本發明屬于虛擬機鏡像靜態掃描，尤其涉及一種基于超融合平臺的虛擬機鏡像靜態掃描方法與系統。

背景技術：

1、在當今數字化浪潮洶涌澎湃的時代背景下，超融合平臺依托其卓越的資源整合特性，涵蓋計算、存儲與網絡資源的一體化融合，已然成為眾多企業構建現代化數據中心與云計算基礎設施的核心抉擇之一。虛擬機鏡像作為在超融合平臺之上構建多樣化虛擬機實例的根基性模板，其自身的安全性無疑在整個虛擬化生態體系中占據著舉足輕重的地位。

2、隨著信息技術的持續演進，網絡安全威脅的形態也日益繁復且多變，傳統針對虛擬機鏡像的安全防護手段逐漸顯露出諸多難以逾越的局限性。在超融合平臺這一復雜且分布式的環境架構中，既有的掃描技術往往在掃描的完備性、精準度、資源利用的合理性以及應對大規模靜態虛擬機鏡像處理的高效性等維度上表現欠佳。這一系列缺陷極易致使虛擬機在后續的部署及運行階段遭受諸如惡意攻擊者利用鏡像中隱匿的漏洞進行非法入侵、惡意軟件借助鏡像傳播擴散進而破壞整個系統的穩定性與完整性、因配置不當而引發的網絡安全漏洞致使敏感信息泄露等嚴峻的安全威脅，給企業的業務運營以及數據資產保護帶來難以估量的風險與損失。

3、因此，如何預先排除虛擬機于生產環境部署前可能潛藏的各類安全隱患，確保超融合平臺所支撐的虛擬化環境能夠維持高度的安全性、穩定性以及合規性，是目前亟需解決的技術問題。

技術實現思路

1、本發明的目的在于提供一種基于超融合平臺的虛擬機鏡像靜態掃描方法與系統，用以預先排除虛擬機于生產環境部署前可能潛藏的各類安全隱患，確保超融合平臺所支撐的虛擬化環境能夠維持高度的安全性、穩定性以及合規性。

2、為解決上述技術問題，本發明采用的技術方案如下：

3、一種基于超融合平臺的虛擬機鏡像靜態掃描方法，包括以下步驟：

4、s1：通過鏡像采集與預處理模塊創建待掃描鏡像存儲的一致性快照，基于超整合分布式節點，運用索引與檢索算法，獲取靜態虛擬機鏡像文件，提取并記錄其元數據信息，對虛擬機鏡像文件進行多輪哈希計算，與預設的標準哈希值進行比對驗證；

5、s2：通過資源調度與監控模塊實時采集超融合平臺全方位的資源數據，運用預設算法為掃描任務分配相應資源配額，包括掃描任務的最優執行節點、分配?cpu?核數、設定內存容量以及網絡帶寬限制；

6、s3：通過綜合掃描引擎模塊進行多階段深度掃描，先以文件指紋、特征匹配初篩，再通過版本智能比對排除誤判，最后對關鍵復雜組件采用靜態代碼分析深挖潛在高危漏洞，通過對虛擬機鏡像中的各類文件進行多維度的特征提取與分析對已知惡意軟件的快速甄別與定位，并對鏡像中的配置文件進行全方位審查；

7、s4：通過結果處理與報告生成模塊全面收集掃描引擎模塊在掃描過程中所產生的各類結果數據，運用預設算法對各類結果數據進行深度分類整理、關聯分析以及匯總統計。

8、優選的，步驟s1中通過鏡像采集與預處理模塊創建待掃描鏡像存儲的一致性快照的具體過程如下：

9、s11：鏡像采集與預處理模塊接收外部啟動指令或者在指定時間節點激活鏡像采集與預處理模塊開始執行任務；

10、s12：通過調用分布式存儲系統提供的快照創建接口，在啟動采集時為目標鏡像存儲生成一致性快照；

11、s13：基于超融合分布式節點設置鏡像索引與檢索，快速定位并獲取海量靜態虛擬機鏡像中的目標鏡像，從分布式文件鏡像存儲快照存儲中獲取鏡像元數據信息，從中篩選出指定索引項儲快照存儲中獲取鏡像元數據信息，采用預設哈希算法分配節點?id?和索引項存儲位置；

12、s14：創建分布式鏡像掃描暫存文件存儲待掃描鏡像，并獲取待掃描鏡像列表，記錄待掃描鏡像元數據信息，判斷待掃描鏡像格式，將鏡像存儲至新建的分布式鏡像掃描暫存文件存儲，并進行鏡像完整性計算。

13、優選的，步驟s13的具體過程如下：

14、s131：從分布式文件鏡像存儲快照存儲中獲取鏡像元數據信息，從中篩選出包括鏡像名、創建時間、大小的關鍵特征作為索引項；

15、s132：采用預設哈希算法來分配節點?id?和索引項存儲位置，每個節點根據自身的網絡地址、硬件標識的綜合信息生成一個哈希值作為節點id；

16、s133：對于索引項，計算其哈希值，通過所述預設哈希算法將索引項映射到對應的節點上；

17、s134：當收到檢索請求，根據給定查詢條件，多節點并行檢索，快速定位目標鏡像索引。

18、優選的，步驟s14的具體過程如下：

19、s141：創建分布式鏡像掃描暫存文件存儲待掃描鏡像，并獲取待掃描鏡像列表，抓取包括鏡像的創建時間戳、版本迭代信息、鏡像來源、上次使用時間的關鍵元數據制定掃描策略；

20、s142：通過讀取鏡像文件頭部指定標識、結構信息判斷待掃描鏡像格式，其中當待掃描鏡像格式為非qcow2?格式，當鏡像格式為vmdk或raw時，啟動對應的無損解壓與格式轉換程序，將其轉換為統一的?qcow2?格式；

21、s143：將鏡像存儲至新建的分布式鏡像掃描暫存文件存儲，將qcow2?格式及經過處理后的非qcow2格式的qcow2鏡像存放到新建的分布式文件存儲位置；

22、s144：當鏡像獲取、解壓、轉換操作完成并存儲到標準鏡像緩存區后，啟動系統的完整性校驗，對于qcow2格式鏡像，基于快照存儲中的鏡像進行哈希計算，對于非qcow2格式鏡像，基于鏡像緩存區轉換后的qcow2格式鏡像進行哈希計算，并將計算出的哈希值作為基準值存入數據庫；

23、s145：當對鏡像進行一輪操作后，對鏡像進行哈希值計算，將當前鏡像的哈希值與預先存入的標準哈希值進行比對驗證，若兩者一致，判定鏡像數據真實完整，若不一致，則觸發告警機制，向運維監控系統發送包含鏡像標識、錯誤哈希值的詳細信息的告警通知。

24、優選的，步驟s2中通過資源調度與監控模塊實時采集超融合平臺全方位的資源數據，運用預設算法為掃描任務分配相應資源配額的具體過程如下：

25、s21：部署node?exporter和prometheus服務器，利用?node?exporter收集超融合平臺節點的各類基礎資源指標，再通過?prometheus服務器進行數據聚合、存儲與查詢，為后續流程提供數據支持；

26、s22：prometheus服務器利用指定查詢語言編寫查詢語句，在指定時間節點對存儲在數據庫中的資源數據進行匯總，建立資源充裕度評分機制，根據資源充裕度評分結果確定掃描任務的最優執行集群節點，根據節點cpu資源狀況和掃描任務的復雜度，為每個掃描任務分配相應的cpu算力，并設置內存容量和網絡帶寬；

27、s23：根據任務來源、任務時效為任務賦予優先級，基于任務優先級為所有提交的掃描任務創建任務隊列，并為任務隊列中的每個任務分配最優執行節點，根據任務隊列，依次將任務卸載至分配的最優執行節點進行處理；

28、s24：設定多維度的資源監控閾值，實時監測任務執行中資源占用，同時利用預設調度算法實時調整更新任務調度策略。

29、優選的，步驟s3的具體過程如下：

30、s31：與nvd、cve?數據庫建立數據連接，通過定期的數據同步接口獲取最新的漏洞信息，對從不同源獲取的數據進行清洗，去除重復、無效信息，進行統一格式規范化，并提取包括漏洞編號、漏洞描述、受影響版本范圍、修復建議的關鍵信息整合存儲到本地知識庫中，構建統一的數據結構；

31、s32：設置實時監測組件，當nvd、cve?數據庫發布緊急安全更新、行業出現重大漏洞披露時，立即觸發更新流程，在指定時間內將相關信息更新到知識庫；

32、s33：通過文件指紋與特征匹配初篩，版本智能對比排除誤判，關鍵復雜組件代碼分析的層層遞進的掃描方式，從粗粒度到細粒度全面排查漏洞；

33、s34：構建惡意軟件特征識別模型，從公開的惡意軟件樣本庫、安全機構共享的樣本數據多渠道收集惡意軟件樣本，對樣本進行多維度特征提取，構建特征向量后輸入惡意軟件特征識別模型進行訓練；

34、s35：對待掃描的虛擬機鏡像中的各類文件，按照訓練階段的特征提取方法，依次計算文件哈希值、解析文件頭結構、提取代碼段語義特征，構建待檢測文件的特征向量，并輸入訓練后的惡意軟件特征識別模型；

35、s36：惡意軟件特征識別模型輸出每個文件的惡意概率值，與設定概率閾值進行比較，當概率值大于閾值時，將該文件標記為疑似惡意軟件；

36、s37：對于疑似惡意軟件，利用基于機器學習模型的智能特征匹配技術進行驗證，該模型基于已知惡意軟件的典型特征模式訓練而成，通過比對文件特征與包括指定的代碼段序列、文件結構布局的典型特征模式進行匹配，若匹配成功，則判定該文件為惡意軟件，詳細記錄其在鏡像中的位置、類型信息，生成惡意軟件識別報告。

37、優選的，步驟s4的具體過程如下：

38、s41：在掃描引擎模塊與結果處理模塊之間建立高效的數據傳輸接口，采用基于消息隊列的通信機制使數據實時穩定傳輸，定義標準化的數據格式，掃描引擎按照統一的結構輸出結果數據；

39、s42：對接收的數據進行格式校驗，判斷其是否符合預先定義的標準格式，若否，向掃描引擎模塊反饋錯誤信息，請求重新發送或進行修正；

40、s43：對接收的數據進行清洗，去除重復、冗余的數據記錄，對于部分關鍵字段缺失的數據，根據數據的分布特征及業務知識進行合理填充，對于某些漏洞的風險等級字段缺失，結合同類漏洞的已知風險等級及該漏洞的相關描述進行推斷填充，對于無法填充的，標記為待確認數據，單獨存放以便后續人工處理；

41、s44：從原始數據中提取有價值的特征，對于漏洞數據，提取漏洞類型、受影響的軟件組件、發現漏洞的掃描工具特征；對于惡意軟件數據，提取文件哈希值、傳播途徑特征、感染的系統區域等特征；對于配置缺陷數據，提取配置文件類型、涉及的用戶權限級別、安全策略類別特征，將提取的特征組合成結構化的特征向量，供后續算法使用；

42、s45：將提取的特征向量分為漏洞、惡意軟件、配置缺陷大類，在每個大類下進一步細分，包括將漏洞分為操作系統漏洞、應用軟件漏洞、網絡協議漏洞子類；將惡意軟件分為蠕蟲、木馬、病毒子類；將配置缺陷分為用戶權限配置不當、加密策略缺陷、審計策略缺陷子類，形成層次分明的分類體系；

43、s46：尋找同時出現的漏洞與惡意軟件組合，分析是否存在惡意軟件利用特定漏洞進行傳播或攻擊的情況；探究配置缺陷與漏洞、惡意軟件之間的關聯，包括用戶權限配置過高是否導致更容易遭受特定類型的惡意軟件攻擊或漏洞利用；通過關聯分析生成關聯分析報告。

44、優選的，在步驟s46之后，還包括以下過程：

45、s47：計算各類漏洞、惡意軟件、配置缺陷的數量、出現頻率的基本統計量，創建風險評級模型；

46、s48：對于每一個掃描發現的問題，提取其對應的漏洞、惡意軟件、配置缺陷的相關特征信息，代入風險評級模型進行計算得到風險評級結果，將風險評級結果與問題詳情關聯存儲，在數據庫中明確標記每個問題的風險等級；

47、s49：在模板引擎配置多種報告模板，在模板引擎中定義動態數據填充區域，與數據庫中的掃描結果數據、風險評級信息進行關聯，基于開源可視化圖表庫，將之前生成的各類可視化圖表轉換為圖片或?html?片段形式，嵌入到掃描報告的相應位置，并對漏洞、惡意軟件、配置缺陷生成針對性的修復建議。

48、第二方面，提供一種基于超融合平臺的虛擬機鏡像靜態掃描系統，用于實現所述的一種基于超融合平臺的虛擬機鏡像靜態掃描方法，包括鏡像采集與預處理模塊、資源調度與監控模塊、綜合掃描引擎模塊和結果處理與報告生成模塊，所述鏡像采集與預處理模塊與資源調度與監控模塊連接，資源調度與監控模塊與綜合掃描引擎模塊連接，綜合掃描引擎模塊與結果處理與報告生成模塊連接；

49、所述鏡像采集與預處理模塊，用于創建待掃描鏡像存儲的一致性快照，基于超整合分布式節點，運用索引與檢索算法，獲取靜態虛擬機鏡像文件，提取并記錄其元數據信息，對虛擬機鏡像文件進行多輪哈希計算，與預設的標準哈希值進行比對驗證；

50、所述資源調度與監控模塊，用于實時采集超融合平臺全方位的資源數據，運用預設算法為掃描任務分配相應資源配額，包括掃描任務的最優執行節點、分配?cpu?核數、設定內存容量以及網絡帶寬限制；

51、所述綜合掃描引擎模塊，用于進行多階段深度掃描，先以文件指紋、特征匹配初篩，再通過版本智能比對排除誤判，最后對關鍵復雜組件采用靜態代碼分析深挖潛在高危漏洞，通過對虛擬機鏡像中的各類文件進行多維度的特征提取與分析對已知惡意軟件的快速甄別與定位，并對鏡像中的配置文件進行全方位審查；

52、所述結果處理與報告生成模塊，用于全面收集掃描引擎模塊在掃描過程中所產生的各類結果數據，運用預設算法對各類結果數據進行深度分類整理、關聯分析以及匯總統計。

53、本發明的有益效果包括：

54、本發明提供的基于超融合平臺的虛擬機鏡像靜態掃描方法與系統，創建待掃描鏡像存儲快照，運用索引與檢索算法，獲取靜態虛擬機鏡像文件，提取并記錄其元數據信息后進行完整性校驗；實時采集超融合平臺全方位的資源數據，運用預設算法為掃描任務分配相應資源配額；多階段深度掃描，先以文件指紋、特征匹配初篩，再通過版本智能比對排除誤判，對關鍵復雜組件采用靜態代碼分析深挖潛在高危漏洞，通過對已知惡意軟件的快速甄別與定位，并對鏡像中的配置文件進行全方位審查；運用預設算法對各類結果數據進行深度分類整理、關聯分析以及匯總統計，實現了在較短時間內完成大規模超融合集群中的虛擬機鏡像掃描。

55、首先，超融合平臺深度融合的虛擬機鏡像靜態掃描架構設計，涵蓋鏡像采集、綜合掃描、資源調度、結果反饋各環節與超融合平臺無縫對接、協同工作的技術實現，充分發揮超融合平臺的分布式，彈性、集成化等特性，通過優化鏡像解析過程和智能調度資源，本發明能夠在較短時間內完成大規模超融合集群中的虛擬機鏡像掃描，大大縮短了等待時間。

56、其次，通過綜合掃描引擎模塊內，多源融合漏洞知識庫構建及多階段深度掃描技術、惡意軟件靜態檢測、配置合規精細檢測，能夠快速高效地識別惡意軟件等，有效降低了風險。

57、最后，通過資源調度與優化模塊基于超融合平臺實時資源數據的智能預測、動態分配策略的優化算法及異常調整機制實現了快速的應急處理，動態資源調度策略確保了掃描任務不會對超融合平臺的正常運作造成過大負擔，維持了良好的性能水平。并借助先進的誤報過濾機制，本發明有效減少了虛假警報的數量，使得管理員可以更加專注于真正重要的安全問題。