CN112084005A - 一种容器行为审计方法、装置、终端及存储介质 - Google Patents
一种容器行为审计方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN112084005A CN112084005A CN202010943531.XA CN202010943531A CN112084005A CN 112084005 A CN112084005 A CN 112084005A CN 202010943531 A CN202010943531 A CN 202010943531A CN 112084005 A CN112084005 A CN 112084005A
- Authority
- CN
- China
- Prior art keywords
- container
- event
- behavior
- container behavior
- auditing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3055—Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3089—Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种容器行为审计方法、装置、终端及存储介质,方法包括:基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;对所述容器行为事件进行预处理;根据预设审计规则对处理后的容器行为事件进行审计分析;即基于内核层面捕获系统调用,可以捕获到所有的系统调用,并且通过内核上下文可以准确捕获到容器内的行为事件,然后对容器行为事件进行预处理,便于后续审计分析,进而通过规则机制,可以灵活地对容器内的行为实时审计,能够及时发现问题并止损。
Description
技术领域
本发明涉及计算机安全领域,尤其涉及一种容器行为审计方法、装置、终端及存储介质。
背景技术
容器技术已经被广泛应用到各个互联网公司线上、测试等各种环境,这些环境是每个公司最为重要的资产之一,除了成本外,这些环境承载了用户访问,同时保存了非常多的用户、订单、交易、身份等敏感信息。因此每个公司都有必要确保这些容器环境是可靠、安全及未泄露的。
现在主流的系统行为审计方案都是对容器所在宿主机的行为做审计,因为容器技术会为每个容器提供隔离的运行环境,包括进程命名空间、网络命名空间、用户命名空间等一系列的资源隔离,但容器和容器之间无法感知对方的行为,容器所在宿主机也很难实时获取到容器内发生的行为,因此基于宿主机的系统行为审计方案是无法适用于容器环境的,因为它只能识别出宿主机的行为,无法准确地对容器内的行为做审计。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足,提供一种容器行为审计方法、装置、终端及存储介质,可以实时、准确地识别出容器内的各种行为,并对这些容器内的行为做审计,能有效解决基于宿主机的系统行为审计方案无法准确地对容器内的行为做审计的技术问题。
本发明解决上述技术问题的技术方案如下:一种容器行为审计方法,包括以下步骤:
基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;
对所述容器行为事件进行预处理;
根据预设审计规则对处理后的容器行为事件进行审计分析。
为解决上述技术问题,本发明实施例还提供一种容器行为审计装置,包括事件获取模块、事件处理模块和事件分析模块;
所述事件获取模块用于基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;
所述事件处理模块用于对所述容器行为事件进行预处理;
所述事件分析模块用于根据预设审计规则对处理后的容器行为事件进行审计分析。
为解决上述技术问题,本发明实施例还提供一种终端,所述终端包括处理器、存储器和通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个计算机程序,以实现如上所述的容器行为审计方法的步骤。
为解决上述技术问题,本发明实施例还提供一种存储介质,所述存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现如上所述的容器行为审计方法的步骤。
本发明的有益效果是:基于内核层面捕获系统调用,可以捕获到所有的系统调用,并且通过内核上下文可以实时、准确地识别出容器内的各种行为,速度快,进而准确捕获到容器内的行为事件,然后对容器行为事件进行预处理,便于后续审计分析,进而通过规则机制,可以灵活地对容器内的行为实时审计,能够及时发现问题并止损。
附图说明
图1为本发明一实施例提供的容器行为审计方法流程图;
图2为本发明另一实施例提供的容器行为审计方法的流程图;
图3为本发明实施例提供的终端结构示意图;
图4为本发明实施例提供的容器行为审计装置结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供一种容器行为审计方法,可以准确识别到容器内行为,从而能够对容器内行为做审计;参照图1所示,一种容器行为审计方法,包括以下步骤:
S101:基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;
S102:对容器行为事件进行预处理;
S103:根据预设审计规则对处理后的容器行为事件进行审计;
在本实施例中,基于内核层面捕获系统调用,可以捕获到所有的系统调用,并且通过内核上下文可以实时、准确地识别出容器内的各种行为,进而准确捕获到容器内的行为事件,然后对容器行为事件进行预处理,进而通过规则机制,可以灵活地对容器内的行为事件告警,能够及时发现问题并止损。
可以理解的是,因为容器和宿主机共享内核,所以容器内的行为事件,也可以从宿主机的内核获得通知,因此本实施例中,可以基于宿主机的内核层面捕获系统调用,具体的,步骤S101包括:
采用内核追踪技术捕获系统调用;根据内核上下文确定系统调用所属进程的进程信息;根据进程信息确定进程为容器进程时,获取与容器进程对应的容器行为事件。
其中该内核追踪技术包括但不限于kprobe、tracepoint、raw_tracepoint或ebpf技术,实现一个内核的驱动或内核模块,在某个进程执行系统调用时加载到内核,进而实时捕获系统调用;例如可以在系统调用的入口和出口注册相应的kprobe处理函数,能够实时地捕获到系统调用;然后根据内核上下文获取系统调用更详细的数据,即确定系统调用进程的进程信息,进而判断该进程是容器进程还是宿主机进程,当确定为容器进程时,则可进一步获取到容器行为事件。
在本实施例中,进程信息包括cgroup信息;根据cgroup信息确定容器进程所属容器;进而采集所属容器内发生的各容器行为事件。应当理解的是,捕获到系统调用时会获取到系统调用的详细信息,根据内核上下文从该详细信息中得到进程信息,该进程信息包括cgruop信息,在一些实施例中,进程信息还包括执行该系统调用的进程名、进程PID、父进程PID、进程对应的文件路径和启动参数等。而根据cgroup信息就可以知道该进程所属的容器信息,用来判断进程是否属于容器进程,属于哪个容器。
在本实施例中,传统方法中要获取进程信息,只有在宿主机上根据进程PID遍历/proc目录,结合进程目录下的exe,cmdline等信息,这种方法存在的问题是:1.如果进程执行时间较短,/proc目录下对应的进程信息已经没有了,无法获取到该进程信息;2.没有办法区分是宿主机进程还是容器进程。而本实施例可基于内核层面捕获系统调用,可以捕获到所有的系统调用,并根据内核上下文获取更详细的进程信息,1.可以准确捕获到执行时间较短的进程;2.进一步可以获取到进程的cgruop信息,根据cgroup信息可以获取进程的容器信息,如容器ID,进而识别出进程是宿主机进程还是容器进程;以docker为例,docker进程的cgroup信息携带了container id信息。对于docker容器,有Systemd Docker和Non-systemd Docker两种管理方式,对应的cgroup格式略有不同,但是都带有64位的containerid信息。
Systemd Docker下的cgroup格式:
…</docker-><container id>.scope
Non-Systemd Docker下的cgroup格式:
…</><container id>
因此可以根据cgroup的格式来解析crgoup信息得到container id,从而知道该进程所属的容器,由于系统调用是由某个进程执行,而进程属于某个容器时,则可将该进程执行系统调用事件作为容器行为事件;如采集进程创建、网络连接或磁盘读写等行为。
在本实施例中,在步骤S2之前还包括:将容器行为事件放入共享缓冲区;共享缓存区采用内存映射将容器行为事件从内核映射到用户空间;即使用内存映射的方式在内核和用户空间共享数据缓冲区,将获取到的有关容器行为事件放入到一个共享缓冲区内,共享缓冲区使用内存映射的方式映射从内核空间映射到用户空间,减少了内核态到用户态的数据拷贝;因此它能够在没有进行任何复制操作的情况下被访问,最小化了CPU使用率和减少缓存丢失的情况。
在本实施例中,根据步骤S101得到容器行为事件是采集的原始数据,为了便于后续进行审计,对原始数据进行预处理,步骤S102具体包括:从共享缓冲区获取容器行为事件,对容器行为事件进行解析、过滤、格式化和聚合处理;其中可以根据不同的事件类型进行不同的处理;可以理解的是,内核产生的事件种类多,频率高,对应的系统调用的参数、返回值等关键信息也存在较大区别。捕获系统调用时,会使用一个统一的存储格式将容器行为事件存储起来,存储格式描述如下:系统调用号+数据1字节数+数据2字节数+…数据n字节数+数据1+数据2+…数据n;从共享缓存区获取容器行为事件时,首先会解析该格式数据,获取系统调用号,根据系统调用号,可以过滤不关心的系统调用,不用继续往下处理。如果是需要关心的系统调用,会继续格式化原始数据,转换成为可识别的,和审计规则相匹配的数据格式。如果是同一个进程连续的多个系统调用,会将这些同进程的多个系统调用聚合处理,可以知道该进程这个时间段的系统调用行为。
因为共享缓冲区中存储的数据的格式是一个通用格式,需要能够存储各种系统调用的行为数据,所以在从共享缓冲区获取容器的行为事件后,需要对相应事件进行解析;系统调用种类繁多,关心的主要是部分系统调用,例如进程创建(fork、execve、clone),网络连接(connect、accept)等,可以过滤其它暂时不关心的系统调用,过滤条件可以自定义,比如某些关键进程信息字段缺失的数据也可以过滤掉;需要对取出的数据格式化,转换为易于识别的,和审计规则相匹配的数据格式;聚合处理则是属于同一进程的系统调用事件聚合在一起。
值得注意的是,步骤S103具体包括:遍历预设审计规则,将处理后的容器行为事件与预设审计规则进行匹配,匹配成功时,输出告警。该预设审计规则包括涉及容器安全的行为,其中该预设审计规则可以由用户设置,也可以终端设置,例如预设审计规则包括容器内启动一个shell、容器内敏感文件被读写和容器内执行远程文件传输命令;当容器行为事件与任意一条审计规则匹配时,则输出告警,其中输出告警包括四种告警方式:输出到标准输出;输出到日志文件;输出到syslog;输出到HTTP服务。支持这四种告警模式,可以进行相应配置,其中输出到标准输出:也就是输出到终端屏幕,这种方式一般用于调试阶段,可以实时将告警信息打印到终端屏幕;输出到日志文件:将告警信息输出到一个日志文件内,可以知道一段事件内的所有告警信息,不会存在遗漏,对于历史的告警信息也可以溯源,可以在告警日志内查询。输出到syslog:可以通过标准的syslog协议,将告警信息存储在其它机器上,因为日志文件可能需要长期保存,存储在本地有磁盘不够的风险,可以将告警信息通过syslog协议存储到专用的日志服务器。输出到HTTP服务:如果需要对告警信息进行实时分析,可以将告警信息通过HTTP服务发送到告警实时分析系统,这样就可以进行实时的告警分析,进而采用短信或者邮件等信息及时通知用户;而不是事后根据告警日志来定位和分析。
通过容器行为审计我们可以知道容器在任一时间段内发生的行为事件,且能够定位到具体是谁、在哪个时间段哪个容器做了什么事,通过自定义规则可以灵活地对容器内的行为事件告警,能够及时发现问题并止损,确保容器环境是可靠、安全和未泄露的。
在本实施例中,除了可以对容器行为事件进行审计外,还可以对容器行为事件进行检索和分析;具体的,在步骤S103之前还包括:将处理后的容器行为事件存储到审计事件数据库;根据审计事件数据库进行事件检索和分析。将容器行为事件存储到审计事件数据库,该审计事件数据库会记录各容器行为事件的详细数据,以供后续做事件检索和分析,通过检索这些详细数据,能够非常清晰地知道容器在任一时间段内发生的行为事件,通过分析行为事件能够提前发现问题并及时止损。如在不确定某进程的一容器行为是否是恶意时,会检索该进程的其他容器行为,通过关联该进程的其它的行为来一起判断;有了一定的恶意行为的数据支撑,就能够得出一些恶意程序行为的模型,根据这些模型可以在下一次攻击出现时能够更及时的发现或者阻断恶意程序的执行;如在不确定某进程的一容器行为是否是恶意时,会分析该进程的同一容器行为发生的原因、目的以及频率,进而对进程的容器行为进行判断;例如将容器1的进程创建、网络连接等行为存储到审计事件数据库,在对各容器行为事件进行分析时,通过关键字检索审计事件数据库,可检索到网络连接,对磁盘读写行为的时间和目的进行分析,若磁盘读写行为频繁,则可以提前发现容器1存在安全问题。
为了便于理解,本实施例提供一种具体的容器行为审计方法,如图2所示,该容器行为审计方法包括:
S201、某进程执行系统调用时,基于宿主机的内核捕获系统调用。
S202、判断该进程是否为容器进程,如是,转S203,如否,结束。
在本实施例中,容器和宿主机共享内核,所以容器内的行为事件,也可以从宿主机的内核获得通知;在Linux下可以使用kprobe、tracepoint、raw_tracepoint等内核追踪技术,或者结合ebpf技术,可以在系统调用的入口和出口注册相应的处理函数,能够实时地捕获到系统调用,然后根据内核上下文,获取当前进程的相关信息,比如cgroup信息、执行该系统调用的进程名、进程PID和启动参数,根据cgroup信息就可以知道该进程所属的容器信息,进而识别出进程是宿主机进程还是容器进程,属于哪个容器,将采集所有关于系统调用的事件作为该容器的行为事件数据。
S203、将获取到的容器行为事件放入共享缓冲区。
共享缓冲区使用内存映射的方式映射从内核空间映射到用户空间,因此它能够在没有进行任何复制操作的情况下被访问,最小化了CPU使用率和减少缓存丢失的情况。
S204、从共享缓冲区获取容器行为事件,对容器行为事件进行解析、过滤、格式化和聚合处理。
其中可以根据不同的事件类型,进行不同的处理。
S205、将处理后的容器行为事件存储到审计事件数据库,以供后续做事件检索和分析。
S206、遍历预设审计规则。
S207、判断容器行为事件与预设审计规则进行匹配;如是,转S208,如否,转S209。
S208、输出告警。
S209、判断遍历规则是否结束,如是,结束,如否,转S206。
在本实施例中,首先将数据存储到审计事件数据库,以供后续做事件检索和分析。审计事件数据库记录了容器内行为的详细数据,通过检索和分析这些数据,能够提前发现问题并止损;然后会对数据做实时分析,会和加载的审计规则做匹配判断,该预设审计规则可以根据实际需求进行灵活调整,例如容器内启动一个shell,容器内敏感文件被读写,容器内执行远程文件传输命令等审计规则,如果容器内行为事件符合某条规则的特征,事件分析模块就会告警,常用的告警方式为:输出到标准输出;输出到日志文件;输出到syslog;输出到HTTP服务。
本实施例提的容器行为审计方法,基于内核层面捕获系统调用,可以捕获到所有的系统调用,并且通过内核上下文能够获取到更详细的数据,可以准确知道系统调用所属进程是否是容器进程,进而可以准确捕获到容器内的行为事件,准确率高,即使进程很快退出,也能捕获到;使用内存映射的方式在内核和用户空间共享数据缓冲区,减少了内核态到用户态的数据拷贝,最小化了CPU使用率和减少缓存丢失的情况;且通过审计规则,可以灵活地对容器内行为实时审计,能够及时发现问题并止损。
本实施例提供一种终端,如图3所示,该终端包括处理器301、存储器302和通信总线303;
通信总线303用于实现处理器301和存储器302之间的连接通信;
处理器301用于执行存储器302中存储的一个或者多个计算机程序,以实现上述各实施例中的容器行为审计方法的步骤,在此不再一一赘述。
本实施例提供一种容器行为审计装置,如图4所示,包括事件获取模块401、事件处理模块402和事件分析模块403;
事件获取模块401用于基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;事件处理模块402用于对容器行为事件进行预处理;事件分析模块403用于根据预设审计规则对处理后的容器行为事件进行审计分析。
事件获取模块401具体用于:采用内核追踪技术捕获系统调用;根据内核上下文确定系统调用所属进程的进程信息;根据进程信息确定进程为容器进程时,获取与容器进程对应的容器行为事件。
其中获取与容器进程对应的容器行为事件包括:进程信息包括cgroup信息;根据cgroup信息确定容器进程所属容器;采集所属容器内发生的各容器行为事件。
在本实施例中,该装置还包括事件缓冲区内,事件获取模块401将容器行为事件放入共享缓冲区;共享缓存区采用内存映射将容器行为事件从内核态映射到用户空间;进而事件处理模块402具体用于:从共享缓冲区获取容器行为事件,对容器行为事件进行解析、过滤、格式化和聚合处理。
在本实施例中,事件分析模块403具体用于:遍历预设审计规则;将处理后的容器行为事件与预设审计规则进行匹配,匹配成功时,输出告警;事件分析模块还用于:将处理后的容器行为事件存储到审计事件数据库;根据审计事件数据库进行事件检索和分析。
本发明实施例还提供一种存储介质,存储介质存储一个或者多个计算机程序,一个或者多个计算机程序可被一个或者多个处理器执行,以实现上述描述的容器行为审计方法的步骤,在此不再一一赘述。
本发明实施例中,基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;对容器行为事件进行预处理;根据预设审计规则对处理后的容器行为事件进行审计分析,即基于内核层面捕获系统调用,可以捕获到所有的系统调用,并且通过内核上下文准确捕获到容器内的行为事件;速度快,能够实时获取容器内的行为事件,并通过规则告警,可以灵活地对容器内行为实时审计,能够及时发现问题并止损。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明实施例所提供的技术方案进行了详细介绍,本专利中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述,以上实施例的说明只适用于帮助理解本发明实施例的原理;以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种容器行为审计方法,其特征在于,所述容器行为审计方法包括:
基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;
对所述容器行为事件进行预处理;
根据预设审计规则对处理后的容器行为事件进行审计分析。
2.根据权利要求1所述的容器行为审计方法,其特征在于,所述基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件包括:
采用内核追踪技术捕获系统调用;
根据所述内核上下文确定所述系统调用所属进程的进程信息;
根据所述进程信息确定所述进程为容器进程时,获取与所述容器进程对应的容器行为事件。
3.根据权利要求2所述的容器行为审计方法,其特征在于,所述获取与所述容器进程对应的容器行为事件包括:
所述进程信息包括cgroup信息;
根据所述cgroup信息确定所述容器进程所属容器ID;
采集所述所属容器内发生的各容器行为事件。
4.根据权利要求1所述的容器行为审计方法,其特征在于,所述对所述容器行为事件进行预处理之前包括:
将所述容器行为事件放入共享缓冲区;所述共享缓存区采用内存映射将所述容器行为事件从内核态映射到用户空间。
5.根据权利要求4所述的容器行为审计方法,其特征在于,所述对所述容器行为事件进行预处理包括:
从所述共享缓冲区获取所述容器行为事件,对所述容器行为事件进行解析、过滤、格式化和聚合处理。
6.根据权利要求1-5任一项所述的容器行为审计方法,其特征在于,所述根据预设审计规则对所述处理后的容器行为事件进行审计分析包括:
遍历预设审计规则;
将所述处理后的容器行为事件与所述预设审计规则进行匹配,匹配成功时,输出告警。
7.根据权利要求6所述的容器行为审计方法,其特征在于,所述根据预设审计规则对所述处理后的容器行为事件进行审计分析之前包括:
将所述处理后的容器行为事件存储到审计事件数据库;
根据所述审计事件数据库进行事件检索和分析。
8.一种容器行为审计装置,其特征在于,包括事件获取模块、事件处理模块和事件分析模块;
所述事件获取模块用于基于宿主机的内核捕获系统调用,并根据内核上下文得到容器行为事件;
所述事件处理模块用于对所述容器行为事件进行预处理;
所述事件分析模块用于根据预设审计规则对处理后的容器行为事件进行审计分析。
9.一种终端,其特征在于,所述终端包括处理器、存储器和通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个计算机程序,以实现根据权利要求1至7中任一项所述的容器行为审计方法的步骤。
10.一种存储介质,其特征在于,所述存储介质存储一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现根据权利要求1至7中任一项所述的容器行为审计方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010943531.XA CN112084005A (zh) | 2020-09-09 | 2020-09-09 | 一种容器行为审计方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010943531.XA CN112084005A (zh) | 2020-09-09 | 2020-09-09 | 一种容器行为审计方法、装置、终端及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112084005A true CN112084005A (zh) | 2020-12-15 |
Family
ID=73731711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010943531.XA Pending CN112084005A (zh) | 2020-09-09 | 2020-09-09 | 一种容器行为审计方法、装置、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112084005A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
| CN115774651A (zh) * | 2023-02-10 | 2023-03-10 | 北京智芯微电子科技有限公司 | 基于微内核操作系统的安全监控方法、装置、设备及芯片 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465661A (zh) * | 2017-07-04 | 2017-12-12 | 重庆邮电大学 | 一种基于Docker虚拟化的云数据库安全审计方法 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| CN107689953A (zh) * | 2017-08-18 | 2018-02-13 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
| CN108958878A (zh) * | 2017-05-23 | 2018-12-07 | 深信服科技股份有限公司 | 基于容器的网络设备运行控制方法和装置 |
| CN109672681A (zh) * | 2018-12-25 | 2019-04-23 | 上海点融信息科技有限责任公司 | 入侵检测方法及入侵检测装置 |
| CN109828824A (zh) * | 2018-12-29 | 2019-05-31 | 东软集团股份有限公司 | 镜像的安全性检测方法、装置、存储介质和电子设备 |
| CN111400704A (zh) * | 2020-03-20 | 2020-07-10 | 广州赛讯信息技术有限公司 | 实现web访问安全审计方法、装置、设备及计算机可读介质 |
| CN111414240A (zh) * | 2019-01-07 | 2020-07-14 | 阿里巴巴集团控股有限公司 | 内核态进程复制方法以及装置、容器扩容方法以及装置 |
-
2020
- 2020-09-09 CN CN202010943531.XA patent/CN112084005A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108958878A (zh) * | 2017-05-23 | 2018-12-07 | 深信服科技股份有限公司 | 基于容器的网络设备运行控制方法和装置 |
| CN107465661A (zh) * | 2017-07-04 | 2017-12-12 | 重庆邮电大学 | 一种基于Docker虚拟化的云数据库安全审计方法 |
| CN107689953A (zh) * | 2017-08-18 | 2018-02-13 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| CN109672681A (zh) * | 2018-12-25 | 2019-04-23 | 上海点融信息科技有限责任公司 | 入侵检测方法及入侵检测装置 |
| CN109828824A (zh) * | 2018-12-29 | 2019-05-31 | 东软集团股份有限公司 | 镜像的安全性检测方法、装置、存储介质和电子设备 |
| CN111414240A (zh) * | 2019-01-07 | 2020-07-14 | 阿里巴巴集团控股有限公司 | 内核态进程复制方法以及装置、容器扩容方法以及装置 |
| CN111400704A (zh) * | 2020-03-20 | 2020-07-10 | 广州赛讯信息技术有限公司 | 实现web访问安全审计方法、装置、设备及计算机可读介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
| CN115774651A (zh) * | 2023-02-10 | 2023-03-10 | 北京智芯微电子科技有限公司 | 基于微内核操作系统的安全监控方法、装置、设备及芯片 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992398B (zh) | 一种业务系统的监控方法和监控系统 | |
| CN110249314B (zh) | 用于基于云的操作系统事件和数据访问监视的系统和方法 | |
| CN107145489B (zh) | 一种基于云平台的客户端应用的信息统计方法和装置 | |
| CN110489315B (zh) | 一种操作请求的跟踪方法、跟踪装置及服务器 | |
| CN110489310B (zh) | 一种记录用户操作的方法、装置、存储介质及计算机设备 | |
| CN112084005A (zh) | 一种容器行为审计方法、装置、终端及存储介质 | |
| EA038063B1 (ru) | Система интеллектуального управления киберугрозами | |
| CN105404581A (zh) | 一种数据库的评测方法和装置 | |
| CN104881483B (zh) | 用于Hadoop平台数据泄露攻击的自动检测取证方法 | |
| CN113496032A (zh) | 基于分布式计算和规则引擎的大数据作业异常监控系统 | |
| CN112100239A (zh) | 车辆检测设备画像生成方法、装置、服务器及可读存储介质 | |
| CN112084091A (zh) | 一种系统行为审计方法、装置、终端及存储介质 | |
| CN110363381B (zh) | 一种信息处理方法和装置 | |
| CN112543127A (zh) | 一种微服务架构的监控方法及装置 | |
| CN116208415A (zh) | 一种对api资产进行管理方法、装置及设备 | |
| CN115470090A (zh) | 一种日志数据采集方法 | |
| CN112667149B (zh) | 一种数据热度感知方法、装置、设备及介质 | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 | |
| CN110399749B (zh) | 数据资产管理方法及系统 | |
| CN110413496B (zh) | 一种实现电子证照运行数据组件化收集的方法 | |
| CN113961414A (zh) | 一种日志数据的处理方法、装置、设备及存储介质 | |
| CN113064943A (zh) | 一种数据采集方法、装置、电子设备和存储介质 | |
| CN111461864A (zh) | 交易处理方法及装置 | |
| CN112764974B (zh) | 信息资产在线管理方法及系统 | |
| US20240202337A1 (en) | Techniques for tracking executable images across forking operations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201215 |