[发明专利]一种云平台虚拟机逃逸监测告警方法

权利要求书

1.一种云平台虚拟机逃逸监测告警方法，其特征在于，所述的方法由主机操作系统端、控制端和代理端三部分实现；

所述的云平台主机操作系统使用虚拟化强制访问控制策略，开启SELinux和libvirt安全插件，并对虚拟机进程执行文件、镜像文件等进行安全标记；

所述的控制端实现：

接收各代理端汇报上来的安全事件信息，处理信息并保存进数据库；

根据信息通过邮件告警运维人员；并提供告警查询和安全事件统计接口；

所述的代理端实现：

定时监测主机虚拟机逃逸事件，定时用ausearch工具根据检查点和主客体安全上下文过滤主机审计日志，进而快速获取主体类型为svirt_t并且操作为denied的记录即为虚拟机逃逸记录；并汇报虚拟机逃逸记录给控制端。

2.根据权利要求1所述的方法，其特征在于：

所述虚拟化强制访问控制策略，是指虚拟机进程访问规则，定义允许访问的客体类型及操作集合；策略仅仅允许svirt_t的进程读写svirt_image_t的文件和设备，确保虚拟机便不能肆意访问宿主机。

3.根据权利要求1所述的方法，其特征在于：所述libvirt安全插件，是指在Libvirt中添加一个安全架构插件，在qemu配置文件中配置安全驱动，使Libvirt自动给镜像文件配置标签并且保证虚拟机以正确的标签启动。

4.根据权利要求2所述的方法，其特征在于：所述libvirt安全插件，是指在Libvirt中添加一个安全架构插件，在qemu配置文件中配置安全驱动，使Libvirt自动给镜像文件配置标签并且保证虚拟机以正确的标签启动。

5.根据权利要求1至4任一项所述的方法，其特征在于：所述安全上下文是主客体的属性标签，一个安全上下文由三部分组成：用户、角色和类型标识符；用下面的格式指定或显示安全上下文：

USER：ROLE：TYPE[LEVEL[：CATEGORY]]。

6.根据权利要求1至4任一项所述的方法，其特征在于：所述安全事件统计接口，按小时、天、周、月等统计虚拟机攻击事件，返回数据包括攻击对象，攻击类型，攻击次数，执行操作。

7.根据权利要求5所述的方法，其特征在于：所述安全事件统计接口，按小时、天、周、月等统计虚拟机攻击事件，返回数据包括攻击对象，攻击类型，攻击次数，执行操作。