CN113051034B - 一种基于kprobes的容器访问控制方法与系统 - Google Patents

一种基于kprobes的容器访问控制方法与系统 Download PDF

Info

Publication number
CN113051034B
CN113051034B CN202110340070.1A CN202110340070A CN113051034B CN 113051034 B CN113051034 B CN 113051034B CN 202110340070 A CN202110340070 A CN 202110340070A CN 113051034 B CN113051034 B CN 113051034B
Authority
CN
China
Prior art keywords
kernel function
container
kprobes
kernel
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110340070.1A
Other languages
English (en)
Other versions
CN113051034A (zh
Inventor
陈兴蜀
杨艺
王启旭
罗永刚
兰晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan University
Original Assignee
Sichuan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan University filed Critical Sichuan University
Priority to CN202110340070.1A priority Critical patent/CN113051034B/zh
Publication of CN113051034A publication Critical patent/CN113051034A/zh
Application granted granted Critical
Publication of CN113051034B publication Critical patent/CN113051034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于kprobes的容器访问控制方法与系统,具体步骤为:客户端生成访问策略文件,表示容器进程可以对资源进行哪些访问操作;访问控制系统接收访问策略文件,并对访问策略文件进行解析,解析出访问策略文件中进程所在的容器命名空间;通过kprobes对容器恶意操作所对应的内核函数进行监控,从而来及时检测容器内进程正在执行的操作;在kprobes的探测(回调)函数中,执行访问控制算法,主要是根据当前进程正在执行的操作是否与访问策略文件中指定的是否一致,若一致则允许本次操作,若不一致,则将函数间调用时传递的参数和返回值进行修改,从而使得函数执行失败,进而阻止本次操作的执行。从而保证了容器运行安全,进一步保障了云计算平台的安全。

Description

一种基于kprobes的容器访问控制方法与系统
技术领域
本发明涉及容器虚拟化安全技术领域,尤其是涉及一种基于kprobes的容器访问控制方法与系统。
背景技术
容器技术广泛使用在各种计算场景,包括边缘计算,微服务架构和无服务器计算等。与虚拟机相比,由于消除了额外的抽象层,使得容器技术具有高效、轻量级、资源利用率高等优势。但其共享内核和资源隔离性低的特点导致容器技术暴露出更多新的安全风险,如容器逃逸攻击,恶意镜像攻击等。容器中的应用程序可以调用启动程序相关的函数来执行容器内的恶意攻击程序对其他容器和宿主机进行攻击,也可以触发网络通信相关的函数来窃取其他容器或者宿主机的敏感数据。
传统的针对容器的访问控制通过是通过利用内核提供的Seccomp(Securecomputing)技术来实现容器的访问控制,Seccomp能够限制容器内进程所能够执行的系统调用,从而使得容器内进程只能执行未被限制的系统调用。但这种方法以系统调用为粒度,能够有效的控制容器内进程的行为,从而防止容器逃逸攻击,信息泄露等问题。但是Seccomp以系统调用为粒度进行访问控制,在拦截恶意操作的时候,有时也会组织正常操作的进行,因此无法实现更细粒度的访问控制。例如,文件访问系统调用包含了文件打开,文件读取,访问读取等操作,Seccomp技术无法针对文件读取操作或者文件修改操作进行细粒度的访问控制。除此以外,还可以通过LSM(Linux Security Module)技术对对容器实现访问控制。LSM通过访问策略规则描述了主体对客体的访问权限,指定了容器内资源的访问权限,从而有效的防止了容器内敏感信息的泄露。然而,由于LSM本身的限制,导致对于在那些Selinux/Apparmor开启之前启动的容器的访问规则信息无法被修改。若需要修改容器所对应的权限信息,则需要通过重新启动容器才能生效,但在有些情况下,容器应用是不允许被重新启动的。因此,LSM无法满足在修改容器的访问规则信息后,对容器访问控制就能立即生效。在一定程序上,LSM缺少了对容器访问控制的及时性和灵活性。
现存的技术难点主要有:(1)容器虚拟化技术由于引入的额外的虚拟化层,导致传统用于主机的访问控制技术无法迁移到容器环境下使用;(2)使用对容器系统调用进行拦截来进行的访问控制,由于对系统调用的拦截粒度过粗的问题,导致可以拦截部分恶意操作的执行,同时,在某些情况下,也会阻止容器中某些正常行为;(3)通过强制访问控制技术对容器进行访问控制,若需要修改对容器的访问控制策略文件,则需要对容器进行重启,但有些应用是不能中断提供服务的。
发明内容
针对上述问题,本发明的目的在于提供一种能够实现对容器内恶意操作在内核函数级别的拦截,从而保证容器运行安全,进一步保障云计算平台安全的基于kprobes的容器访问控制方法与系统。技术方案如下:
一种基于kprobes的容器访问控制方法,包括以下步骤:
步骤1:客户端生成访问策略文件,所述访问策略文件中包括三元组信息,所述三元组信息包括表示容器进程ID的PID(Process Identification),表示容器需要访问的资源ID的RID(Resources Identification),表示容器可以对资源进行哪些操作的PSET(Permission sets);
步骤2:访问控制系统接收访问策略文件,并对访问策略文件进行解析:
步骤2.1:在内核中,根据访问策略文件中的PID,获取进程的实例对象task_struct,实例对象包含对当前进程的详尽描述;
步骤2.2:解析进程实例对象的命名空间成员变量nsproxy,获取当前进程所在的命名空间的唯一标识proc_inum,从而确定当前进程位于哪个容器的命名空间下;
步骤2.3:将命名空间的唯一标识添加到访问策略文件中;
步骤3:通过kprobes对内核函数探测,进而监控容器行为;在探测函数中,获取当前进程的信息;
步骤4:在kprobes的探测函数中,执行访问控制操作:
步骤4.1:获取当前进程及对应内核函数信息;
步骤4.2:将当前进程及该进程调用的内核函数信息与访问策略文件,进行匹配,若匹配成功,则将本次操作记录到日志文件中以供后续查阅;若匹配失败,则将函数间调用时传递的参数和返回值进行修改,从而使得函数执行失败,进而阻止本次操作的执行。
进一步的,所述步骤3具体包括:
步骤3.1:分析恶意操作所调用的系统调用,再分析系统调用背后执行的内核函数,确定需要监控的内核函数;
步骤3.2:通过kprobes对指定内核函数插入探测点,包括在内核函数执行前插入探测点、在内核函数执行后插入探测点;
步骤3.3:当指定内核函数被调用时,触发中断指令,kprobes保存当前内核上下文信息,跳转到探测函数;
步骤3.4:执行探测函数,获取进程和进程所调用的内核函数信息,并执行访问控制算法,执行完毕后,返回内核函数,并执行原有逻辑;
步骤3.5:kprobes恢复内核函数执行的上下文信息后继续执行原有操作。
一种基于kprobes的容器访问控制系统,包括访问策略文件解析模块、内核函数监控模块和访问控制算法模块;
访问策略文件解析模块用于根据客户端生成的访问策略文件,结合内核提供的进程实体task_struct,解析出访问策略文件中进程所在的容器命名空间;
所述内核函数监控模块用于通过kprobes对内核函数进行探测,在探测函数中,获取当前进程的信息;
所述访问控制算法模块用于通过将探测函数中获取的进程信息和访问策略文件中的信息进行匹配,若匹配成功,则运行内核函数继续调用;若匹配不成功,结合内核函数间的调用以寄存器和栈来传递参数和返回值的特点,将内核函数间参数以及返回值的传递进行修改,从而阻止内核函数执行,进而阻止恶意操作。
本发明的有益效果是:本发明通过对系统调用背后的内核函数实现分析,将对容器的访问控制粒度下降到内核函数级别,实现了对容器内恶意操作在内核函数级别的拦截,从而保证了容器运行安全,进一步保障了云计算平台的安全。除此以外,本系统通过内核模块的方式进行部署,不与容器平台耦合,不用修改访问策略文件后,需要重新启动容器,实现了即插即用的灵活特性能。
附图说明
图1是为本发明基于kprobes的容器访问控制系统的总体架构图。
图2是内核函数监控流程图。
图3是访问控制算法流程图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细说明。
图1给出了本发明基于kprobes的容器访问控制系统的总体架构图。如图1所示,本系统可用于实现容器环境下的访问控制,从而可以阻止容器内进程的恶意行为并及时防止已知的容器逃逸攻击和信息窃取,包括访问策略文件解析模块、内核函数监控模块、访问控制算法模块。
访问策略文件解析模块用于根据客户端生成的访问策略文件,结合内核提供的进程实体task_struct,解析出访问策略文件中进程所在的容器命名空间。
所述内核函数监控模块用于通过kprobes对内核函数进行探测,在探测函数中,获取当前进程的信息。
图2给出内核函数监控模块工作的时序图,内核函数监控模块通过kprobes技术,以内核模块的方式进行部署,以容器对文件的访问为例进行流程描述,其工作流程是:(1)容器进程发起了文件访问的相关操作,可以是文件打开、文件读取、文件写入等;(2)访问请求到达kprobes中,kprobes拦截了对应的内核函数,并将当前函数执行的上下文进行保存,然后跳转到用户自定义探测函数中;(3)在自定义探测函数中,通过解析出的当前进程信息、内核函数等信息后,执行访问控制算法;(4)自定函数结束后,返回之前的内核函数,kprobes恢复之前内核函数执行的上下文后,内核函数继续执行原有的逻辑;(5)内核函数执行完毕后,将最终的结果返回给容器内的进程。
所述访问控制算法模块用于通过将探测函数中获取的进程信息和访问策略文件中的信息进行匹配,若匹配成功,则运行内核函数继续调用;若匹配不成功,结合内核函数间的调用以寄存器和栈来传递参数和返回值的特点,将内核函数间参数以及返回值的传递进行修改,从而阻止内核函数执行,进而阻止恶意操作。
图3给出了访问控制算法的主要流程图,以文件打开为例,描述工作流程,其工作流程是:(1)容器进程出现打开文件操作;(2)触发了kprobes对文件打开操作所对应的内核函数(do_sys_open)的探测;(3)判断当前进行文件打开操作的进程是否位于容器的命名空间中,若不在,则允许访问,若在,则继续判断(4)判断访问的文件是否是访问策略文件中指定的,若不是,则拒绝访问,若是,则继续判断(5)判断当前的访问操作类型是否服务访问策略文件中指定的,若是,则运行访问,若不是,则拒绝访问。
基于kprobes的容器访问控制方法包括以下步骤:
步骤1:客户端生成访问策略文件,访问策略文件中包含三元组信息(PID,RID,PSET),表示容器进程可以对资源进行哪些访问操作。其中,PID表示容器进程ID,RID表示容器需要访问的资源ID,PSET表示容器可以对资源进行哪些操作;
步骤2:访问控制系统接收访问策略文件,并对访问策略文件进行解析:
步骤2.1:在内核中,根据访问策略文件中的PID,获取进程的实例对象(task_struct),实例对象包含了对当前进程的详尽描述;
步骤2.2:解析进程实例对象的命名空间成员变量(nsproxy),获取当前进程所在的命名空间的唯一标识(proc_inum),从而确定当前进程是位于哪个容器的命名空间下;
步骤2.3:将命名空间的唯一标识添加到访问策略文件中;
步骤3:通过kprobes对容器恶意操作所对应的内核函数进行监控:
步骤3.1:分析恶意操作所调用的系统调用,在分析系统调用背后执行的内核函数,确定需要监控的内核函数;
步骤3.2:通过kprobes对指定内核函数插入探测点,包括在内核函数执行前插入探测点、在内核函数执行后插入探测点;
步骤3.3:当指定内核函数被调用时,触发中断指令,kprobes保存当前内核上下文信息,跳转到探测函数;
步骤3.4:执行探测函数,获取进程和进程所调用的内核函数信息,并执行访问控制算法,执行完毕后,返回内核函数;
步骤3.5:kprobes恢复内核函数执行的上下文信息后继续执行原有操作;
步骤4:在kprobes的探测函数中,执行访问控制操作:
步骤4.1:获取当前进程及对应内核函数信息;
步骤4.2:将当前进程及该进程调用的内核函数信息与访问策略文件,进行匹配,若匹配成功,则将本次操作记录到日志文件中以为后续查阅,若匹配失败,则将函数间调用时传递的参数和返回值进行修改,从而使得函数执行失败,进而阻止本次操作的执行。

Claims (2)

1.一种基于kprobes的容器访问控制方法,其特征在于,包括以下步骤:
步骤1:客户端生成访问策略文件,所述访问策略文件中包括三元组信息,所述三元组信息包括表示容器进程ID的PID,表示容器需要访问的资源ID的RID,表示容器可以对资源进行哪些操作的PSET;
步骤2:访问控制系统接收访问策略文件,并对访问策略文件进行解析:
步骤2.1:在内核中,根据访问策略文件中的PID,获取进程的实例对象task_struct,实例对象包含对当前进程的详尽描述;
步骤2.2:解析进程实例对象的命名空间成员变量nsproxy,获取当前进程所在的命名空间的唯一标识proc_inum,从而确定当前进程位于哪个容器的命名空间下;
步骤2.3:将命名空间的唯一标识添加到访问策略文件中;
步骤3:通过kprobes对内核函数探测,进而监控容器行为;在探测函数中,获取当前进程的信息;
步骤4:在kprobes的探测函数中,执行访问控制操作:
步骤4.1:获取当前进程及对应内核函数信息;
步骤4.2:将当前进程及该进程调用的内核函数信息与访问策略文件,进行匹配,若匹配成功,则将本次操作记录到日志文件中以供后续查阅;若匹配失败,则将函数间调用时传递的参数和返回值进行修改,从而使得函数执行失败,进而阻止本次操作的执行;
所述步骤3具体包括:
步骤3.1:分析恶意操作所调用的系统调用,再分析系统调用背后执行的内核函数,确定需要监控的内核函数;
步骤3.2:通过kprobes对指定内核函数插入探测点,包括在内核函数执行前插入探测点、在内核函数执行后插入探测点;
步骤3.3:当指定内核函数被调用时,触发中断指令,kprobes保存当前内核上下文信息,跳转到探测函数;
步骤3.4:执行探测函数,获取进程和进程所调用的内核函数信息,并执行访问控制算法,执行完毕后,返回内核函数并恢复原有执行逻辑;
步骤3.5:kprobes恢复内核函数执行的上下文信息后继续执行原有操作。
2.一种基于kprobes的访问控制系统,其特征在于,包括访问策略文件解析模块、内核函数监控模块和访问控制算法模块;
所述访问策略文件解析模块用于根据客户端生成的访问策略文件,结合内核提供的进程实体task_struct,解析出访问策略文件中进程所在的容器命名空间;
所述内核函数监控模块用于通过kprobes对内核函数进行探测,在探测函数中,获取当前进程的信息;具体包括:
分析恶意操作所调用的系统调用,再分析系统调用背后执行的内核函数,确定需要监控的内核函数;
通过kprobes对指定内核函数插入探测点,包括在内核函数执行前插入探测点、在内核函数执行后插入探测点;
当指定内核函数被调用时,触发中断指令,kprobes保存当前内核上下文信息,跳转到探测函数;
执行探测函数,获取进程和进程所调用的内核函数信息,并执行访问控制算法,执行完毕后,返回内核函数并恢复原有执行逻辑;
kprobes恢复内核函数执行的上下文信息后继续执行原有操作;
所述访问控制算法模块用于通过将探测函数中获取的进程信息和访问策略文件中的信息进行匹配,若匹配成功,则运行内核函数继续调用;若匹配不成功,结合内核函数间的调用以寄存器和栈来传递参数和返回值的特点,将内核函数间参数以及返回值的传递进行修改,从而阻止内核函数执行,进而阻止恶意操作。
CN202110340070.1A 2021-03-30 2021-03-30 一种基于kprobes的容器访问控制方法与系统 Active CN113051034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110340070.1A CN113051034B (zh) 2021-03-30 2021-03-30 一种基于kprobes的容器访问控制方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110340070.1A CN113051034B (zh) 2021-03-30 2021-03-30 一种基于kprobes的容器访问控制方法与系统

Publications (2)

Publication Number Publication Date
CN113051034A CN113051034A (zh) 2021-06-29
CN113051034B true CN113051034B (zh) 2023-04-07

Family

ID=76516467

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110340070.1A Active CN113051034B (zh) 2021-03-30 2021-03-30 一种基于kprobes的容器访问控制方法与系统

Country Status (1)

Country Link
CN (1) CN113051034B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113590264A (zh) * 2021-07-30 2021-11-02 绿盟科技集团股份有限公司 一种容器环境下的文件防篡改方法及装置
CN113791865A (zh) * 2021-09-08 2021-12-14 山石网科通信技术股份有限公司 容器安全的处理方法及装置、存储介质和处理器
CN114546598B (zh) * 2022-02-25 2022-10-21 北京小佑网络科技有限公司 一种容器内进程、文件和网络访问控制方法
CN117407118A (zh) * 2022-07-08 2024-01-16 北京火山引擎科技有限公司 容器运行控制方法、装置、电子设备及可读存储介质
CN117807039B (zh) * 2024-02-28 2024-04-30 腾讯科技(深圳)有限公司 一种容器处理方法、装置、设备、介质及程序产品

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105956468A (zh) * 2016-04-22 2016-09-21 中国科学院信息工程研究所 一种基于文件访问动态监控的Android恶意应用检测方法及系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016183028A2 (en) * 2015-05-10 2016-11-17 Apl Software Inc. Methods and architecture for enhanced computer performance
CN106330984B (zh) * 2016-11-29 2019-12-24 北京元心科技有限公司 访问控制策略的动态更新方法及装置
KR101857009B1 (ko) * 2017-01-19 2018-05-11 숭실대학교산학협력단 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법
US10977361B2 (en) * 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
CN108121593B (zh) * 2017-12-22 2019-06-25 四川大学 一种虚拟机进程异常行为检测方法与系统
US20190286820A1 (en) * 2018-03-15 2019-09-19 Samsung Sds Co., Ltd. Apparatus and method for detecting container rootkit
US10592380B2 (en) * 2018-04-20 2020-03-17 Sysdig, Inc. Programmatic container monitoring
US11068614B2 (en) * 2018-08-30 2021-07-20 Dell Products, L.P. System-level data security based on environmental properties
KR102510846B1 (ko) * 2018-10-04 2023-03-16 삼성전자주식회사 전자 장치 및 그의 제어방법
CN109858239B (zh) * 2019-01-16 2020-01-17 四川大学 一种动静态结合的容器内cpu漏洞攻击程序检测方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105956468A (zh) * 2016-04-22 2016-09-21 中国科学院信息工程研究所 一种基于文件访问动态监控的Android恶意应用检测方法及系统

Also Published As

Publication number Publication date
CN113051034A (zh) 2021-06-29

Similar Documents

Publication Publication Date Title
CN113051034B (zh) 一种基于kprobes的容器访问控制方法与系统
US11443034B2 (en) Trust zone-based operating system and method
US9852295B2 (en) Computer security systems and methods using asynchronous introspection exceptions
US8516589B2 (en) Apparatus and method for preventing virus code execution
US9117080B2 (en) Process evaluation for malware detection in virtual machines
US8214900B1 (en) Method and apparatus for monitoring a computer to detect operating system process manipulation
US11070570B2 (en) Methods and cloud-based systems for correlating malware detections by endpoint devices and servers
CN109074450B (zh) 威胁防御技术
JP2004537105A (ja) 状態参照モニタ
US20180225447A1 (en) System and method of analysis of files for maliciousness in a virtual machine
US20190042730A1 (en) Systems, Methods, And Apparatus For Detecting Control Flow Attacks
US8402539B1 (en) Systems and methods for detecting malware
RU2724790C1 (ru) Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине
CN108388793B (zh) 一种基于主动防御的虚拟机逃逸防护方法
CN110135151B (zh) 基于lsm与系统调用拦截相配合的可信计算实现系统及方法
EP3079057B1 (en) Method and device for realizing virtual machine introspection
CN113791865A (zh) 容器安全的处理方法及装置、存储介质和处理器
CN113176926B (zh) 一种基于虚拟机自省技术的api动态监控方法及系统
CN107203410B (zh) 一种基于系统调用重定向的vmi方法及系统
CN108985098B (zh) 数据处理器
WO2022093186A1 (en) Code execution using trusted code record
CN113821790A (zh) 基于Trustzone的工业可信计算双体系架构实现方法
US10809924B2 (en) Executable memory protection
US10019576B1 (en) Security control system for protection of multi-core processors
EP1944676A1 (en) Stateful reference monitor

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant