虚拟机加固系统及方法与流程

1.本发明涉及虚拟机管理技术领域，尤其涉及一种虚拟机加固系统及方法。


背景技术：

2.虚拟机在运行客户机程序时，常常会受到恶意程序的攻击，导致虚拟机无法安全且稳定的运行。因此，需要对虚拟机进行安全加固，以保证虚拟机运行的安全性和稳定性。
3.现有技术中，虚拟机的加固方法有：安全事件捕获方法和虚拟机磁盘扫描方法。但安全事件捕获方法需要捕获和分析，大量且复杂的安全事件，因此，虚拟机安全加固的成本和复杂性较高；虚拟机磁盘扫描方法需要引入安全相关的硬件，以至于虚拟机安全加固的便捷性较差。


技术实现要素：

4.本发明提供了一种虚拟机加固系统及方法，以解决虚拟机加固成本较高和便捷性较差的技术问题。
5.根据本发明的一方面，提供了一种虚拟机加固系统，其中，该系统包括：运行于虚拟机管理器的权限管理模块和目标加固虚拟机；其中，
6.所述目标加固虚拟机，与所述权限管理模块连接，用于执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；
7.所述权限管理模块，用于在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。
8.根据本发明的另一方面，提供了一种虚拟机加固方法，其中，该方法包括：
9.执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；
10.在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。
11.本发明实施例的技术方案，通过所述目标加固虚拟机，与所述权限管理模块连接，用于执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；所述权限管理模块，用于在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。基于本发明的技术方案，能够通过权限周期文件对客户机程序对应的各个运行阶段对各个权限资源的访问权限进行管理，减小了目标加固虚拟机被恶意程序攻击的攻击面，实现了虚拟机的安全加固，并降低了虚拟机加固成本，提升了虚拟机加固的便捷性。
12.应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
13.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
14.图1是根据本发明实施例一提供的一种虚拟机加固系统的结构图；
15.图2是根据本发明实施例提供的一种虚拟机加固系统的整体结构图；
16.图3是根据本发明实施例提供的虚拟机管理器工作的流程图；
17.图4是根据本发明实施例二提供的一种虚拟机加固方法的流程图。
具体实施方式
18.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
19.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
20.实施例一
21.图1是根据本发明实施例一提供的一种虚拟机加固系统的结构图。如图1所示，该系统包括：运行于虚拟机管理器的权限管理模块110和目标加固虚拟机120。
22.其中，所述目标加固虚拟机120，与所述权限管理模块连接，用于执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；所述权限管理模块110，用于在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。
23.其中，所述客户机程序可以为运行于所述目标加固虚拟机的程序。
24.所述陷入指令可以是在所述客户机程序发生陷入时，生成的指令。
25.所述权限周期文件可以是记录所述客户机程序对应的各个运行阶段对各个权限资源的访问权限的文件。
26.所述目标加固虚拟机可以是所述权限管理模块管理的虚拟机。
27.所述运行阶段可以是所述客户机程序运行的阶段。在本发明实施例中，所述运行阶段可以根据场景需求预设，在此不做具体限定。可选的，所述运行阶段可以包括初始化阶段、任务调度阶段、设备访问阶段以及低功耗阶段中至少一种。
28.所述权限资源可以是所述客户机程序访问的资源。在本发明实施例中，所述权限资源可以根据场景需求预设，在此不做具体限定。可选的，所述权限资源可以包括内部寄存器、系统协处理器、内存区域以及外设寄存器中至少一种。
29.所述访问权限可以是所述客户机程序访问所述权限资源的权限。在本发明实施例中，所述访问权限可以根据场景需求预设，在此不做具体限定。可选的，所述访问权限可以是读写权限。
30.可选的，所述权限管理模块还包括陷入类型判断单元；其中，
31.所述陷入类型判断单元，用于判断所述陷入指令的陷入类型，并在所述陷入类型为权限管理类陷入的情况下，加载所述权限周期文件，在所述陷入类型为异常类陷入的情况下，关闭所述目标加固虚拟机。
32.其中，所述陷入类型可以理解为所述陷入指令的类型。可选的，所述陷入类型可以包括权限管理类陷入和异常类陷入。
33.可选的，所述权限管理模块还包括权限授予单元；其中，
34.所述权限授予单元，用于当所述客户机程序运行至当前所述运行阶段的入口时，授予所述客户机程序在当前所述运行阶段所需的访问权限，当所述客户机程序执行至当前所述运行阶段的出口时，回收所述客户机程序在当前所述运行阶段被授予的所述访问权限。
35.可选的，所述权限管理模块还包括虚拟机关机单元；其中，
36.所述虚拟机关机单元，用于响应于所述目标加固虚拟机发送的关机指令，关闭所述目标加固虚拟机。
37.其中，所述关机指令可以是用于关闭所述目标加固虚拟机的指令。
38.在本发明实施例中，关闭所述目标加固虚拟机后，所述目标加固虚拟机停止运行所述客户机程序，主机释放所述目标加固虚拟机的所占资源。
39.可选的，所述虚拟机监测系统还包括运行于所述虚拟机管理器的文件路径确定模块；其中，
40.所述文件路径确定模块，用于在执行客户机程序之前，确定所述目标加固虚拟机，并在所述目标加固虚拟机对应的创建参数中添加所述权限周期文件的所在路径，启动所述目标加固虚拟机；
41.所述权限管理模块，用于在接收所述陷入指令后，根据所述路径加载所述目标加固虚拟机对应的所述权限周期文件。
42.其中，所述确定所述目标加固虚拟机，包括：响应于虚拟机选定操作，确定所述待加固虚拟机中的所述目标加固虚拟机。在本发明实施例中，所述目标加固虚拟机可以是全部所述待加固虚拟机，也可以是部分所述待加固虚拟机。其中，所述虚拟机选定操作为选定所述目标加固虚拟机的操作。在本发明实施例中，所述虚拟机选定操作的执行方式可以根据需求预设，在此不做具体限定。
43.所述创建参数可以为创建所述目标加固虚拟机的参数。
44.可选的，所述虚拟机监测系统，还包括运行于所述虚拟机管理器的，虚拟机创建模块和监听标志添加模块；其中，
45.所述虚拟机创建模块，用于在确定所述目标加固虚拟机之前，创建待加固虚拟机；
46.所述监听标志添加模块，用于在所述待加固虚拟机中添加权限监听标志，启动所述待加固虚拟机并运行所述客户机程序。
47.其中，所述待加固虚拟机可以理解为待加固的虚拟机。
48.所述权限监听标志可以为监听所述待加固虚拟机的标志。
49.可选的，所述权限管理模块还包括访问日志确定单元和周期文件构建单元；其中，
50.所述访问日志确定单元，用于基于所述权限监听标志得到所述待加固虚拟机的访问日志；
51.所述周期文件构建单元，用于根据所述访问日志划分所述运行阶段，并确定所述客户机程序中各个所述运行阶段的所需所述访问权限，以构建所述权限周期文件。
52.其中，所述访问日志可以为记录所述客户机程序在运行过程中，对权限资源的访问情况的日志。
53.可选的，所述访问日志确定单元包括访问禁止子单元和访问日志生成子单元；其中，
54.所述访问禁止子单元，用于在所述待加固虚拟机运行时，禁止所述待加固虚拟机直接访问所述权限资源，并使所述客户机程序开始访问所述权限资源时产生陷入，模拟对所述权限资源的访问，记录模拟访问数据，其中，所述模拟访问数据包括当前陷入位置、所访问的所述权限资源、所需的所述访问权限以及访问时间中至少一种；
55.所述访问日志生成子单元，用于继续运行所述客户机程序，直至所述客户机程序运行结束，根据记录的所述模拟访问数据生成所述待加固虚拟机的所述访问日志。
56.其中，所述模拟访问数据可以是所述客户机程序模拟对所述权限资源的访问所生成的数据。
57.本发明实施例的技术方案，通过所述目标加固虚拟机，与所述权限管理模块连接，用于执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；所述权限管理模块，用于在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。基于本发明的技术方案，能够通过权限周期文件对客户机程序对应的各个运行阶段对各个权限资源的访问权限进行管理，减小了目标加固虚拟机被恶意程序攻击的攻击面，实现了虚拟机的安全加固，并降低了虚拟机加固成本，提升了虚拟机加固的便捷性。
58.图2是根据本发明实施例提供的一种虚拟机加固系统的整体结构图；参考图2，具体的，虚拟机加固系统的整体结构可以是：
59.1、虚拟机管理器（hypervisor）。虚拟机管理器是一个具备硬件系统层虚拟化能力的软件，它通过截获和模拟部分指令和外设来实现虚拟机，为客户机操作程序呈现和物理硬件相同或相近的硬件系统。
60.2、权限管理模块（authority management）。权限管理模块是虚拟机管理器的一个功能组件，它负责授予和禁止虚拟机相关权限，例如：寄存器的访问权限、协处理的访问权限、内存的访问权限、物理设备的访问权限等。
61.3、目标加固虚拟机（vm）。目标加固虚拟机是由虚拟机管理器创建和管理的运行环境，目标加固虚拟机为客户机程序提供可定制的虚拟计算机，运行在虚拟机中的程序就像
运行在真实的计算机中一样。
62.4、客户机程序（guest os）。客户机程序是指运行在目标加固虚拟机中的程序，该程序可以是裸机程序，也可以是操作系统。
63.5、权限周期文件（model file）。权限周期文件记录了不同运行时阶段中客户机程序在目标加固虚拟机中实际可以访问的权限范围。
64.6、客户机程序的权限范围（permission range）。客户机程序的权限范围由目标加固虚拟机的权限管理模块决定，权限大致被分为：处理器权限、内存访问权限、设备访问权限。
65.图3是根据本发明实施例提供的虚拟机管理器工作的流程图；参考图3，具体的，虚拟机管理器工作流程可以是：
66.1、创建待加固虚拟机。虚拟机管理器创建待加固虚拟机，并在创建参数中指明客户机程序的权限周期文件的所在路径。
67.2、修改部分客户机程序的指令。权限管理模块读取客户机程序的权限周期文件，并在各个阶段的入口和出口放置陷入指令，并保存被替换处的原有指令。
68.3、启动目标加固虚拟机。虚拟机管理器启动目标加固虚拟机，目标加固虚拟机将从启动地址处开始执行客户机程序。客户机程序开始执行，客户机程序是指运行在虚拟机中的程序，该程序可以是裸机程序，也可以是操作系统。
69.4、权限管理。当客户机程序执行到权限管理模块在程序中放置的陷入指令时，客户机程序将产生权限管理类陷入。虚拟机管理器将判断目标加固虚拟机的陷入类型，如果是权限管理类陷入，则依据权限周期文件进行处理，如果是异常类陷入，则虚拟机管理器将强制关闭目标加固虚拟机，否则返回继续执行客户机程序。
70.5、加载权限周期文件。当目标加固虚拟机产生权限管理类陷入时，虚拟机权限管理模块将根据此时陷入产生的地址在权限周期文件中查找对应的权限管理信息，然后执行权限管理动作表中的所有动作，以实现当前阶段的权限授予和禁止。
71.6、虚拟机权限管理模块执行权限管理的动作。权限管理的动作主要包括虚拟机中系统寄存器读写权限的设置、虚拟机中系统协处理器是否可以用的设置、虚拟机中内存区域和io端口是否可以读写的设置。
72.7、当虚拟机权限管理模块识别到客户机程序有非法操作时，权限管理模块将强制关闭当前目标加固虚拟机。
73.8、当客户机程序主动执行关机操作时，虚拟管理器将关闭当前的目标加固虚拟机，目标加固虚拟机关机后，客户机程序不再执行。
74.9、虚拟机管理器销毁目标加固虚拟机，并释放目标加固虚拟机所占有的系统资源。
75.需要理解的是，客户机程序运行在目标加固虚拟机中，客户机程序在运行期间并不会时时刻刻都需要访问目标加固虚拟机所属的所有设备和内存，部分设备和指令仅在客户机程序启动时会被访问到，部分设备和内存仅在客户机程序处理业务时会被访问到，部分设备和指令只有在客户机程序执行关机操作时才会被用到。由此可见，客户机程序对指令、设备和内存的访问权限具有一定的生命周期特性，在生命周期的不同阶段客户机程序仅会访问虚拟机的部分指令、设备和内存。
76.因此，在本发明实施例中，通过客户机程序的权限周期文件来管理虚拟机所属指令、设备和内存在不同时期的可访问属性，从而减小虚拟机被恶意程序攻击的攻击面，同时很大程度上减小了需要关注和监测的虚拟机安全事件。通过建立客户机程序的权限周期文件，可以有效的对虚拟机进行安全加固。
77.实施例二
78.图4为本发明实施例二提供的一种虚拟机加固方法的流程图，虚拟机加固方法可用于虚拟机加固系统。如图4所示，所述虚拟机加固方法具体包括：
79.s210、执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块。
80.s220、在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。
81.可选的，所述权限管理模块还包括陷入类型判断单元；其中，
82.通过所述陷入类型判断单元，判断所述陷入指令的陷入类型，并在所述陷入类型为权限管理类陷入的情况下，加载所述权限周期文件，在所述陷入类型为异常类陷入的情况下，关闭所述目标加固虚拟机。
83.可选的，所述权限管理模块还包括权限授予单元；其中，
84.通过所述权限授予单元，当所述客户机程序运行至当前所述运行阶段的入口时，授予所述客户机程序在当前所述运行阶段所需的访问权限，当所述客户机程序执行至当前所述运行阶段的出口时，回收所述客户机程序在当前所述运行阶段被授予的所述访问权限。
85.可选的，所述权限管理模块还包括虚拟机关机单元；其中，
86.通过所述虚拟机关机单元，响应于所述目标加固虚拟机发送的关机指令，关闭所述目标加固虚拟机。
87.可选的，所述虚拟机监测方法，还包括：
88.通过运行于所述虚拟机管理器的文件路径确定模块，在执行客户机程序之前，确定所述目标加固虚拟机，并在所述目标加固虚拟机对应的创建参数中添加所述权限周期文件的所在路径，启动所述目标加固虚拟机；
89.通过所述权限管理模块，在接收所述陷入指令后，根据所述路径加载所述目标加固虚拟机对应的所述权限周期文件。
90.可选的，所述虚拟机监测方法，还包括：
91.通过运行于所述虚拟机管理器的虚拟机创建模块，在确定所述目标加固虚拟机之前，创建待加固虚拟机；
92.通过运行于所述虚拟机管理器的监听标志添加模块，在所述待加固虚拟机中添加权限监听标志，启动所述待加固虚拟机并运行所述客户机程序。
93.可选的，所述权限管理模块还包括访问日志确定单元和周期文件构建单元；其中，
94.通过所述访问日志确定单元，基于所述权限监听标志得到所述待加固虚拟机的访问日志；
95.通过所述周期文件构建单元，根据所述访问日志划分所述运行阶段，并确定所述
客户机程序中各个所述运行阶段的所需所述访问权限，以构建所述权限周期文件。
96.可选的，所述访问日志确定单元包括访问禁止子单元和访问日志生成子单元；其中，
97.通过所述访问禁止子单元，在所述待加固虚拟机运行时，禁止所述待加固虚拟机直接访问所述权限资源，并使所述客户机程序开始访问所述权限资源时产生陷入，模拟对所述权限资源的访问，记录模拟访问数据，其中，所述模拟访问数据包括当前陷入位置、所访问的所述权限资源、所需的所述访问权限以及访问时间中至少一种；
98.通过所述访问日志生成子单元，继续运行所述客户机程序，直至所述客户机程序运行结束，根据记录的所述模拟访问数据生成所述待加固虚拟机的所述访问日志。
99.可选的，所述权限资源包括内部寄存器、系统协处理器、内存区域以及外设寄存器中至少一种，所述运行阶段包括初始化阶段、任务调度阶段、设备访问阶段以及低功耗阶段中至少一种，所述访问权限包括读写权限。
100.本发明实施例的技术方案，通过所述目标加固虚拟机，与所述权限管理模块连接，用于执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；所述权限管理模块，用于在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。基于本发明的技术方案，能够通过权限周期文件对客户机程序对应的各个运行阶段对各个权限资源的访问权限进行管理，减小了目标加固虚拟机被恶意程序攻击的攻击面，实现了虚拟机的安全加固，并降低了虚拟机加固成本，提升了虚拟机加固的便捷性。

技术特征：
1.一种虚拟机加固系统，其特征在于，包括：运行于虚拟机管理器的权限管理模块和目标加固虚拟机；其中，所述目标加固虚拟机，与所述权限管理模块连接，用于执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令，将所述陷入指令发送至所述权限管理模块；所述权限管理模块，用于在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。2.根据权利要求1所述的系统，其特征在于，所述权限管理模块还包括陷入类型判断单元；其中，所述陷入类型判断单元，用于判断所述陷入指令的陷入类型，并在所述陷入类型为权限管理类陷入的情况下，加载所述权限周期文件，在所述陷入类型为异常类陷入的情况下，关闭所述目标加固虚拟机。3.根据权利要求1所述的系统，其特征在于，所述权限管理模块还包括权限授予单元；其中，所述权限授予单元，用于当所述客户机程序运行至当前所述运行阶段的入口时，授予所述客户机程序在当前所述运行阶段所需的访问权限，当所述客户机程序执行至当前所述运行阶段的出口时，回收所述客户机程序在当前所述运行阶段被授予的所述访问权限。4.根据权利要求1所述的系统，其特征在于，所述权限管理模块还包括虚拟机关机单元；其中，所述虚拟机关机单元，用于响应于所述目标加固虚拟机发送的关机指令，关闭所述目标加固虚拟机。5.根据权利要求2所述的系统，其特征在于，还包括运行于所述虚拟机管理器的文件路径确定模块；其中，所述文件路径确定模块，用于在执行客户机程序之前，确定所述目标加固虚拟机，并在所述目标加固虚拟机对应的创建参数中添加所述权限周期文件的所在路径，启动所述目标加固虚拟机；所述权限管理模块，用于在接收所述陷入指令后，根据所述路径加载所述目标加固虚拟机对应的所述权限周期文件。6.根据权利要求5所述的系统，其特征在于，还包括运行于所述虚拟机管理器的，虚拟机创建模块和监听标志添加模块；其中，所述虚拟机创建模块，用于在确定所述目标加固虚拟机之前，创建待加固虚拟机；所述监听标志添加模块，用于在所述待加固虚拟机中添加权限监听标志，启动所述待加固虚拟机并运行所述客户机程序。7.根据权利要求6所述的系统，其特征在于，所述权限管理模块还包括访问日志确定单元和周期文件构建单元；其中，所述访问日志确定单元，用于基于所述权限监听标志得到所述待加固虚拟机的访问日志；所述周期文件构建单元，用于根据所述访问日志划分所述运行阶段，并确定所述客户机程序中各个所述运行阶段的所需所述访问权限，以构建所述权限周期文件。
8.根据权利要求7所述的系统，其特征在于，所述访问日志确定单元包括访问禁止子单元和访问日志生成子单元；其中，所述访问禁止子单元，用于在所述待加固虚拟机运行时，禁止所述待加固虚拟机直接访问所述权限资源，并使所述客户机程序开始访问所述权限资源时产生陷入，模拟对所述权限资源的访问，记录模拟访问数据，其中，所述模拟访问数据包括当前陷入位置、所访问的所述权限资源、所需的所述访问权限以及访问时间中至少一种；所述访问日志生成子单元，用于继续运行所述客户机程序，直至所述客户机程序运行结束，根据记录的所述模拟访问数据生成所述待加固虚拟机的所述访问日志。9.根据权利要求1所述的系统，其特征在于，所述权限资源包括内部寄存器、系统协处理器、内存区域以及外设寄存器中至少一种，所述运行阶段包括初始化阶段、任务调度阶段、设备访问阶段以及低功耗阶段中至少一种，所述访问权限包括读写权限。10.一种虚拟机加固方法，其特征在于，包括：执行客户机程序，并在所述客户机程序发生陷入时，生成陷入指令；在接收所述陷入指令后，根据权限周期文件，确定并设置所述客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使所述客户机程序基于所述访问权限运行。

技术总结
本发明公开了一种虚拟机加固系统及方法。其中，所述虚拟机加固系统包括：目标加固虚拟机，与权限管理模块连接，用于执行客户机程序，并在客户机程序发生陷入时，生成陷入指令，将陷入指令发送至权限管理模块；权限管理模块，用于在接收陷入指令后，根据权限周期文件，确定并设置客户机程序对应的当前运行阶段对各个权限资源的访问权限，以使客户机程序基于访问权限运行。基于本发明的技术方案，能够通过权限周期文件对客户机程序对应的各个运行阶段对各个权限资源的访问权限进行管理，减小了目标加固虚拟机被恶意程序攻击的攻击面，实现了虚拟机的安全加固，并降低了虚拟机加固成本，提升了虚拟机加固的便捷性。提升了虚拟机加固的便捷性。提升了虚拟机加固的便捷性。


技术研发人员：焦进星
受保护的技术使用者：北京翼辉信息技术有限公司
技术研发日：2023.07.25
技术公布日：2023/8/24