CN111881453A - 一种容器逃逸检测方法、装置以及电子设备 - Google Patents
一种容器逃逸检测方法、装置以及电子设备 Download PDFInfo
- Publication number
- CN111881453A CN111881453A CN202010701870.7A CN202010701870A CN111881453A CN 111881453 A CN111881453 A CN 111881453A CN 202010701870 A CN202010701870 A CN 202010701870A CN 111881453 A CN111881453 A CN 111881453A
- Authority
- CN
- China
- Prior art keywords
- container
- namespace
- escape
- system call
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 claims abstract description 320
- 230000008569 process Effects 0.000 claims abstract description 291
- 230000015654 memory Effects 0.000 claims description 20
- 238000005516 engineering process Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种容器逃逸检测方法、装置以及电子设备,涉及容器技术以及云计算技术领域。具体实现方案为:对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:在确定发生容器逃逸的情况下,输出预警信息。本申请实施例的容器逃逸检测方法中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。
Description
技术领域
本申请涉及计算机技术中的容器技术以及云计算技术领域,尤其涉及一种容器逃逸检测方法、装置以及电子设备。
背景技术
随着计算机技术的发展,容器技术应用也越来越广泛,在轻量级虚拟化领域广泛应用,为用户提供弹性资源能力,提高资源利用率。容器技术广泛应用的同时,其安全问题也受到广泛关注,其中,容器逃逸是一种影响较严重的安全问题,攻击者通过正常的容器化业务逻辑,注入攻击程序,借助某些安全漏洞获得宿主机上执行某些命令的权限。
目前,常采用的容器逃逸检测方法有两种,一种是对容器的系统调用数据流进行分析,匹配某些攻击模式,主要是通过决策树对系统调用序列进行分析和分类,来判断逃逸是否发生。另一种是对宿主机上的敏感文件进行监控,如果文件内容被篡改,则确定逃逸发生。
发明内容
本申请提供一种容器逃逸检测方法、装置和电子设备。
第一方面,本申请一个实施例提供一种容器逃逸检测方法,所述方法包括:
对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
在确定发生容器逃逸的情况下,输出预警信息。
本申请实施例的容器逃逸检测方法中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。
第二方面,本申请一个实施例提供一种容器逃逸检测装置,所述装置包括:
检测模块,用于对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
输出模块,用于在确定发生容器逃逸的情况下,输出预警信息。
本申请实施例的容器逃逸检测装置进行容器逃逸检测过程中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。
第三方面,本申请一个实施例还提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请各实施例提供的方法。
第四方面,本申请一个实施例还提供一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行本申请各实施例提供的方法。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请提供的一个实施例的一种容器逃逸检测方法的流程示意图之一;
图2是本申请提供的一个实施例的一种容器逃逸检测方法的流程示意图之二;
图3是本申请提供的一个实施例的一种容器逃逸检测方法的流程示意图之三;
图4是本申请提供的一个实施例的一种容器逃逸检测方法装置的结构图之一;
图5是本申请提供的一个实施例的一种容器逃逸检测方法装置的结构图之二;
图6是本申请提供的一个实施例的一种容器逃逸检测方法装置的结构图之三;
图7是用来实现本申请实施例的一种容器逃逸检测方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
如图1所示,根据本申请的实施例,本申请提供一种容器逃逸检测方法,该方法可以应用于服务器,方法包括:
步骤S101:对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸。
步骤S102:在确定发生容器逃逸的情况下,输出预警信息。
容器是运行在独立的环境中,并不会和其他的应用共享主机操作系统的内存、CPU或磁盘,确保了容器内的进程不会影响到容器外的任何进程。容器,可以理解为与系统其它部分隔离开的一系列进程,即一系列受到资源限制以及彼此间相互隔离的进程,容器共享宿主机的内核。
然而,容器逃逸是一种影响较严重的安全问题,为了提高容器的安全性,可对容器进行逃逸检测。在本实施例中,可对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸。其中,目标内容包括:当前命名空间、操作对象、系统调用中的至少一项。在确定发生容器逃逸的情况下,输出预警信息,以提醒发生容器逃逸,如此,用户可采取相应的应对措施,例如,停止或终止容器等。
在本实施例的容器逃逸检测方法在进行容器逃逸检测的过程中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。
在一个实施例中,在以下任一情况下,确定发生容器逃逸:
容器内的进程的当前命名空间与进程预先关联的命名空间不一致;
容器内的进程的操作对象超出进程关联的文件白名单范围;
容器内的进程的系统调用超出进程的权限范围;
容器内的进程的系统调用超出进程的可使用系统调用的范围;
容器内的进程的系统调用中的参数内容包括攻击内容。
命名空间用于做隔离,可实现内核级别隔离系统资源,通过将系统的全局资源放在不同命名空间中,实现资源隔离的目的,如此,容器内的进程可对应各自的命名空间,一个进程可对应多个命名空间,不同命名空间在不同方面进行隔离,使进程只能看到对应命名空间中的世界,在同一命名空间下的进程可感知彼此的变化。针对容器内的进程绕过对应的命名空间进行操作的检测,实现容器逃逸检测,容器内的进程一旦绕过对应的命名空间进行操作,例如,逃逸到宿主机的命名空间,以及逃逸到其他容器的命名空间,进程的命名空间发生了改变,即表示容器发生了逃逸。从而,在本实施例中,预先建立关联的命名空间即为进程对应的正确的命名空间,可通过检测进程的当前命名空间与进程预先关联的命名空间是否不一致,若不一致,表示进程的命名空间发生了改变,可认为容器发生了逃逸。
还可以针对容器内的进程修改容器外文件的检测,即检测进程的操作对象是否超出进程关联的文件白名单范围,以确定是否发生容器逃逸,其中,操作对象可以理解为操作文件,即进程需要进行操作的文件。在本实施例中,预先为进程关联了可操作的文件白名单,检测进程的操作对象是否超出进程关联的文件白名单范围,即表示检测进程的操作对象是否在进程关联的文件白名单中,若在进程关联的文件白名单中,表示进程的操作对象未超出进程关联的文件白名单范围,若不在进程关联的文件白名单中,表示进程的操作对象超出进程关联的文件白名单范围,可认为发生了容器逃逸。
还可以针对容器内的进程绕过Capability进行操作的检测,Capability机制对root(根用户)权限进行细粒度的控制,Linux(操作系统)将传统上与root关联的特权划分为不同的单元,称为Capabilites。Capabilites作为进程的属性存在,每个单元可以独立启用和禁用。如此一来,权限检查的过程就变成了:在执行特权操作时,如果进程的有效身份不是root,就去检查是否具有该特权操作所对应的Capabilites,并以此决定是否可以进行该特权操作,每个进程有对应的特权范围。如此,在本实施例中,可对进程中的系统调用的权限进行检测,即检测进程的系统调用超出进程的Capabilites权限范围,若超出,则认为发生了容器逃逸。
还可以针对容器内的进程绕过seccomp进行操作的检测,seccomp机制(沙箱机制)用于限制进程对系统调用的访问,从系统调用号,到系统调用的参数,均可进行检查和限制,可以理解,通过seccomp机制可限定进程可以使用的系统调用。如此,在本实施例中,也可检测容器内的进程的系统调用是否超出进程的可使用系统调用的范围,若超出,则认为发生了容器逃逸。
另外,容器内的进程的写操作中,若携带攻击内容,将攻击内容协会到宿主机文件系统,容易造成安全风险。通常来讲,攻击者通过泄漏的文件描述符将攻击内容写回宿主机文件系统,并等待下一次执行的时候,其exploit(漏洞利用)具有明显的特征,例如,其中会包含脚本类反弹shell(shell俗称壳(用来区别于核),是指“为使用者提供操作界面”的软件(命令解析器))。如此,在本实施例中,可通过检测容器内的进程的系统调用中的参数内容是否包括攻击内容,以确定是否发生容器逃逸,若容器内的进程的系统调用中的参数内容包括攻击内容,则认为发生容器逃逸。
即在本实施例中,只要满足容器内的进程的当前命名空间与进程预先关联的命名空间不一致,容器内的进程的操作对象超出进程关联的文件白名单范围,容器内的进程的系统调用超出进程的权限范围,容器内的进程的系统调用超出进程的可使用系统调用的范围,以及容器内的进程的系统调用中的参数内容包括攻击内容中的任一情况,则发生容器逃逸,可从多个方面进行考虑,以确定是否发生容器逃逸,提高容器逃逸检测的准确性。
在一个实施例中,对容器内的进程的目标内容进行检测,包括:
对进程的系统调用进行拦截,检测进程的当前命名空间与进程预先关联的命名空间是否不一致。
在进程发起实际操作前,对进程的系统调用进行Hook,检测进程的当前命名空间与进程预先关联的命名空间是否不一致,从而避免在检测过程中,进程进行实际操作导致不安全的情况,提高系统安全性。
如图2所示,在一个实施例中,对容器内的进程的目标内容进行检测之前,还包括:
步骤S2001:预先生成容器内的进程的标签,其中,进程的标签用于唯一标识进程的身份;
步骤S2002:将进程的标签与对应的命名空间关联。
在本实施例中,检测进程的当前命名空间与进程预先关联的命名空间是否不一致,包括:检测进程的当前命名空间与进程的标签预先关联的命名空间是否不一致。
即可预先对服务器上的进程建立标签,将进程的标签与进程对应的命名空间关联,进程的标签用于唯一标识进程的身份,且还可标明进程的类型和租户。在检测进程的当前命名空间与进程预先关联的命名空间是否不一致的过程中,检测进程的当前命名空间与进程的标签预先关联的命名空间是否不一致即可。
即在本实施例中,预先为进程建立标签,进程的标签预先关联了对应的命名空间,检测进程的当前命名空间与进程预先关联的命名空间是否不一致过程中,检测进程的当前命名空间与进程的标签预先关联的命名空间是否不一致即可,以提高对进程命名空间检测的准确性,从而提高容器逃逸检测的准确性。
在一个实施例中,对容器内的进程的目标内容进行检测,包括:
对进程的系统调用进行拦截,检测容器内的进程的操作对象是否超出进程关联的文件白名单范围。
在进程发起实际操作前,对进程的系统调用进行Hook,检测进程的操作对象是否超出进程预先关联的文件白名单范围,从而避免在检测过程中,进程进行实际操作导致不安全的情况,提高系统安全性。
如图3所示,在一个实施例中,对容器内的进程的目标内容进行检测之前,还包括:
步骤S3001:预先生成容器内的进程的标签,其中,进程的标签用于唯一标识进程的身份;
步骤S3002:将进程的标签关联文件白名单。
在本实施例中,检测容器内的进程的操作对象是否超出进程关联的文件白名单范围,包括:检测进程的操作对象是否超出进程的标签预先关联的文件白名单的范围。
即可预先对服务器上的进程建立标签,将进程的标签与进程对应的文件白名单关联,进程的标签用于唯一标识进程的身份,且还可标明进程的类型和租户。在检测进程的当前文件白名单是否超出进程预先关联的文件白名单的过程中,检测进程的操作对象是否超出进程的标签预先关联的文件白名单即可。
即在本实施例中,预先为进程建立标签,进程的标签预先关联了对应的文件白名单,检测进程的当前文件白名单是否超出进程预先关联的文件白名单是否不一致过程中,检测进程的操作对象是否超出进程的标签预先关联的文件白名单是否不一致即可,以提高对进程文件白名单检测的准确性,从而提高容器逃逸检测的准确性。
下面以一个具体实施例对上述容器逃逸方法的过程加以具体说明。
目前,在进行容器逃逸检测的过程中,通过决策树对容器内的进程的系统调用序列进行分析和分类,以匹配某种攻击模式,来判断是否发生容器逃逸,然而,该方式容易产生绕过,检测准确性较低。或者通过对宿主机上的敏感文件进行监控,如果文件内容被篡改,则判断逃逸发生,然而,对敏感文件进行监控,在进行变更时容易误判,导致无效告警,且对通过对敏感文件进行扫描的方式容易在时间窗口内出现漏检。如此,本申请提供一种容器逃逸检测方法,通过多个方面来进行容器逃逸的检测,可提高容器逃逸检测的准确性。
例如,可针对容器内进程绕过namespace(命名空间)进行操作的检测,包括逃逸到宿主机namespace和其他容器的namespace。
首先,可预先对机器(比如,服务器)上的进程采用某种MAC(Mandatory AccessControl,强制访问控制)方式建立进程的标签(label),该label可标明进程的类型和租户,并在容器启动时将进程的label和进程对应namespace关联。然后对进程中的系统调用进行Hook,在发起实际操作前,进行进程的label和对应的namespace权限检测,即检测容器内所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致,若不一致,则确认发生容器逃逸。
又例如,可针对容器内的进程修改容器外文件的检测。
首先,可预先对机器上的进程采用某种MAC方式建立进程的label,该label可标明进程的类型和租户,并在容器启动时将label关联到能访问的文件白名单。然后,对进程的系统调用进行Hook,在发起实际操作前,进行进程的label和对应的操作对象的权限检测,即检测容器内的进程的操作对象是否超出该进程关联的文件白名单范围,若超出,则确认发生容器逃逸。
再例如,可针对容器内进程绕过capability进行操作的检测。
可通过audit(内核审计模块,可记录系统中各种动作和时间)对容器内的进程的系统调用序列进行限制和审计,如果有超越其capability的限制,则进行告警。
再例如,可针对容器内进程绕过seccomp进行操作的检测。
通过audit对容器内的进程的系统调用序列进行限制和审计,如果有超越其seccomp的限制,则进行告警。
另外,可针对容器内的进程写操作中的敏感模式的检测。
通常来讲,攻击者通过泄漏的文件描述符可将攻击内容写回宿主机文件系统,并等待下一次执行的时候,exploit具有明显的特征,例如,其中会包含脚本类反弹shell,可以在系统调用中对参数内容进行检查,发现包括攻击内容的情况,则确认发生容器逃逸。
通过上述本申请实施例的容器逃逸检测方法,可从多个方面进行容器逃逸检测,只要通过任一一种方式检测到容器逃逸,则确认发生容器逃逸,输出预警信息,以提醒发生容器逃逸,便于后续采取相应措施,而且可提高容器逃逸检测的准确性。
如图4所示,根据本申请的实施例,本申请还提供一种容器逃逸检测装置400,可应用于服务器,装置包括:
检测模块401,用于对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
输出模块402,用于在确定发生容器逃逸的情况下,输出预警信息。
在一个实施例中,在以下任一情况下,确定发生容器逃逸:
容器内进程的当前命名空间与进程预先关联的命名空间不一致;
容器内进程的操作对象超出进程关联的文件白名单范围;
容器内进程的系统调用超出进程的权限范围;
容器内的进程的系统调用超出进程的可使用系统调用的范围;
容器内进程的系统调用中的参数内容包括攻击内容。
在一个实施例中,对容器内的进程的目标内容进行检测,包括:
对进程的系统调用进行拦截,检测进程的当前命名空间与进程预先关联的命名空间是否不一致。
如图5所示,在一个实施例中,装置还包括:
第一标签生成模块5001,用于预先生成容器内的进程的标签,其中,进程的标签用于唯一标识进程的身份;
第一关联模块5002,用于将进程的标签与对应的命名空间关联;
检测进程的当前命名空间与进程预先关联的命名空间是否不一致,包括:
检测进程的当前命名空间与进程的标签预先关联的命名空间是否不一致。
在一个实施例中,对容器内的进程的目标内容进行检测,包括:
对进程的系统调用进行拦截,检测容器内进程的操作对象是否超出进程关联的文件白名单范围。
如图6所示,在一个实施例中,装置还包括:
第二标签生成模块6001,用于预先生成容器内的进程的标签,其中,进程的标签用于唯一标识进程的身份;
第二关联模块6002,用于将进程的标签关联文件白名单;
检测容器内进程的操作对象是否超出进程关联的文件白名单范围,包括:
检测进程的操作对象是否超出进程的标签预先关联的文件白名单的范围。
上述各实施例的一种容器逃逸检测装置为实现上述各实施例的一种容器逃逸检测方法的装置,技术特征对应,技术效果对应,在此不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图7所示,是根据本申请实施例的一种容器逃逸检测方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图7所示,该电子设备包括:一个或多个处理器701、存储器702,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUM的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图7中以一个处理器701为例。
存储器702即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的一种容器逃逸检测方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的一种容器逃逸检测方法。
存储器702作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的一种容器逃逸检测方法对应的程序指令/模块(例如,附图4所示的检测模块401、输出模块402)。处理器701通过运行存储在存储器702中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的一种容器逃逸检测方法。
存储器702可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据键盘显示的电子设备的使用所创建的数据等。此外,存储器702可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器702可选包括相对于处理器701远程设置的存储器,这些远程存储器可以通过网络连接至键盘显示的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一种容器逃逸检测方法的电子设备还可以包括:输入装置703和输出装置704。处理器701、存储器702、输入装置703和输出装置704可以通过总线或者其他方式连接,图7中以通过总线连接为例。
输入装置703可接收输入的数字或字符信息,以及产生与键盘显示的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置704可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASMC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (14)
1.一种容器逃逸检测方法,其中,所述方法包括:
对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
在确定发生容器逃逸的情况下,输出预警信息。
2.根据权利要求1所述的方法,其中,在以下任一情况下,确定发生容器逃逸:
所述容器内所述进程的当前命名空间与所述进程预先关联的命名空间不一致;
所述容器内所述进程的操作对象超出所述进程关联的文件白名单范围;
所述容器内所述进程的系统调用超出所述进程的权限范围;
所述容器内的进程的系统调用超出所述进程的可使用系统调用的范围;
所述容器内所述进程的系统调用中的参数内容包括攻击内容。
3.根据权利要求1所述的方法,其中,所述对容器内的进程的目标内容进行检测,包括:
对所述进程的系统调用进行拦截,检测所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致。
4.根据权利要求3所述的方法,其中,所述对容器内的进程的目标内容进行检测之前,还包括:
预先生成所述容器内的进程的标签,其中,所述进程的标签用于唯一标识所述进程的身份;
将所述进程的标签与对应的命名空间关联;
所述检测所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致,包括:
检测所述进程的当前命名空间与所述进程的标签预先关联的所述命名空间是否不一致。
5.根据权利要求1所述的方法,其中,所述对容器内的进程的目标内容进行检测,包括:
对所述进程的系统调用进行拦截,检测所述容器内所述进程的操作对象是否超出所述进程关联的文件白名单范围。
6.根据权利要求5所述的方法,其中,所述对容器内的进程的目标内容进行检测之前,还包括:
预先生成所述容器内的进程的标签,其中,所述进程的标签用于唯一标识所述进程的身份;
将所述进程的标签关联文件白名单;
所述检测所述容器内所述进程的操作对象是否超出所述进程关联的文件白名单范围,包括:
检测所述进程的操作对象是否超出所述进程的标签预先关联的所述文件白名单的范围。
7.一种容器逃逸检测装置,其中,所述装置包括:
检测模块,用于对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
输出模块,用于在确定发生容器逃逸的情况下,输出预警信息。
8.根据权利要求7所述的装置,其中,在以下任一情况下,确定发生容器逃逸:
所述容器内所述进程的当前命名空间与所述进程预先关联的命名空间不一致;
所述容器内所述进程的操作对象超出所述进程关联的文件白名单范围;
所述容器内所述进程的系统调用超出所述进程的权限范围;
所述容器内的进程的系统调用超出所述进程的可使用系统调用的范围;
所述容器内所述进程的系统调用中的参数内容包括攻击内容。
9.根据权利要求7所述的装置,其中,所述对容器内的进程的目标内容进行检测,包括:
对所述进程的系统调用进行拦截,检测所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致。
10.根据权利要求9所述的装置,其中,还包括:
第一标签生成模块,用于预先生成所述容器内的进程的标签,其中,所述进程的标签用于唯一标识所述进程的身份;
第一关联模块,用于将所述进程的标签与对应的命名空间关联;
所述检测所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致,包括:
检测所述进程的当前命名空间与所述进程的标签预先关联的所述命名空间是否不一致。
11.根据权利要求7所述的装置,其中,所述对容器内的进程的目标内容进行检测,包括:
对所述进程的系统调用进行拦截,检测所述容器内所述进程的操作对象是否超出所述进程关联的文件白名单范围。
12.根据权利要求11所述的装置,其中,还包括:
第二标签生成模块,用于预先生成所述容器内的进程的标签,其中,所述进程的标签用于唯一标识所述进程的身份;
第二关联模块,用于将所述进程的标签关联文件白名单;
所述检测所述容器内所述进程的操作对象是否超出所述进程关联的文件白名单范围,包括:
检测所述进程的操作对象是否超出所述进程的标签预先关联的所述文件白名单的范围。
13.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-6中任一所述的方法。
14.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行如权利要求1-6中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010701870.7A CN111881453A (zh) | 2020-07-20 | 2020-07-20 | 一种容器逃逸检测方法、装置以及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010701870.7A CN111881453A (zh) | 2020-07-20 | 2020-07-20 | 一种容器逃逸检测方法、装置以及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111881453A true CN111881453A (zh) | 2020-11-03 |
Family
ID=73155619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010701870.7A Pending CN111881453A (zh) | 2020-07-20 | 2020-07-20 | 一种容器逃逸检测方法、装置以及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111881453A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532658A (zh) * | 2021-02-08 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 云网络逃逸事件扫描方法、装置及计算机可读存储介质 |
CN113221103A (zh) * | 2021-05-08 | 2021-08-06 | 山东英信计算机技术有限公司 | 一种容器安全防护方法、系统及介质 |
CN114676424A (zh) * | 2022-05-25 | 2022-06-28 | 杭州默安科技有限公司 | 一种容器逃逸检测与阻断方法、装置、设备及存储介质 |
WO2024067479A1 (zh) * | 2022-09-29 | 2024-04-04 | 华为技术有限公司 | 一种容器逃逸的检测方法、电子设备及系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170116415A1 (en) * | 2015-10-01 | 2017-04-27 | Twistlock, Ltd. | Profiling of container images and enforcing security policies respective thereof |
US20170116412A1 (en) * | 2015-10-01 | 2017-04-27 | Twistlock, Ltd. | Profiling of spawned processes in container images and enforcing security policies respective thereof |
CN107609396A (zh) * | 2017-09-22 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于沙箱虚拟机的逃逸检测方法 |
US20180293394A1 (en) * | 2017-04-11 | 2018-10-11 | Nicira, Inc. | Identifying container file events for providing container security |
US10146936B1 (en) * | 2015-11-12 | 2018-12-04 | EMC IP Holding Company LLC | Intrusion detection for storage resources provisioned to containers in multi-tenant environments |
CN109240809A (zh) * | 2017-07-11 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 进程维护管理方法、容器维护方法、装置和操作系统 |
CN109858244A (zh) * | 2019-01-16 | 2019-06-07 | 四川大学 | 一种容器内进程异常行为检测方法与系统 |
WO2019174193A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
US20190286820A1 (en) * | 2018-03-15 | 2019-09-19 | Samsung Sds Co., Ltd. | Apparatus and method for detecting container rootkit |
-
2020
- 2020-07-20 CN CN202010701870.7A patent/CN111881453A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170116415A1 (en) * | 2015-10-01 | 2017-04-27 | Twistlock, Ltd. | Profiling of container images and enforcing security policies respective thereof |
US20170116412A1 (en) * | 2015-10-01 | 2017-04-27 | Twistlock, Ltd. | Profiling of spawned processes in container images and enforcing security policies respective thereof |
US10146936B1 (en) * | 2015-11-12 | 2018-12-04 | EMC IP Holding Company LLC | Intrusion detection for storage resources provisioned to containers in multi-tenant environments |
US20180293394A1 (en) * | 2017-04-11 | 2018-10-11 | Nicira, Inc. | Identifying container file events for providing container security |
CN109240809A (zh) * | 2017-07-11 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 进程维护管理方法、容器维护方法、装置和操作系统 |
CN107609396A (zh) * | 2017-09-22 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于沙箱虚拟机的逃逸检测方法 |
US20190286820A1 (en) * | 2018-03-15 | 2019-09-19 | Samsung Sds Co., Ltd. | Apparatus and method for detecting container rootkit |
WO2019174193A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
CN109858244A (zh) * | 2019-01-16 | 2019-06-07 | 四川大学 | 一种容器内进程异常行为检测方法与系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112532658A (zh) * | 2021-02-08 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 云网络逃逸事件扫描方法、装置及计算机可读存储介质 |
CN113221103A (zh) * | 2021-05-08 | 2021-08-06 | 山东英信计算机技术有限公司 | 一种容器安全防护方法、系统及介质 |
CN113221103B (zh) * | 2021-05-08 | 2022-09-20 | 山东英信计算机技术有限公司 | 一种容器安全防护方法、系统及介质 |
CN114676424A (zh) * | 2022-05-25 | 2022-06-28 | 杭州默安科技有限公司 | 一种容器逃逸检测与阻断方法、装置、设备及存储介质 |
WO2024067479A1 (zh) * | 2022-09-29 | 2024-04-04 | 华为技术有限公司 | 一种容器逃逸的检测方法、电子设备及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111881453A (zh) | 一种容器逃逸检测方法、装置以及电子设备 | |
KR102206115B1 (ko) | 인터프리터 가상 머신을 이용한 행동 멀웨어 탐지 | |
US9690606B1 (en) | Selective system call monitoring | |
CN110084039B (zh) | 用于端点安全与网络安全服务之间的协调的框架 | |
US8347380B1 (en) | Protecting users from accidentally disclosing personal information in an insecure environment | |
US9372991B2 (en) | Detecting malicious computer code in an executing program module | |
CN114254304A (zh) | 容器安全入侵检测方法、装置、计算机设备及存储介质 | |
CN111475164B (zh) | 组件依赖关系检测方法、装置以及电子设备 | |
US20170124346A1 (en) | Protection of state data in computer system code | |
CN112069490A (zh) | 一种提供小程序能力的方法、装置、电子设备及存储介质 | |
CN112269706A (zh) | 接口参数校验方法、装置、电子设备以及计算机可读介质 | |
CN109684027B (zh) | 动态跟踪Java虚拟机运行的方法和装置 | |
CN112037332A (zh) | 浏览器的显示校验方法、装置、计算机设备和存储介质 | |
US11689630B2 (en) | Request processing method and apparatus, electronic device, and computer storage medium | |
CN111985760B (zh) | 数据内容的评价方法、装置、电子设备及存储介质 | |
US10635475B2 (en) | Migration-adjusted problem ticket analysis and consolidation | |
CN112579988A (zh) | 影子栈数据完整性保护方法、装置和计算机设备 | |
CN112182581A (zh) | 应用测试方法、装置、应用测试设备和存储介质 | |
CN115600213A (zh) | 基于应用程序的漏洞管理方法、装置、介质及设备 | |
CN110505247B (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
US9497253B2 (en) | Authorization review system | |
CN112527635A (zh) | 一种故障注入方法、装置、电子设备以及存储介质 | |
CN111767489A (zh) | 网页运行的加速方法、装置、设备以及存储介质 | |
CN112052347A (zh) | 图像存储方法、装置以及电子设备 | |
CN111371557A (zh) | 区块链数据处理方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |