CN114254304A - 容器安全入侵检测方法、装置、计算机设备及存储介质 - Google Patents
容器安全入侵检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114254304A CN114254304A CN202111447971.7A CN202111447971A CN114254304A CN 114254304 A CN114254304 A CN 114254304A CN 202111447971 A CN202111447971 A CN 202111447971A CN 114254304 A CN114254304 A CN 114254304A
- Authority
- CN
- China
- Prior art keywords
- container
- intrusion detection
- event
- data
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种容器安全入侵检测方法、装置、计算机设备及可读存储介质,该方法包括建立通讯连接,获取进程审计事件;基于所述进程审计事件,获取容器状态和数据;基于所述容器状态和数据,检测分析所述容器安全;若检测分析有异常行为,响应并处理所述异常行为。本发明通过通讯连接,能够不侵入内核,对所述宿主机上所有容器的进程、文件、网络连接审计以获取进程审计事件,基于进程审计事件获取容器状态和数据进而检测分析感知容器存在的风险及异常行为,对宿主机业务、容器透明,无感知存在安全监控容器安全并具有反入侵效果。
Description
技术领域
本发明涉云计算领域,具体涉及容器安全技术领域,特别是涉及一种容器安全入侵检测方法、装置、计算机设备及计算机可读存储介质。
背景技术
容器是容器镜像的已部署的实例。开发者生成包括应用在容器中操作所需的所有资源的容器镜像。容器随后被部署并且用户可以访问容器内应用的功能。作为一种操作系统虚拟化技术,容器共享操作系统内核,如基于sidecar方案的kubernetes业务容器,允许在应用程序旁边添加更多功能,而无需额外第三方组件配置或修改应用程序代码。在软件架构中,Sidecar连接到父应用并且为其添加扩展或者增强功能。Sidecar应用与主应用程序松散耦合。它可以屏蔽不同编程语言的差异,统一实现微服务的可观察性、监控、日志记录、配置、断路器等功能Istio与Envoy使用的模型也是用的这种模型。但是sidecar模式需要获取主机高权限,并加载内核模块,未实现完全隔离,对宿主机稳定性影响较大,若虚拟化软件存在漏洞,或宿主机被攻击,将会造成容器逃逸或资源隔离失效,影响某个容器或多个容器的安全,极易引起主机故障。
发明内容
为了解决上述问题,本发明的目的是提供一种容器安全入侵检测的推荐方法、装置、计算机设备及计算机可读存储介质,该方法通过与宿主机内核连接通讯,能够不侵入内核,对所述宿主机上所有容器的进程、文件、网络连接审计、通过检测引擎感知异常行为,对宿主机业务、容器透明,无感知检测容器安全并具有反入侵效果。
基于此,本发明提供了一种容器安全入侵检测的推荐方法,所述容器安全入侵检测的推荐方法包括:
建立通讯连接,获取进程审计事件;
基于所述进程审计事件,获取容器状态和数据;
基于所述容器状态和数据,检测分析所述容器安全;
若检测分析有异常行为,响应并处理所述异常行为。
进一步地,所述获取进程审计事件的步骤包括:
建立netlink连接;
持续接收进程事件;
解析进程数据;
获取容器行为事件。
进一步地,所述容器行为事件包括进程的cgroup信息,所述基于所述进程审计事件,获取容器状态和数据的步骤包括:
基于所述cgroup信息,确定所述进程审计事件所属容器;
扫描所述容器的服务状态和配置。
进一步地,所述基于所述容器状态和数据,检测分析所述容器安全的步骤,包括:
获取预设配置的安全基线规则;
基于安全基线规则,对比相应的所述服务状态和配置信息检测分析是否存在基线安全风险。
进一步地,所述检测分析所述容器安全的步骤还包括反弹shell检测和异常行为检测。
进一步地,所述反弹shell检测方法包括:
获取所述进程审计事件的进程pid、启动参数和进程句柄;
基于所述进程pid、启动参数和进程句柄追溯所述进程审计事件的当前进程运行信息;
根据所述当前进程运行信息判断所述进程是否建立socket连接,若是,则确定存在反弹shell风险。
进一步地,所述若检测分析有异常行为,响应并处理所述异常行为的步骤包括:
上报安全事件警告。。
本发明还提供了一种容器安全入侵检测的推荐装置,包括:
进程审计事件获取模块,用于建立通讯连接,获取进程审计事件;
容器信息获取模块,用于基于所述进程审计事件,获取容器状态和数据;
检测分析模块,用于基于所述容器状态和数据,检测分析所述容器安全;
处理模块,用于在检测分析有异常行为时,响应并处理所述异常行为。
本发明还提供了一种计算机设备,包括存储器、处理器和网络接口,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现容器安全入侵检测方法的步骤。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现容器安全入侵检测方法的步骤。
在本发明中,提供一种容器安全入侵检测的推荐方法,该方法包括建立通讯连接,获取进程审计事件;基于所述进程审计事件,获取容器状态和数据;基于所述容器状态和数据,检测分析所述容器安全;若检测分析有异常行为,响应并处理所述异常行为。本发明通过通讯连接,能够不侵入内核,对所述宿主机上所有容器的进程、文件、网络连接审计获取进程审计事件,基于进程审计事件获取容器状态和数据检测分析感知容器存在的风险和异常行为,对宿主机业务、容器透明,无感知存在安全监控容器安全并具有反入侵效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的容器安全入侵检测方法的示意图;
图2是本发明实施例提供的容器安全入侵检测方法系统流程图;
图3是本发明实施例提供的容器安全入侵检测方装置的结构示意图;
图4根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本文所描述的操作、功能或方法可以被实现在软件中。软件可以包括存储在计算机或其他机器可读介质或存储设备上的计算机可执行指令,诸如一个或多个非暂态存储器(例如,非暂态机器可读介质)或其他类型的基于硬件的存储设备,本地的或联网的存储设备。此外,这种功能可以对应于子系统,子系统可以是软件、硬件、固件或其组合。多种功能可以根据需要在一个或多个子系统中被执行,并且所描述的实施例仅是示例。软件可以在数字信号处理器、专用集成电路(ASIC)、微处理器、中央处理单元(CPU)、图形处理单元(GPU)、现场可编程门阵列(FPGA)或在计算机系统上运行的其他类型的处理器上被执行,计算系统诸如个人计算机、服务器或其他计算机系统,将这种计算机系统转变为专门编程的机器。使用处理电路可以实现功能或算法。处理电路可以包括电气和/或电子组件。电气和/或电子组件可以包括以下中的一个或多个:晶体管、电阻器、电容器、电感器、放大器、调制器、解调器、天线、无线电、调节器、二极管、振荡器、多路复用器、逻辑门、缓冲器、高速缓存、存储器、GPU、CPU、FPGA、ASIC等。
计算机的核心是CPU,它承担了所有的处理任务,而操作系统是计算机的管理者,它负责任务的调度,资源的分配和管理,统领整个计算机硬件;应用程序是具有某种功能的程序,程序是运行于操作系统之上的。进程是一个具有一定独立功能的程序在一个数据集上的一次动态执行的过程,是操作系统进行资源分配和调度的一个独立单位,是应用程序运行的载体。
在处理器的存储保护中,主要有两种权限状态,一种是内核态,也被称为特权态、核心态或者管态,内核态是操作系统内核所运行的模式,运行在该模式的代码,可以无限制地对系统存储、外部设备进行访问;另一种是用户态(即目态),用户态指非特权状态,在此状态下执行的代码被硬件限定,不能进行某些操作,比如写入其他进程的存储空间,以防止给操作系统带来安全隐患,内核禁止此状态下的代码进行潜在危险的操作,比如写入系统配置文件、杀掉其他用户的进程、重启系统等。用户态的进程受限于用户态的权限,一般不会造成安全隐患,而运行于核心态的进程权限不受限,如果运行不当,会对整个计算机造成极大的危害。
容器作为一种操作系统虚拟化技术,容器共享操作系统内核,但容器与宿主机内核未完全隔离,若虚拟化软件存在漏洞,或宿主机被攻击,将会造成容器逃逸或资源隔离失效,影响某个容器或多个容器的安全。如攻击者通过容器获取主机权限,可攻击容器所在主机,甚至是该主机上的其他容器。
图1是本发明实施例提供的容器安全入侵检测的推荐方法的示意图,所述方法包括:
101:建立通讯连接,获取进程审计事件。
102:基于进程审计事件,获取容器状态和数据。
103:基于容器状态和数据,检测分析容器安全。
104:若检测分析有异常行为,响应并处理异常行为。
主机安全反入侵检测的核心数据包含命令、网络、文件三大类型,文件产生进程、进程产生网络。绝大多数攻击行为都是以进程的方式呈现,攻击者执行命令控制操作产生进程,进程发起网络连接请求传输数据,并可能产生文件读写行为。从进程的角度出发可以捕获到最多的安全事件,因此进程事件在反入侵检测中是最重要安全感知数据,是安全检测和异常分析的基础。这样不论在攻击事前的弱口令扫描或暴力破解动作;还是事中的反弹shell、命令执行注入;或事后的后门或隐藏进程,都可以依赖进程事件的基础数据分析,同时根据不同的攻击向量,多维护分析出安全事件。
容器是在操作系统或客户操作系统上操作以提供由对应容器镜像所限定的操作的资源集。容器可以在VM(虚拟机)内部运行。这种操作可以创建具有支持多个容器的多个OS(操作系统)的主机。因此,在不依赖于使用OS的其他应用的情况下,容器可以共享物理资源。
需要说明的是,本实施例所述容器是通过隔离的方式,将文件系统,进程,设备,网络等资源进行隔离,再对权限,CPU资源等进行控制,所述容器与宿主机共享内核,文件系统,硬件等资源,但容器之间互不影响,容器无法影响宿主机。
在本发明实施例中,所述容器安全入侵检测方法,对主机上所有容器的进程、文件、网络连接审计,获取所述宿主机中所有容器中各场景的进程审计事件,包括但不限于文件访问、系统调用、记录用户命令执行、记录安全事件、执行审计搜索、统计概要报表、网络访问等行为事件。
具体地,在一种可实现的方式中,在宿主机中部署一种探针Agent,Agent是具有容器安全反入侵的监控组件,通过netlink方式与宿主机内核建立ipc通讯连接,定期或实时持续接收进程事件并解析进程数据,以获取所述宿主机上的所有容器行为事件,包括但不限于进程创建、网络连接、磁盘读写等进程审计事件。
在其他一些实施例中,获取进程审计事件还可通过连接器模块连接宿主机内核,如linux连接器以及其他用以实现用户进程与内核进程通信的一种特殊的进程间通信的连机器,本发明实施例在此不作限定。
进一步地,在内核实现中,进程创建、执行、退出的系统调用最终都会通过netlink连接器发送消息到用户态,输出进程pid和线程tid,应用层结合/proc/pid/目录,可自动获取完善进程其他数据,如exe,cmdline,cwd等信息。
进一步地,解析进程数据包括解析进程的cgroups信息。应当理解的是,虚拟化技术主要是cgroups(控制组)、namespace(命名空间)和file system(文件系统)的应用,而操作系统作为cgroup和namespace根节点,无论在container里启动何种应用,从内核角度上来说,肯定在操作系统有其一定的特征和表现形式。具体地,containerid是容器的唯一标识,cgroup信息包括容器的虚拟化技术、containerid和此container的资源挂载路径。在本发明实施例中,所述cgroup信息通过容器的containerid和容器关联映射,形成宿主机上进程与各容器的映射关系表征数据,根据所述映射关系表征数据,确定所述进程审计事件具有映射关系的容器,以获取响应容器的状态。
在本发明一个实施例中,所述基于所述cgroup信息,确定所述进程审计事件所属容器,扫描所述容器获取其服务状态和配置信息,包括但不限于容器本身和宿主机的资源使用情况,如cpu,内存,网络,磁盘I/O,宿主机上容器镜像情况,名字,大小,版本,容器通过网络发送和接收的数据总量、端口号、连接数等数据信息。
进一步地,所述cgroup信息实现对任务组(包括进程组或线程组)使用的物理资源(CPU、内存、I/O等)进行限制和记录,通过多种度量标准为各个容器相对公平地分配资源,以防止资源滥用的情况。在实际应用中,cgroup会为每个执行任务创建一个钩子,在任务执行的过程中涉及到资源分配使用时,就会触发钩子上的函数并对相应的资源进行检测,从而对资源进行限制和优先级分配。本实施例根据containerid就可以对不同的container的对应数据做加和,就获得了container级的监控数据。
基于所述容器的container级的监控数据所获取的服务状态和配置的各数据信息,根据预设配置的安全基线规则,获取对应项的服务状态和配置信息,对相应的项进行逐条核查,检测分析容器存在的基线安全风险。
可以理解的是,所述基线安全为容器一种的安全要求标准,其实现了受信计算机组件,同时还描述了实现安全运行的所有相关配置设置,比如服务和应用程序设置,只有指定用户才有权启动服务或运行应用程序。更具体地,本实施例所述安全基线包括但不限于k8s生态基线安全、运行时基线安全、操作系统基线、数据库基线、中间件基线等等基线安全。本实施例采用基于Agent的检测方式,极大的减少人力物力的投入,能够帮助管理者快速实现安全基线的入侵检测分析,扫描基线安全隐患,检测操作系统执行环境和网络防护安全。
进一步地,基于获取的容器配置信息,进一步检测分析是否有反弹shell、容器进程、网络连接、文件篡改等异常行为或违规行为。
反弹shell(reverseshell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。在通常情况下,每个进程在开始运行的时刻,默认打开三个文件描述符:standardinput(标准输入)、standardoutput(标准输出)、erroroutput(错误输出),分别用来输入、输出、打印诊断和错误信息,通常这些描述符会被连接到用户终端,也可以改变到其它文件或设备。反弹shell一般是通过pipe管道让外部设备获取bash控制权,通过pipe管道启动bash,把bash进程包装起来由父进程来建立连接,而后所有的操作行由父进程通过pipe管道传递给终端bash,存在socket连接。
本实施例所获取的容器配置信息包括进程的进程pid、启动参数和进程句柄等进程信息,通过根据进程pid、启动参数和进程句柄追溯进程审计事件的当前进程运行信息,并判断其进程fd(filedescriptor,文件描述),检查是否是来自一个socket。例如,跟踪pipe管道进程,查询其当前运行信息,发现其建立了socket连接,那么就存在反弹shell的风险。
在其他一些实施例中,还可通过区分正常bash和恶意bash检测分析所述容器是否存在反弹shell风险。具体地,正常bash对应本地字符设备,恶意bash指向一个重定向连接,若审计记录中存在shell进程的重定向连接,确定进程为反弹shell进程,存在。
进一步地,所述Agent探针根据所采集进程审计事件,提取容器进程信息,获取容器运行时的日志数据或序列信息,通过解析检测分析容器的异常行为。比如网络异常行为,通过分析容器与外界的网络流量交互信息识别容器中的异常,比如容器中网络流量中的目的地址,网络协议类型、服务状态码和网络流量大小信息等检测网络异常行为。
可以理解的是,本实施例在分析出有所述基线安全风险、异常行为、反弹shell等风险,或监控某个容器行为事件项目的指标超过触发器设定的阈值等异常行为时,会触发相应的动作响应处理所述异常行为,如上报告警、发送信息(邮件、微信、短信)、发送命令(SHELL命令、Reboot、Restart、Install等)。
在本发明中,提供一种容器安全入侵检测的推荐方法,该方法包括建立通讯连接,获取进程审计事件;基于所述进程审计事件,获取容器状态和数据;基于所述容器状态和数据,检测分析所述容器安全;若检测分析有异常行为,响应并处理所述异常行为。本发明通过通讯连接,能够不侵入内核,对所述宿主机上所有容器的进程、文件、网络连接审计获取进程审计事件,基于进程审计事件获取容器状态和数据检测分析感知异常行为,对宿主机业务、容器透明,无感知存在安全监控容器安全并具有反入侵效果。
图2是本实施例所述容器安全入侵检测方法的一种系统流程图,在宿主机上部署容器安全监控系统探针Agent,在启动所述探针Agent采集容器行为事件时,所述探针Agent通过与宿主机内核netlink机制通讯,以获取容器进程创建等行为。
具体地,在一种可实现的实施方式中,探针Agent通过linux连接器结合轻量级用户态应用程序ncp能够实时审计linux进程事件,在此基础上采集进程proc目录下各维度信息,如exe,cmdline,status,fd,stack等,抓取全量进程事件,覆盖更多安全检测场景。如在内核实现中,进程创建、执行、退出的系统调用sys_fork,sys_exec,sys_exit最终都会通过netlink连接器发送Agent探针中。
由于因为容器和宿主机共享内核,从所述宿主机采集捕获的进程审计事件与容器关联,形成映射关系。具体的,所述进程审计事件中携带cgroup信息,所述cgruop信息与容器container关联,形成映射,根据cgroup信息就可以知道该进程所属的容器信息,用来判断进程是否属于容器进程,属于哪个容器,如kubernetes容器、docker容器、nginx容器以及应用容器或其他类型容器。
可以理解的是,镜像是构建容器的基石,其封装运行容器所需的内容,例如程序、库、资源、配置等文件,以及一些配置参数,用户是基于镜像来运行构建的容器的,镜像一般都是存储在容器宿主机目录下的,比如,docker容器,存储在Docker宿主机的/var/lib/docker目录下。本实施例进一步将容器与镜像关联映射,以根据映射关系或取相应容器的服务状态及配置信息,描绘出详尽的进程轮廓,为主机安全反入侵检测提供重要数据支撑,以实时抓取入侵攻击链路的异常动作,感知安全攻击行为。
进一步地,基于获取的容器服务状态和配置信息,对所述进行容器安全检测分析,所述检测包括但不限于基线安全分析、运行环境分析、容器异常行为分析、异常篡改文件分析等等。
在一种可实现的实施方式中,本发明实施例利用安全基线对容器主机的运行环境和K8S进行安全检查和加固,进一步增加容器的安全性。本实施例通过创建一个特权容器,将Docker主机安全配置与运行环境基线进行对比,检测分析运行环境,以发现安全问题并实施加固。相应的,利用CIS发布的K8S基线,实现自动化的K8S安全检查。
可以理解的,本实施例在分析出有所述基线安全风险、异常行为、反弹shell等风险,或监控某个容器行为事件项目的指标超过触发器设定的阈值等异常行为时,会触发相应的动作响应处理所述异常行为,如上报告警、发送信息(邮件、微信、短信)、发送命令(SHELL命令、Reboot、Restart、Install等)。
本发明实施例通过监测探针部署于宿主机上,进行持续的检测和分析,实现容器环境的资源可视化管理、镜像风险管理、容器运行时安全管理、合规性检测和微服务API风险管理,最终保障容器在构建、部署和运行整个生命周期的安全。
图3是本发明实施例提供的容器安全入侵检测的推荐装置300的示意图,所述装置包括:
进程审计事件获取模块301,用于建立通讯连接,获取进程审计事件;
容器信息获取模块302,用于基于所述进程审计事件,获取容器状态和数据;
检测分析模块303,用于基于所述容器状态和数据,检测分析所述容器安全;
处理模块304,用于在检测分析有异常行为时,响应并处理所述异常行为。
所述容器安全入侵检测的推荐装置300还包括显示模块(图未示),所述显示模块用于显示所述容器安全入侵检测的推荐装置300的监控展示页面及操作页面。
所述容器安全入侵检测装置300还可以包括输入模块(图未示),所述输入模块与所述显示模块相连,所述输入模块可包括按键,可用于输入用户id的账号、密码、名称等信息,所述软件开发过程操作页面可以在所述软件开发装置中的显示模块中显示,并且所述显示模块还可以显示所述用户的其他信息,并将此信息存储起来,方便用户随时进行查看。
需要说明的是,本实施例的容器安全入侵检测的推荐装置300,与方法实施例的属于同一构思,其具体实现过程详细见方法实施例,且方法实施例中的技术特征在本实施例中均对应适用,此处不再赘述。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4包括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件41-43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件,例如容器安全入侵检测的推荐方法的程序代码等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器52通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器52用于运行所述存储器41中存储的程序代码或者处理数据,例如运行所述容器安全入侵检测方法的程序代码。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本发明的实施例还提出一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现容器安全入侵检测的推荐方法的步骤。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (10)
1.一种容器安全入侵检测方法,其特征在于,包括以下步骤:
建立通讯连接,获取进程审计事件;
基于所述进程审计事件,获取容器状态和数据;
基于所述容器状态和数据,检测分析所述容器安全;
若检测分析有异常行为,响应并处理所述异常行为。
2.根据权利要求1所述的容器安全入侵检测的推荐方法,其特征在于,所述获取进程审计事件的步骤包括:
建立netlink连接;
持续接收进程事件;
解析进程数据;
获取容器行为事件。
3.根据权利要求2所述的容器安全入侵检测的推荐方法,其特征在于,所述容器行为事件包括进程的cgroup信息,所述基于所述进程审计事件,获取容器状态和数据的步骤包括:
基于所述cgroup信息,确定所述进程审计事件所属容器;
扫描所述容器的服务状态和配置信息。
4.根据权利要求3所述的容器安全入侵检测的推荐方法,其特征在于,所述基于所述容器状态和数据,检测分析所述容器安全的步骤,包括:
获取预设配置的安全基线规则;
基于安全基线规则,对比相应的所述服务状态和配置信息检测分析是否存在基线安全风险。
5.根据权利要求1所述的容器安全入侵检测的推荐方法,其特征在于,所述检测分析所述容器安全的步骤还包括反弹shell检测和异常行为检测。
6.根据权利要求5所述的容器安全入侵检测的推荐方法,其特征在于,所述反弹shell检测方法包括:
获取所述进程审计事件的进程pid、启动参数和进程句柄;
基于所述进程pid、启动参数和进程句柄追溯所述进程审计事件的当前进程运行信息;
根据所述当前进程运行信息判断所述进程是否建立socket连接,若是,则确定存在反弹shell风险。
7.根据权利要求1所述的容器安全入侵检测的推荐方法,其特征在于,所述若检测分析有异常行为,响应并处理所述异常行为的步骤包括:
上报安全事件警告。
8.一种容器安全入侵检测装置,其特征在于,包括:
进程审计事件获取模块,用于建立通讯连接,获取进程审计事件;
容器状态和数据获取模块,用于基于所述进程审计事件,获取容器状态和数据;
检测分析模块,用于基于所述容器状态和数据,检测分析所述容器安全;
处理模块,用于在检测分析有异常行为时,响应并处理所述异常行为。
9.一种计算机设备,包括存储器、处理器和网络接口,所述存储器存储有计算机程序,其征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述容器安全入侵检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述容器安全入侵检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111447971.7A CN114254304A (zh) | 2021-11-30 | 2021-11-30 | 容器安全入侵检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111447971.7A CN114254304A (zh) | 2021-11-30 | 2021-11-30 | 容器安全入侵检测方法、装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114254304A true CN114254304A (zh) | 2022-03-29 |
Family
ID=80791490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111447971.7A Pending CN114254304A (zh) | 2021-11-30 | 2021-11-30 | 容器安全入侵检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114254304A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826906A (zh) * | 2022-04-13 | 2022-07-29 | 北京奇艺世纪科技有限公司 | 流量控制方法、装置、电子设备及存储介质 |
| CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
| CN115277188A (zh) * | 2022-07-27 | 2022-11-01 | 天翼云科技有限公司 | 一种检测网络安全的方法、装置、设备及存储介质 |
| CN115658181A (zh) * | 2022-12-23 | 2023-01-31 | 北京海誉动想科技股份有限公司 | 在安卓操作系统上运行docker服务的方法与装置 |
| CN115664862A (zh) * | 2022-12-27 | 2023-01-31 | 深圳市四格互联信息技术有限公司 | 安全基线扫描方法、装置及存储介质 |
| CN115994353A (zh) * | 2023-03-22 | 2023-04-21 | 北京升鑫网络科技有限公司 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
| CN116431276A (zh) * | 2023-02-28 | 2023-07-14 | 港珠澳大桥管理局 | 容器安全防护方法、装置、计算机设备和存储介质 |
-
2021
- 2021-11-30 CN CN202111447971.7A patent/CN114254304A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826906A (zh) * | 2022-04-13 | 2022-07-29 | 北京奇艺世纪科技有限公司 | 流量控制方法、装置、电子设备及存储介质 |
| CN114826906B (zh) * | 2022-04-13 | 2023-09-22 | 北京奇艺世纪科技有限公司 | 流量控制方法、装置、电子设备及存储介质 |
| CN114978963A (zh) * | 2022-04-26 | 2022-08-30 | 西安交通大学 | 一种网络系统监控分析方法、装置、电子设备及存储介质 |
| CN115277188A (zh) * | 2022-07-27 | 2022-11-01 | 天翼云科技有限公司 | 一种检测网络安全的方法、装置、设备及存储介质 |
| CN115277188B (zh) * | 2022-07-27 | 2023-08-08 | 天翼云科技有限公司 | 一种检测网络安全的方法、装置、设备及存储介质 |
| CN115658181A (zh) * | 2022-12-23 | 2023-01-31 | 北京海誉动想科技股份有限公司 | 在安卓操作系统上运行docker服务的方法与装置 |
| CN115664862A (zh) * | 2022-12-27 | 2023-01-31 | 深圳市四格互联信息技术有限公司 | 安全基线扫描方法、装置及存储介质 |
| CN116431276A (zh) * | 2023-02-28 | 2023-07-14 | 港珠澳大桥管理局 | 容器安全防护方法、装置、计算机设备和存储介质 |
| CN115994353A (zh) * | 2023-03-22 | 2023-04-21 | 北京升鑫网络科技有限公司 | 基于容器部署的主机入侵检测系统、方法及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114254304A (zh) | 容器安全入侵检测方法、装置、计算机设备及存储介质 | |
| US10887328B1 (en) | System and method for detecting interpreter-based exploit attacks | |
| US9825908B2 (en) | System and method to monitor and manage imperfect or compromised software | |
| RU2698776C2 (ru) | Способ ведения базы данных и соответствующий сервер | |
| CN101515316B (zh) | 一种可信计算终端及可信计算方法 | |
| US10810055B1 (en) | Request simulation for ensuring compliance | |
| US10733296B2 (en) | Software security | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US9811356B2 (en) | Automated software configuration management | |
| US10839077B2 (en) | Detecting malicious software | |
| US9372991B2 (en) | Detecting malicious computer code in an executing program module | |
| US11176247B2 (en) | System and method for container assessment using sandboxing | |
| CN110084039A (zh) | 用于端点安全与网络安全服务之间的协调的框架 | |
| CN111191226A (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
| CN109684829B (zh) | 一种虚拟化环境中服务调用监控方法和系统 | |
| CN113961245A (zh) | 一种基于微服务应用的安全防护系统、方法及介质 | |
| CN111881453A (zh) | 一种容器逃逸检测方法、装置以及电子设备 | |
| CN114091031A (zh) | 基于白规则的类加载防护方法及装置 | |
| CN112235300B (zh) | 云虚拟网络漏洞检测方法、系统、装置及电子设备 | |
| CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| US11983272B2 (en) | Method and system for detecting and preventing application privilege escalation attacks | |
| US11914711B2 (en) | Systems and methods for automatically generating malware countermeasures | |
| CN114707144A (zh) | 虚拟机逃逸行为检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |