CN113791865A - 容器安全的处理方法及装置、存储介质和处理器 - Google Patents
容器安全的处理方法及装置、存储介质和处理器 Download PDFInfo
- Publication number
- CN113791865A CN113791865A CN202111052509.7A CN202111052509A CN113791865A CN 113791865 A CN113791865 A CN 113791865A CN 202111052509 A CN202111052509 A CN 202111052509A CN 113791865 A CN113791865 A CN 113791865A
- Authority
- CN
- China
- Prior art keywords
- target
- container
- program
- processing
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 172
- 238000000034 method Methods 0.000 claims abstract description 99
- 230000008569 process Effects 0.000 claims description 45
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 12
- 230000000875 corresponding effect Effects 0.000 description 21
- 230000006399 behavior Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种容器安全的处理方法及装置、存储介质和处理器。该方法包括:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将处理流程请求传递到用户态中的安全服务容器;响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息;将目标信息发送至目标容器,根据目标信息对目标程序进行处理。通过本申请,解决了相关技术中在容器运行时,难以保护容器安全的问题。
Description
技术领域
本申请涉及信息处理技术领域,具体而言,涉及一种容器安全的处理方法及装置、存储介质和处理器。
背景技术
容器提供了将应用程序的代码、配置、依赖项打包到单个对象的标准方法。容器主要建立在Linux命名空间(Linux Namespace)和Linux控制机制(Linux Cgroups)两项关键技术之上。另外,容器和虚拟机(VM)不同之处在于,虚拟机(VM)模拟硬件系统,每个虚拟机(VM)都在独立环境中运行操作系统(OS)。而容器共享操作系统内核,若容器被攻击将可能造成容器逃逸或资源隔离失效,影响某个或多个容器的安全。
另外,典型的容器部署中,容器一般运行一个较小的单一服务,其中可执行的进程,网络监听的端口,网络外发连接,文件读取/写入等,以上这些会包含在一个较小且明确的集合中。而容器被攻击过程中一些常用手段如WebShell、反弹Shell等,其行为往往超出已知的容器行为集合。把已知的容器行为集合作为白名单,对容器的行为进行限制,是一种广泛使用且比较普遍的容器安全防御手段。
相关技术一,应用程序访问控制系统(AppArmor或Application Armor)是一个Linux内核的安全模块,允许系统管理员通过每个程序的配置文件限制程序的功能。通过配置文件可以指定程序进行读、写或者运行哪些文件,是否可以打开网络端口等。而且,AppArmor是一个对内核的增强工具,将程序限制在一个有限的资源集合中。AppArmor的安全模型将对访问属性的控制绑定到程序而非用户。另外,使用AppArmor控制容器行为的步骤如下:创建AppArmor配置文件;使用apparmor_parser将配置文件加载到内核(即AppArmor内核模块)中;启动容器时指定该AppArmor配置文件;若修改配置:首先修改配置文件并加载到内核;然后重新启动容器实例。但是,使用相关技术一的方案时,配置文件的加载只在启动时加载一次,修改访问控制规则后,需重启容器才能生效,无法实时生效,而且配置文件的访问控制难以配置使用,使用难度大。
相关技术二为一种在宿主机上监控容器进程的方法,通过获得容器的进程相关信息,以此为基础做安全分析检测。但是,相关技术二只提出了对运行时容器进行进程信息监控并据此做安全分析检测的技术,并没有对容器的行为进行管理和控制,所以使用该技术方案不能够对进程进行拦截、阻断控制,也不能够对运行容器的目录进行写权限的拦截、阻断。
相关技术三,该方案通过容器运行时,用户态内核拦截容器应用程序的系统调用,处理后将结果返回给容器的应用程序,使容器的应用程序不能直接完成宿主机的系统调用,所有容器系统调用都经过此用户态内核。但是,此方案中的用户态内核不是原生存在的,部署时对环境改动大;而且容器运行在此用户态内核之上,相比容器直接调用宿主机系统调用,利用此方案将额外增加开销;并且此方案会过滤或处理所有的系统调用,影响性能。
针对相关技术中在容器运行时,难以保护容器安全的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种容器安全的处理方法及装置、存储介质和处理器,以解决相关技术中在容器运行时,难以保护容器安全的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种容器安全的处理方法。该方法包括:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将所述处理流程请求传递到用户态中的安全服务容器;响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。
进一步地,根据所述目标信息对所述目标程序进行处理包括:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。
