CN108039974A - 一种云平台虚拟机逃逸监测告警方法 - Google Patents

一种云平台虚拟机逃逸监测告警方法 Download PDF

Info

Publication number
CN108039974A
CN108039974A CN201711377654.6A CN201711377654A CN108039974A CN 108039974 A CN108039974 A CN 108039974A CN 201711377654 A CN201711377654 A CN 201711377654A CN 108039974 A CN108039974 A CN 108039974A
Authority
CN
China
Prior art keywords
virtual machine
attack
libvirt
cloud platform
record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201711377654.6A
Other languages
English (en)
Inventor
邓玉芳
季统凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G Cloud Technology Co Ltd
Original Assignee
G Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by G Cloud Technology Co Ltd filed Critical G Cloud Technology Co Ltd
Priority to CN201711377654.6A priority Critical patent/CN108039974A/zh
Publication of CN108039974A publication Critical patent/CN108039974A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0627Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及云平台安全技术领域,特别是一种云平台虚拟机逃逸监测告警方法。本发明由云平台主机操作系统使用虚拟化强制访问控制策略,开启SELinux和libvirt安全插件,并对虚拟机进程执行文件、镜像文件等进行安全标记;控制端实现:接收各代理端汇报上来的安全事件信息,处理信息并保存进数据库;根据信息通过邮件告警运维人员;并提供告警查询和安全事件统计接口;代理端定时监测主机虚拟机逃逸事件,定时用ausearch工具根据检查点和主客体安全上下文过滤主机审计日志,进而快速获取主体类型为svirt_t并且操作为denied的记录即为虚拟机逃逸记录;并汇报虚拟机逃逸记录给控制端。本发明解决了虚拟机逃逸监测告警问题;可以用于虚拟机安全监控。

Description

一种云平台虚拟机逃逸监测告警方法
技术领域
本发明涉及云平台安全技术领域,特别是一种云平台虚拟机逃逸监测告警方法。
背景技术
随着云计算的发展,越来越多的各类信息系统和信息终端将依托云计算平台而存在,越来越多的研发和业务流程将依托云计算平台来支撑。云计算平台主要由计算节点及其上的虚拟机组成,虚拟机是宿主机中的一个相对独立的计算环境,类似于一个沙盒,具有较好的安全特性;但是,由于虚拟化软件自身的缺陷与不足,针对虚拟机的安全攻击依然时有发生,其中最主要一种就是虚拟机逃逸攻击。
所谓虚拟机逃逸攻击是指攻击者从虚拟机环境中逃逸出来,从而能够对宿主机产生影响甚至获得控制,并能够访问到该宿主机中的敏感信息。在这种情形下,对虚拟机逃逸攻击的监测告警显得尤为重要。
发明内容
本发明解决的技术问题在于提供一种云平台虚拟机逃逸监测告警方法;有效监测云平台中恶意用户、病毒或恶意代码利用虚拟机管理程序(hypervisor)的漏洞通过虚拟机对主机的攻击,当发生虚拟机逃逸时,系统能自动产生告警,及时通知运维人员处理,并生成安全事件统计分析报表辅助运维人员了解云平台安全态势。
本发明解决上述技术问题的技术方案是:
所述的方法由主机操作系统端、控制端和代理端三部分实现;
所述的云平台主机操作系统使用虚拟化强制访问控制策略,开启SELinux和libvirt安全插件,并对虚拟机进程执行文件、镜像文件等进行安全标记;
所述的控制端实现:
接收各代理端汇报上来的安全事件信息,处理信息并保存进数据库;
根据信息通过邮件告警运维人员;并提供告警查询和安全事件统计接口;
所述的代理端实现:
定时监测主机虚拟机逃逸事件,定时用ausearch工具根据检查点和主客体安全上下文过滤主机审计日志,进而快速获取主体类型为svirt_t并且操作为denied的记录即为虚拟机逃逸记录;并汇报虚拟机逃逸记录给控制端。
所述虚拟化强制访问控制策略,是指虚拟机进程访问规则,定义允许访问的客体类型及操作集合;策略仅仅允许svirt_t的进程读写svirt_image_t的文件和设备,确保虚拟机便不能肆意访问宿主机。
所述libvirt安全插件,是指在Libvirt中添加一个安全架构插件,在qemu配置文件中配置安全驱动,使Libvirt自动给镜像文件配置标签并且保证虚拟机以正确的标签启动。
所述安全上下文是主客体的属性标签,一个安全上下文由三部分组成:用户、角色和类型标识符;用下面的格式指定或显示安全上下文:
USER:ROLE:TYPE[LEVEL[:CATEGORY]]。
所述安全事件统计接口,按小时、天、周、月等统计虚拟机攻击事件,返回数据包括攻击对象,攻击类型,攻击次数,执行操作。
本发明通过强制访问控制机制限定虚拟机进程的操作范围,定时分析出违规操作日志,将虚拟机逃逸攻击记录汇报到控制端,控制端将收到的违规记录保存进数据库并进入告警流程。云平台所有节点的虚拟机逃逸告警都在一个地方统一管理,给云平台运维人员提供很大的便利性,让运维人员及时了解云平台内恶意代码、病毒等对平台的攻击,做出相应处理,进而保证平台的稳定运行。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明方法流程图;
图2为本发明模块部署结构框图。
具体实施方式
如图1、2所示,本发明的基本流程如下:
先对虚拟机进程主客体进行安全上下文标记:
[root@controller~]#ls-Z/usr/sbin/libvirtd
-rwxr-xr-x.root root system_u:object_r:virtd_exec_t:s0/usr/sbin/libvirtd
[root@controller i-20163AA7]#ls-Zi-20163AA7_image
lrwxrwxrwx.root root system_u:object_r:virt_image_t:s0i-20163AA7_image
其次利用Libvirt中安全架构插件给qemu配置安全驱动,这样Libvirt会自动给镜像文件配置标签并且保证虚拟机以正确的标签启动,并且这些标签是无法更改的。本发明用的是一种基于域-类型模型(domain-type)的强制访问控制(MAC)安全系统SELinux的安全驱动:
/etc/libvirt/qemu.conf
security_driver="selinux"
再次,使用虚拟化强制访问控制策略,seLinux的策略仅仅允许svirt_t的进程读写sVIrt_image_t的文件和设备,这种情况下虚拟机便不能肆意访问宿主机:
接着,开启SELinux的enforcing模式,即强制模式:
vi/etc/selinux/config
SELINUX=enforcing
然后定时获取及解析主机审计日志,根据主客体安全上下文分析确定虚拟机逃逸记录,并将告警记录汇报到控制端。检测模块定时使用以下命令搜索,并过滤出包含“avc:denied”的记录即为虚拟机逃逸的记录,将事件的日期、时间、类型、主体标识、客体标识和结果等通过RabbitMQ汇报给控制端:
ausearch--checkpoint="/etc/audit/audit-checkpoint"-m avc-su svirt_t
最后,控制端将接收到的告警记录保存至数据库、邮件通知运维人员,并生成安全事件统计报表,按小时、天、周、月等统计虚拟机攻击事件,返回数据包括攻击对象,攻击类型,攻击次数,执行操作等来辅助运维人员分析安全事件。
本发明是基于Linux内核中提供的强制访问控制(MAC)系统SELinux和libvirt的安全插件svirt的基础上实现的,使用虚拟化强制访问控制策略对虚拟机进程只赋予最小的权限,当虚拟机试图访问其允许之外的资源时,将通不过SELinux系统的强制访问控制,并被linux系统的审计服务所记录。
本发明为了更精准、性能损耗更小地监测虚拟机逃逸这种攻击,使用在操作系统内核层实现了对虚拟机进程及其需要操作的各种资源进行安全上下文标记,然后利用强制访问控制根据策略决定操作是否通过,并记录违规日志。系统定时对审计日志进行分析过滤出虚拟机逃逸记录汇报到控制端,控制端将告警保存到数据库,即时告警运维人员,并生成安全事件统计分析报表辅助运维人员了解云平台安全态势。

Claims (7)

1.一种云平台虚拟机逃逸监测告警方法,其特征在于,所述的方法由主机操作系统端、控制端和代理端三部分实现;
所述的云平台主机操作系统使用虚拟化强制访问控制策略,开启SELinux和libvirt安全插件,并对虚拟机进程执行文件、镜像文件等进行安全标记;
所述的控制端实现:
接收各代理端汇报上来的安全事件信息,处理信息并保存进数据库;
根据信息通过邮件告警运维人员;并提供告警查询和安全事件统计接口;
所述的代理端实现:
定时监测主机虚拟机逃逸事件,定时用ausearch工具根据检查点和主客体安全上下文过滤主机审计日志,进而快速获取主体类型为svirt_t并且操作为denied的记录即为虚拟机逃逸记录;并汇报虚拟机逃逸记录给控制端。
2.根据权利要求1所述的方法,其特征在于:
所述虚拟化强制访问控制策略,是指虚拟机进程访问规则,定义允许访问的客体类型及操作集合;策略仅仅允许svirt_t的进程读写svirt_image_t的文件和设备,确保虚拟机便不能肆意访问宿主机。
3.根据权利要求1所述的方法,其特征在于:所述libvirt安全插件,是指在Libvirt中添加一个安全架构插件,在qemu配置文件中配置安全驱动,使Libvirt自动给镜像文件配置标签并且保证虚拟机以正确的标签启动。
4.根据权利要求2所述的方法,其特征在于:所述libvirt安全插件,是指在Libvirt中添加一个安全架构插件,在qemu配置文件中配置安全驱动,使Libvirt自动给镜像文件配置标签并且保证虚拟机以正确的标签启动。
5.根据权利要求1至4任一项所述的方法,其特征在于:所述安全上下文是主客体的属性标签,一个安全上下文由三部分组成:用户、角色和类型标识符;用下面的格式指定或显示安全上下文:
USER:ROLE:TYPE[LEVEL[:CATEGORY]]。
6.根据权利要求1至4任一项所述的方法,其特征在于:所述安全事件统计接口,按小时、天、周、月等统计虚拟机攻击事件,返回数据包括攻击对象,攻击类型,攻击次数,执行操作。
7.根据权利要求5所述的方法,其特征在于:所述安全事件统计接口,按小时、天、周、月等统计虚拟机攻击事件,返回数据包括攻击对象,攻击类型,攻击次数,执行操作。
CN201711377654.6A 2017-12-19 2017-12-19 一种云平台虚拟机逃逸监测告警方法 Withdrawn CN108039974A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711377654.6A CN108039974A (zh) 2017-12-19 2017-12-19 一种云平台虚拟机逃逸监测告警方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711377654.6A CN108039974A (zh) 2017-12-19 2017-12-19 一种云平台虚拟机逃逸监测告警方法

Publications (1)

Publication Number Publication Date
CN108039974A true CN108039974A (zh) 2018-05-15

Family

ID=62100064

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711377654.6A Withdrawn CN108039974A (zh) 2017-12-19 2017-12-19 一种云平台虚拟机逃逸监测告警方法

Country Status (1)

Country Link
CN (1) CN108039974A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109522285A (zh) * 2018-11-14 2019-03-26 北京首信科技股份有限公司 一种日志数据统计方法及系统
CN112073389A (zh) * 2020-08-21 2020-12-11 苏州浪潮智能科技有限公司 云主机安全态势感知系统、方法、设备及存储介质
CN117354060A (zh) * 2023-12-04 2024-01-05 彩讯科技股份有限公司 一种针对云计算IaaS层漏洞检测方法、系统和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104077532A (zh) * 2014-06-20 2014-10-01 中标软件有限公司 一种Linux虚拟化平台安全检测方法及系统
CN105590058A (zh) * 2015-12-18 2016-05-18 北京奇虎科技有限公司 虚拟机逃逸的检测方法及装置
CN106778257A (zh) * 2016-12-08 2017-05-31 北京国电通网络技术有限公司 一种虚拟机防逃逸装置
US20170257266A1 (en) * 2013-10-25 2017-09-07 International Business Machines Corporation Sharing a java virtual machine

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170257266A1 (en) * 2013-10-25 2017-09-07 International Business Machines Corporation Sharing a java virtual machine
CN104077532A (zh) * 2014-06-20 2014-10-01 中标软件有限公司 一种Linux虚拟化平台安全检测方法及系统
CN105590058A (zh) * 2015-12-18 2016-05-18 北京奇虎科技有限公司 虚拟机逃逸的检测方法及装置
CN106778257A (zh) * 2016-12-08 2017-05-31 北京国电通网络技术有限公司 一种虚拟机防逃逸装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王景学: "《中国优秀硕士学位论文全文数据库 信息科技辑》", 30 November 2014 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109522285A (zh) * 2018-11-14 2019-03-26 北京首信科技股份有限公司 一种日志数据统计方法及系统
CN112073389A (zh) * 2020-08-21 2020-12-11 苏州浪潮智能科技有限公司 云主机安全态势感知系统、方法、设备及存储介质
CN112073389B (zh) * 2020-08-21 2023-01-24 苏州浪潮智能科技有限公司 云主机安全态势感知系统、方法、设备及存储介质
CN117354060A (zh) * 2023-12-04 2024-01-05 彩讯科技股份有限公司 一种针对云计算IaaS层漏洞检测方法、系统和介质
CN117354060B (zh) * 2023-12-04 2024-02-13 彩讯科技股份有限公司 一种针对云计算IaaS层漏洞检测方法、系统和介质

Similar Documents

Publication Publication Date Title
US11663031B2 (en) Techniques for securing virtual cloud assets at rest against cyber threats
US11797684B2 (en) Methods and systems for hardware and firmware security monitoring
US10057285B2 (en) System and method for auditing governance, risk, and compliance using a pluggable correlation architecture
US10140453B1 (en) Vulnerability management using taxonomy-based normalization
US8863276B2 (en) Automated role adjustment in a computer system
CN103443727B (zh) 异常检测系统以及异常检测方法
CN108683652A (zh) 一种基于行为权限的处理网络攻击行为的方法及装置
CN106775929B (zh) 一种虚拟化平台安全监控方法及系统
CN107209825A (zh) 经由存储器监测的数据流跟踪
CN105474225A (zh) 在基于云的数据中心中对计算资源进行自动监控
WO2012065774A1 (en) A method for attesting a plurality of data processing systems
CN108039974A (zh) 一种云平台虚拟机逃逸监测告警方法
CN104038466A (zh) 用于云计算环境的入侵检测系统、方法及设备
CN112800457B (zh) 一种用于区块链网络的敏感信息监管方法及系统
CN111813497A (zh) 一种容器环境异常检测的方法、装置、介质及计算机设备
CN110971464A (zh) 一种适合灾备中心的运维自动化系统
WO2022005706A1 (en) Deep learning-based analysis of signals for threat detection
AU2006259409A1 (en) Duration of alerts and scanning of large data stores
Bauer et al. Building and operating a large-scale enterprise data analytics platform
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
US20050010812A1 (en) Computer system software "black box" capture device
CN106326769B (zh) 一种野外监测信息处理装置
US20210067554A1 (en) Real-time notifications on data breach detected in a computerized environment
CN107888438A (zh) 一种基于流表技术的自动感知并适应云环境变化的方法和系统
Song et al. CAML: Machine learning-based predictable, system-level anomaly detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20180515

WW01 Invention patent application withdrawn after publication