不能获取租户信息,则丢弃该指令消息。本专利技术的有益效果:1、本专利技术采用非侵入式采集方式对消息队列进行消息截取,针对分布式云计算平台的动态增删主机提供最大便利,不需要安装代理,只需要在服务端简单配置即可工作,减轻运维工作。2、本专利技术将解析出的租户操作类指令消息进行记录,有效做到了各租户的操作行为可追溯。并且实现了操作类指令消息的分级管理,一定程度上加强了对租户操作行为的监督及预测,从而提高云平台的可信任性。附图说明构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。图1为本专利技术基于消息队列的openstack租户操作行为审计方法流程图;图2为本专利技术基于消息队列的openstack租户操作行为审计系统结构图。具体实施方式下面结合附图与实施例对本专利技术作进一步说明。专业术语解释:消息队列(RabbitMQ):消息中间件利用高效可靠的消息传递机制进行平台无关的数据交流,并基于数据通信来进行分布式系统的集成。openstack:是一个旨在为公共及私有云的建设与管理提供软件的开源项目。Openstack用户操作行为:隶属于openstack云平台的用户,对云平台相关功能及组件进行的操作指令,此指令可实现对云平台的管理、控制等作用。租本文档来自技高网
...
基于消息队列的openstack租户操作行为审计方法及系统

【技术保护点】
一种基于消息队列的openstack租户操作行为审计方法,其特征在于,包括以下步骤:步骤1:连接openstack消息队列,获取消息队列所有指令消息;步骤2:对所述指令消息进行过滤和解析,获取符合要求的指令消息;步骤3:对解析后的操作类指令消息,按一定格式进行存储;步骤4:对所述操作类指令消息进行分级,根据用户需求执行查询和统计分析。

【技术特征摘要】
1.一种基于消息队列的openstack租户操作行为审计方法,其特征在于,包括以下步骤:步骤1:连接openstack消息队列,获取消息队列所有指令消息;步骤2:对所述指令消息进行过滤和解析,获取符合要求的指令消息;步骤3:对解析后的操作类指令消息,按一定格式进行存储;步骤4:对所述操作类指令消息进行分级,根据用户需求执行查询和统计分析。2.如权利要求1所述的基于消息队列的openstack租户操作行为审计方法,其特征在于,所述步骤2包括:步骤2.1:按消息类型进行过滤,丢弃非操作类指令消息,保留操作类指令消息;步骤2.2:将所述操作类指令消息格式化为结构化数据;步骤2.3:对结构化后的操作类指令消息进行解析,并根据解析出的租户标识数据,调动权限控制API对所述租户的信息进行查询,若能够获取租户信息,则对该指令消息进行存储;若不能获取租户信息,则丢弃该指令消息。3.如权利要求1所述的基于消息队列的openstack租户操作行为审计方法,其特征在于,所述步骤3包括:将解析后的操作类指令消息存储在关系数据库。4.如权利要求1所述的基于消息队列的openstack租户操作行为审计方法,其特征在于,所述步骤4包括:根据操作指令消息的破坏程度的可能性大小,系统对其进行了分级。5.如权利要求1所述的基于消息队列的openstack租户操作行为审计方法,其特征在于,所述查询和统计分析包括:操作行为查询、按租户统计操作行为、按级别统计操作行为、按项目统计操作行为和按操作类型统计。6.如权利要求5所述的基于消息队列的openstack租户操作行为审计方法,其特征在于,其中,所述操作行为查询,用于按时间段、租户、项目、操作类型综合查询操作行为;所述按租户统计操作行为,用于按时间段统计各租户对云平台操作的次数和操作频度;按级别统计操作行为,用于按时间段统计不同级别的操作次数和频度;按操作类型统计,用于按时间段统计细粒度的操作行为次数及频度。7.一种基于消息队列的openstack租户操作行为审计系统,其特征在于,包括openstack...

【专利技术属性】
技术研发人员:王恒段文良
申请(专利权)人:北京哈工大计算机网络与信息安全技术研究中心
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1