进一步地,所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。
进一步地,所述目标程序为:可执行文件的控制和文件目录的写入控制。
进一步地,若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
进一步地,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述黑白名单进行匹配;若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。
进一步地,根据所述目标信息与所述黑白名单进行匹配包括:若所述目标信息中包括可执行文件名称,则采用所述可执行文件名称与所述黑白名单进行匹配;若所述目标信息中包括MD5值,则采用所述MD5值与所述黑白名单进行匹配。
进一步地,若所述目标程序为文件目录的写入控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作,其中,所述文件路径黑白名单的内容为文件目录。
进一步地,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述文件路径黑白名单进行匹配;若所述目标信息落入所述文件路径黑白名单中的黑名单,则将禁止所述目标程序写入作为所述处理决策;若所述目标信息落入所述文件路径黑白名单中的白名单,则将允许所述目标程序写入作为所述处理决策。
为了实现上述目的,根据本申请的另一方面,提供了一种容器安全的处理装置。该装置包括:第一触发单元,用于在目标容器的应用程序执行目标程序时,触发处理流程请求;第一传递元,用于通过内核将所述处理流程请求传递到用户态中的安全服务容器;第一处理单元,用于响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;第二处理单元,用于将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。
进一步地,所述第二处理单元包括:第一处理子单元,用于根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;第一发送子单元,用于将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。
进一步地,所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。
进一步地,所述目标程序为:可执行文件的控制和文件目录的写入控制。
进一步地,所述装置还包括:第一配置单元,用于若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
进一步地,所述第一处理子单元包括:第一匹配模块,用于根据所述目标信息与所述黑白名单进行匹配;第一禁止模块,用于若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;第一允许模块,用于若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。
进一步地,所述第一匹配模块包括:第一采用子模块,用于若所述目标信息中包括可执行文件名称,则采用所述可执行文件名称与所述黑白名单进行匹配;第二采用子模块,用于若所述目标信息中包括MD5值,则采用所述MD5值与所述黑白名单进行匹配。
进一步地,所述装置还包括:第二配置单元,用于若所述目标程序为文件目录的写入控制,在所述目标容器中确定对所述目标程序的处理决策之前,配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作,其中,所述文件路径黑白名单的内容为文件目录。
进一步地,所述第一处理子单元包括::第二匹配模块,用于根据所述目标信息与所述文件路径黑白名单进行匹配;第二禁止模块,用于若所述目标信息落入所述文件路径黑白名单中的黑名单,则将禁止所述目标程序写入作为所述处理决策;第二允许模块,用于若所述目标信息落入所述文件路径黑白名单中的白名单,则将允许所述目标程序写入作为所述处理决策。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述的任意一项所述的容器安全的处理方法。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述的任意一项所述的容器安全的处理方法。
通过本申请,采用以下步骤:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将处理流程请求传递到用户态中的安全服务容器;响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息;将目标信息发送至目标容器,根据目标信息对目标程序进行处理,解决了相关技术中在容器运行时,难以保护容器安全的问题。通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息,对目标容器中的目标程序进行处理,从而使容器在运行时,保护容器免受威胁的攻击,进而达到了保护容器安全的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的容器安全的处理方法的流程图;
图2是根据本申请实施例提供的可选的容器安全的处理方法的框架流程图;
图3是根据本申请实施例提供的容器安全的处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种容器安全的处理方法。
图1是根据本申请实施例提供的容器安全的处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,在目标容器的应用程序执行目标程序时,触发处理流程请求。
当目标容器中的应用程序执行目标程序时,首先会触发处理流程请求。
步骤S102,通过内核将处理流程请求传递到用户态中的安全服务容器。
当目标容器中的应用程序执行目标程序时,内核将处理流程请求传递到用户态中的安全服务容器。
步骤S103,响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息。
用户态可以从操作系统(kernel)中读取到可执行文件名称,进程pid信息、cgroup信息、可执行文件的内容、写入的文件名称,写入的文件目录名称等信息,以上读取到的这些信息即为上述的目标信息。
步骤S104,将目标信息发送至目标容器,根据目标信息对目标程序进行处理。
用户态将上述的目标信息映射到目标容器的ID或应用程序中,并对目标程序进行处理。
上述的步骤S101至S104,通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息,对目标容器中的目标程序进行处理,从而使容器在运行时,保护容器免受威胁的攻击,进而达到了保护容器安全的效果。
可选地,在本申请实施例提供的容器安全的处理方法中,根据目标信息对目标程序进行处理包括:根据目标信息,在目标容器中确定对目标程序的处理决策;将处理决策发送至内核,以通过内核对目标程序执行目标操作。
如图2所示,此图为根据本申请实施例提供的可选的容器安全的处理方法的框架流程图。根据图2所示,首先将被保护容器的进程启动或文件写入请求从内核拦截到用户态决策,决策成功后内核继续后续操作。即在容器应用程序执行程序时内核将处理流程传递到用户态处理,处理结束后根据返回的结果内核继续执行容器启动的应用程序或返回容器执行失败(返回错误为没有权限);在容器应用程序写文件时,内核将处理流程传递到用户态处理,处理结束后根据返回的结果内核继续写入文件或返回容器写失败(失败时返回错误没有权限)。另外,在目标容器中确定对目标程序的处理决策之前,可以根据K8S云环境的命名空间(Namespace)、系统的应用(Application)和使用的镜像确定匹配的策略的目标容器,故在此策略内可以配置进程、文件的具体行为。
通过上述的方案,采用内核与用户态相配合的方法,将策略执行放在用户态进行,用户态决策后,返回给内核允许或阻止的决策结果。操作系统(kernel)接收到用户态程序的决策结果后,若运行则继续后续加载流程或者进行继续创建、写入相关操作;若禁止则终止加载流程或者终止相关写入操作。故通过内核与用户态相配合,可以更有效的保证容器的运行安全。而且,利用系统本身已经存在的操作系统(kernel)模块,对用户生产环境冲击小,不需要加载操作系统(kernel)模块,对不同的操作系统(kernel)兼容性好,易于部署。另外,管理容器行为不需要在启动容器前配置,可以在任意时间配置策略,配置后立即生效,无须重启容器;且策略在攻击发生期间生效,可以阻断正在发生的攻击行为;且此策略配置基于K8S的命名空间(Namespace)、系统的应用(Application)、镜像等容器云资产对象,配置简单,易于管理。
可选地,在本申请实施例提供的容器安全的处理方法中,目标操作为:允许执行目标程序或者阻止执行目标程序。
在容器运行时会包含多种操作。所以明确指出了上述的目标操作为允许执行目标程序或者阻止执行目标程序
可选地,在本申请实施例提供的容器安全的处理方法中,目标程序为:可执行文件的控制和文件目录的写入控制。
在容器运行时,包含很多种类的应用程序。例如,可执行的进程,网络监听的端口,网络外发连接,文件读取/写入等以上这些都属于在容器运行时的应用程序。所以明确指出了上述的目标程序为可执行文件的控制和文件目录的写入控制。
可选地,在本申请实施例提供的容器安全的处理方法中,若目标程序为可执行文件的控制,在目标容器中确定对目标程序的处理决策之前,该方法还包括:配置目标容器中的进程的黑白名单和黑白名单对应的操作。
例如,配置目标容器中的进程的黑白名单和黑白名单对应的操作具体分为以下几点:进程的受控名单及相对应的动作;进程的白名单;进程的其他名单及动作,既不在受控名单也不在白名单的进程,用来管理未知进程的行为;管理进程的动作有:阻断,即阻止进程执行;告警,进程执行时触发告警;终止,进程执行时关闭进程所在容器;忽略。另外,在配置目标容器中的进程的黑白名单和黑白名单对应的操作之前,可以根据目标程序的文件的ID,过滤出目标容器中的目标程序,对目标外的容器中的程序不做拦截。
通过上述的方案,利用预先配置好的进程的黑白名单和黑白名单对应的操作,可以通过内核对可执行文件的控制程序执行准确的操作。
可选地,在本申请实施例提供的容器安全的处理方法中,根据目标信息,在目标容器中确定对目标程序的处理决策包括:根据目标信息与黑白名单进行匹配;若目标信息落入黑白名单中的黑名单,则将禁止目标程序运行作为处理决策;若目标信息落入黑白名单中的白名单,则将允许目标程序运行作为处理决策。
用户态程序可以根据执行文件名称或者MD5值进行黑白名单决策。若匹配黑名单,用户态程序则禁止程序执行;若匹配白名单则放行。另外,未配置黑白名单的容器,用户态不会收到内核的事件通知。例如,攻击者可以利用容器的漏洞开启后台shell。容器应用允许执行的程序是相对固定的,可以通过黑白名单的方式禁止shell的执行(比如把/bin/bash加入黑名单),同时将正常应用比如nginx加入白名单,可以保证正常业务的执行,同时对潜在shell命令等的执行,可以阻断攻击路径。
通过上述的方案,可以快速准确的对可执行文件的控制程序作出决策,从而保证了容器的运行安全,以免容器在运行时受到攻击。
可选地,在本申请实施例提供的容器安全的处理方法中,根据目标信息与黑白名单进行匹配包括:若目标信息中包括可执行文件名称,则采用可执行文件名称与黑白名单进行匹配;若目标信息中包括MD5值,则采用MD5值与黑白名单进行匹配。
例如,若目标信息中包括可执行文件名称,用户态程序则根据可执行文件名称进行黑白名单决策;若目标信息中包括MD5值,用户态程序则根据MD5值进行黑白名单决策。
通过上述的方案,根据执行文件名称或者MD5值可以准确的进行黑白名单决策。
可选地,在本申请实施例提供的容器安全的处理方法中,若目标程序为文件目录的写入控制,在目标容器中确定对目标程序的处理决策之前,该方法还包括:配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作,其中,文件路径黑白名单的内容为文件目录。
例如,配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作具体分为以下几点:文件受控名单及动作;文件白名单;进程其他名单及动作;管理文件行为的动作有:阻断、告警、终止及忽略。另外,在配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作之前,可以根据目标程序的文件的ID,过滤出目标容器中的目标程序,对目标外的容器中的程序不做拦截。
通过上述的方案,利用预先配置好的允许写入的文件路径黑白名单和文件路径黑白名单对应的操作,可以通过内核对文件目录的写入控制程序执行准确的操作。
可选地,在本申请实施例提供的容器安全的处理方法中,根据目标信息,在目标容器中确定对目标程序的处理决策包括:根据目标信息与文件路径黑白名单进行匹配;若目标信息落入文件路径黑白名单中的黑名单,则将禁止目标程序写入作为处理决策;若目标信息落入文件路径黑白名单中的白名单,则将允许目标程序写入作为处理决策。
用户态可以根据文件名称进行黑白名单决策,若匹配黑名单,用户态程序禁止文件创建;若匹配白名单则放行。另外,未配置黑白名单的容器,用户态不会收到内核的事件通知。例如,攻击者可以利用容器应用的漏洞将恶意文件(比如木马)上传到容器,并执行进行进一步攻击。由于容器的行为是相对固化的,可以通过配置文件目录的黑白名单阻止非法文件的写入,可以通过可执行文件的黑白名单阻止未知文件的执行,从而阻断了攻击链,可以有效防御定向威胁攻击(APT攻击)及0-day等恶意攻击。
通过上述的方案,可以快速准确的对文件目录的写入控制程序作出决策,从而保证了容器的运行安全,以免容器在运行时受到攻击。
综上所述,本申请实施例提供的容器安全的处理方法,通过在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将处理流程请求传递到用户态中的安全服务容器;响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息;将目标信息发送至目标容器,根据目标信息对目标程序进行处理,解决了相关技术中在容器运行时,难以保护容器安全的问题。通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息,对目标容器中的目标程序进行处理,从而使容器在运行时,保护容器免受威胁的攻击,进而达到了保护容器安全的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种容器安全的处理装置,需要说明的是,本申请实施例的Z装置可以用于执行本申请实施例所提供的用于容器安全的处理方法。以下对本申请实施例提供的容器安全的处理装置进行介绍。
图3是根据本申请实施例的容器安全的处理装置的示意图。如图3所示,该装置包括:第一触发单元301、第一传递元302、第一处理单元303、第二处理单元304。
具体地,第一触发单元301,用于在目标容器的应用程序执行目标程序时,触发处理流程请求;
第一传递元302,用于通过内核将处理流程请求传递到用户态中的安全服务容器;
第一处理单元303,用于响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息;
第二处理单元304,用于将目标信息发送至目标容器,根据目标信息对目标程序进行处理。
综上,本申请实施例提供的容器安全的处理装置,通过第一触发单元301在目标容器的应用程序执行目标程序时,触发处理流程请求;第一传递元302通过内核将处理流程请求传递到用户态中的安全服务容器;第一处理单元303响应处理流程请求,安全服务容器从操作系统内核读取执行目标程序时的目标信息;第二处理单元304将目标信息发送至目标容器,根据目标信息对目标程序进行处理,解决了相关技术中在容器运行时,难以保护容器安全的问题。通过响应处理流程请求和根据从操作系统内核读取执行目标程序时的目标信息,对目标容器中的目标程序进行处理,从而使容器在运行时,保护容器免受威胁的攻击,进而达到了保护容器安全的效果。
可选地,在本申请实施例提供的容器安全的处理装置中,第二处理单元包括:第一处理子单元,用于根据目标信息,在目标容器中确定对目标程序的处理决策;第一发送子单元,用于将处理决策发送至内核,以通过内核对目标程序执行目标操作。
可选地,在本申请实施例提供的容器安全的处理装置中,目标操作为:允许执行目标程序或者阻止执行目标程序。
可选地,在本申请实施例提供的容器安全的处理装置中,目标程序为:可执行文件的控制和文件目录的写入控制。
可选地,在本申请实施例提供的容器安全的处理装置中,该装置还包括:第一配置单元,用于若目标程序为可执行文件的控制,在目标容器中确定对目标程序的处理决策之前,配置目标容器中的进程的黑白名单和黑白名单对应的操作。
可选地,在本申请实施例提供的容器安全的处理装置中,第一处理子单元包括:第一匹配模块,用于根据目标信息与黑白名单进行匹配;第一禁止模块,用于若目标信息落入黑白名单中的黑名单,则将禁止目标程序运行作为处理决策;第一允许模块,用于若目标信息落入黑白名单中的白名单,则将允许目标程序运行作为处理决策。
可选地,在本申请实施例提供的容器安全的处理装置中,第一匹配模块包括:第一采用子模块,用于若目标信息中包括可执行文件名称,则采用可执行文件名称与黑白名单进行匹配;第二采用子模块,用于若目标信息中包括MD5值,则采用MD5值与黑白名单进行匹配。
可选地,在本申请实施例提供的容器安全的处理装置中,该装置还包括:第二配置单元,用于若目标程序为文件目录的写入控制,在目标容器中确定对目标程序的处理决策之前,配置目标容器中允许写入的文件路径黑白名单和文件路径黑白名单对应的操作,其中,文件路径黑白名单的内容为文件目录。
可选地,在本申请实施例提供的容器安全的处理装置中,第一处理子单元包括::第二匹配模块,用于根据目标信息与文件路径黑白名单进行匹配;第二禁止模块,用于若目标信息落入文件路径黑白名单中的黑名单,则将禁止目标程序写入作为处理决策;第二允许模块,用于若目标信息落入文件路径黑白名单中的白名单,则将允许目标程序写入作为处理决策。
所述容器安全的处理装置包括处理器和存储器,上述第一触发单元301、第一传递元302、第一处理单元303、第二处理单元304等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来保护容器的安全。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述容器安全的处理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述容器安全的处理方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将所述处理流程请求传递到用户态中的安全服务容器;响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。
处理器执行程序时还实现以下步骤:根据所述目标信息对所述目标程序进行处理包括:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。
处理器执行程序时还实现以下步骤:所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。
处理器执行程序时还实现以下步骤:所述目标程序为:可执行文件的控制和文件目录的写入控制。
处理器执行程序时还实现以下步骤:若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
处理器执行程序时还实现以下步骤:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述黑白名单进行匹配;若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。
处理器执行程序时还实现以下步骤:根据所述目标信息与所述黑白名单进行匹配包括:若所述目标信息中包括可执行文件名称,则采用所述可执行文件名称与所述黑白名单进行匹配;若所述目标信息中包括MD5值,则采用所述MD5值与所述黑白名单进行匹配。
处理器执行程序时还实现以下步骤:若所述目标程序为文件目录的写入控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作,其中,所述文件路径黑白名单的内容为文件目录。
处理器执行程序时还实现以下步骤:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述文件路径黑白名单进行匹配;若所述目标信息落入所述文件路径黑白名单中的黑名单,则将禁止所述目标程序写入作为所述处理决策;若所述目标信息落入所述文件路径黑白名单中的白名单,则将允许所述目标程序写入作为所述处理决策。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将所述处理流程请求传递到用户态中的安全服务容器;响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:根据所述目标信息对所述目标程序进行处理包括:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:所述目标程序为:可执行文件的控制和文件目录的写入控制。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述黑白名单进行匹配;若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:根据所述目标信息与所述黑白名单进行匹配包括:若所述目标信息中包括可执行文件名称,则采用所述可执行文件名称与所述黑白名单进行匹配;若所述目标信息中包括MD5值,则采用所述MD5值与所述黑白名单进行匹配。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:若所述目标程序为文件目录的写入控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作,其中,所述文件路径黑白名单的内容为文件目录。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述文件路径黑白名单进行匹配;若所述目标信息落入所述文件路径黑白名单中的黑名单,则将禁止所述目标程序写入作为所述处理决策;若所述目标信息落入所述文件路径黑白名单中的白名单,则将允许所述目标程序写入作为所述处理决策。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种容器安全的处理方法,其特征在于,包括:
在目标容器的应用程序执行目标程序时,触发处理流程请求;
通过内核将所述处理流程请求传递到用户态中的安全服务容器;
响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;
将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。
2.根据权利要求1所述的方法,其特征在于,根据所述目标信息对所述目标程序进行处理包括:
根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;
将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。
3.根据权利要求2所述的方法,其特征在于,所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。
4.根据权利要求2所述的方法,其特征在于,所述目标程序为:可执行文件的控制和文件目录的写入控制。
5.根据权利要求4所述的方法,其特征在于,若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:
配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。
6.根据权利要求5所述的方法,其特征在于,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:
根据所述目标信息与所述黑白名单进行匹配;
若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;
若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。
7.根据权利要求6所述的方法,其特征在于,根据所述目标信息与所述黑白名单进行匹配包括:
若所述目标信息中包括可执行文件名称,则采用所述可执行文件名称与所述黑白名单进行匹配;
若所述目标信息中包括MD5值,则采用所述MD5值与所述黑白名单进行匹配。
8.根据权利要求4所述的方法,其特征在于,若所述目标程序为文件目录的写入控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:
配置所述目标容器中允许写入的文件路径黑白名单和所述文件路径黑白名单对应的操作,其中,所述文件路径黑白名单的内容为文件目录。
9.根据权利要求8所述的方法,其特征在于,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:
根据所述目标信息与所述文件路径黑白名单进行匹配;
若所述目标信息落入所述文件路径黑白名单中的黑名单,则将禁止所述目标程序写入作为所述处理决策;
若所述目标信息落入所述文件路径黑白名单中的白名单,则将允许所述目标程序写入作为所述处理决策。
10.一种容器安全的处理装置,其特征在于,包括:
第一触发单元,用于在目标容器的应用程序执行目标程序时,触发处理流程请求;
第一传递元,用于通过内核将所述处理流程请求传递到用户态中的安全服务容器;
第一处理单元,用于响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;
第二处理单元,用于将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。
11.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至9中任意一项所述的容器安全的处理方法。
12.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至9中任意一项所述的容器安全的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111052509.7A CN113791865B (zh) | 2021-09-08 | 2021-09-08 | 容器安全的处理方法及装置、存储介质和处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111052509.7A CN113791865B (zh) | 2021-09-08 | 2021-09-08 | 容器安全的处理方法及装置、存储介质和处理器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113791865A true CN113791865A (zh) | 2021-12-14 |
CN113791865B CN113791865B (zh) | 2024-07-26 |
Family
ID=79182837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111052509.7A Active CN113791865B (zh) | 2021-09-08 | 2021-09-08 | 容器安全的处理方法及装置、存储介质和处理器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113791865B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301841A (zh) * | 2021-12-20 | 2022-04-08 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN115412458A (zh) * | 2022-08-29 | 2022-11-29 | 山石网科通信技术股份有限公司 | 网络设备的测试方法、装置及电子设备 |
CN117407118A (zh) * | 2022-07-08 | 2024-01-16 | 北京火山引擎科技有限公司 | 容器运行控制方法、装置、电子设备及可读存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1675623A (zh) * | 2002-06-07 | 2005-09-28 | 英特尔公司 | 通过重定向系统管理中断和创建虚拟机容器来抵御非可信系统管理代码的系统和方法 |
CN103136468A (zh) * | 2011-12-12 | 2013-06-05 | 微软公司 | 协助用于硬件保护的应用程序的系统服务请求交互 |
CN105183565A (zh) * | 2015-09-30 | 2015-12-23 | 华为技术有限公司 | 计算机、服务质量控制方法及装置 |
CN105389197A (zh) * | 2015-10-13 | 2016-03-09 | 北京百度网讯科技有限公司 | 用于基于容器的虚拟化系统的操作捕获方法和装置 |
CN105607954A (zh) * | 2015-12-21 | 2016-05-25 | 华南师范大学 | 一种有状态容器在线迁移的方法和装置 |
WO2018007884A1 (en) * | 2016-07-08 | 2018-01-11 | International Business Machines Corporation | Providing debug information on production containers using debug containers |
CN109561108A (zh) * | 2019-01-07 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
CN110362382A (zh) * | 2019-06-24 | 2019-10-22 | 湖南麒麟信安科技有限公司 | 一种容器安全隔离方法、系统及介质 |
CN111078367A (zh) * | 2019-12-23 | 2020-04-28 | 北京云联万维技术有限公司 | 一种请求处理方法、装置、电子设备和存储介质 |
CN112035172A (zh) * | 2020-09-03 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 操作系统启动方法、装置、服务器及存储介质 |
US20210109775A1 (en) * | 2018-04-11 | 2021-04-15 | Cornell University | Method and system for improving software container performance and isolation |
CN113051034A (zh) * | 2021-03-30 | 2021-06-29 | 四川大学 | 一种基于kprobes的容器访问控制方法与系统 |
CN113282377A (zh) * | 2021-07-23 | 2021-08-20 | 阿里云计算有限公司 | 无服务器架构下的代码加载方法、设备、系统及存储介质 |
CN113301004A (zh) * | 2020-06-17 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、通信方法和单网卡虚拟机 |
-
2021
- 2021-09-08 CN CN202111052509.7A patent/CN113791865B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1675623A (zh) * | 2002-06-07 | 2005-09-28 | 英特尔公司 | 通过重定向系统管理中断和创建虚拟机容器来抵御非可信系统管理代码的系统和方法 |
CN103136468A (zh) * | 2011-12-12 | 2013-06-05 | 微软公司 | 协助用于硬件保护的应用程序的系统服务请求交互 |
CN105183565A (zh) * | 2015-09-30 | 2015-12-23 | 华为技术有限公司 | 计算机、服务质量控制方法及装置 |
CN105389197A (zh) * | 2015-10-13 | 2016-03-09 | 北京百度网讯科技有限公司 | 用于基于容器的虚拟化系统的操作捕获方法和装置 |
CN105607954A (zh) * | 2015-12-21 | 2016-05-25 | 华南师范大学 | 一种有状态容器在线迁移的方法和装置 |
WO2018007884A1 (en) * | 2016-07-08 | 2018-01-11 | International Business Machines Corporation | Providing debug information on production containers using debug containers |
US20210109775A1 (en) * | 2018-04-11 | 2021-04-15 | Cornell University | Method and system for improving software container performance and isolation |
CN109561108A (zh) * | 2019-01-07 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
CN110362382A (zh) * | 2019-06-24 | 2019-10-22 | 湖南麒麟信安科技有限公司 | 一种容器安全隔离方法、系统及介质 |
CN111078367A (zh) * | 2019-12-23 | 2020-04-28 | 北京云联万维技术有限公司 | 一种请求处理方法、装置、电子设备和存储介质 |
CN113301004A (zh) * | 2020-06-17 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、通信方法和单网卡虚拟机 |
CN112035172A (zh) * | 2020-09-03 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 操作系统启动方法、装置、服务器及存储介质 |
CN113051034A (zh) * | 2021-03-30 | 2021-06-29 | 四川大学 | 一种基于kprobes的容器访问控制方法与系统 |
CN113282377A (zh) * | 2021-07-23 | 2021-08-20 | 阿里云计算有限公司 | 无服务器架构下的代码加载方法、设备、系统及存储介质 |
Non-Patent Citations (1)
Title |
---|
林园致;杨新章;何震苇;严丽云;黄丹池;: "Kata容器关键技术研究", 广东通信技术, no. 09 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301841A (zh) * | 2021-12-20 | 2022-04-08 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN114301841B (zh) * | 2021-12-20 | 2024-02-06 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN117407118A (zh) * | 2022-07-08 | 2024-01-16 | 北京火山引擎科技有限公司 | 容器运行控制方法、装置、电子设备及可读存储介质 |
CN115412458A (zh) * | 2022-08-29 | 2022-11-29 | 山石网科通信技术股份有限公司 | 网络设备的测试方法、装置及电子设备 |
CN115412458B (zh) * | 2022-08-29 | 2023-11-03 | 山石网科通信技术股份有限公司 | 网络设备的测试方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113791865B (zh) | 2024-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110647754B (zh) | 用于在文件系统中强制实行视图分离的方法、装置、介质及系统 | |
US10956184B2 (en) | On-demand disposable virtual work system | |
EP3017392B1 (en) | Process evaluation for malware detection in virtual machines | |
US9747443B2 (en) | System and method for firmware based anti-malware security | |
KR101626424B1 (ko) | 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법 | |
US9392016B2 (en) | System and method for below-operating system regulation and control of self-modifying code | |
US8621620B2 (en) | System and method for protecting and securing storage devices using below-operating system trapping | |
US9087199B2 (en) | System and method for providing a secured operating system execution environment | |
US8650642B2 (en) | System and method for below-operating system protection of an operating system kernel | |
US8925089B2 (en) | System and method for below-operating system modification of malicious code on an electronic device | |
TWI470471B (zh) | 保護作業系統資源 | |
US9032525B2 (en) | System and method for below-operating system trapping of driver filter attachment | |
CN110851241A (zh) | Docker容器环境的安全防护方法、装置及系统 | |
US20120255014A1 (en) | System and method for below-operating system repair of related malware-infected threads and resources | |
US20120255003A1 (en) | System and method for securing access to the objects of an operating system | |
KR20180097527A (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
US20120255011A1 (en) | Systems and methods for identifying hidden processes | |
US20120254993A1 (en) | System and method for virtual machine monitor based anti-malware security | |
WO2016109042A1 (en) | Microvisor-based malware detection endpoint architecture | |
US20120254994A1 (en) | System and method for microcode based anti-malware security | |
CN113791865B (zh) | 容器安全的处理方法及装置、存储介质和处理器 | |
CN113051034B (zh) | 一种基于kprobes的容器访问控制方法与系统 | |
WO2017213643A1 (en) | Executing services in containers | |
US10809924B2 (en) | Executable memory protection | |
US20230214248A1 (en) | Controlling Container Commands Issued In A Distributed Computing Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |