CN115189933A - 针对Docker的自动化配置安全检测方法和系统 - Google Patents

针对Docker的自动化配置安全检测方法和系统 Download PDF

Info

Publication number
CN115189933A
CN115189933A CN202210788997.6A CN202210788997A CN115189933A CN 115189933 A CN115189933 A CN 115189933A CN 202210788997 A CN202210788997 A CN 202210788997A CN 115189933 A CN115189933 A CN 115189933A
Authority
CN
China
Prior art keywords
docker
detection
configuration
environment
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210788997.6A
Other languages
English (en)
Inventor
倪玉洁
王轶骏
陈妍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Third Research Institute of the Ministry of Public Security
Original Assignee
Shanghai Jiaotong University
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University, Third Research Institute of the Ministry of Public Security filed Critical Shanghai Jiaotong University
Priority to CN202210788997.6A priority Critical patent/CN115189933A/zh
Publication of CN115189933A publication Critical patent/CN115189933A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种针对Docker的自动化配置安全检测方法和系统,包括:定义数据库InSpec合规性配置文件;获取Docker环境的配置信息,检查数据文件的权限设置和参数设置,根据获取的相应配置信息进行规则匹配;对合规性检测结果进行分析,基于互联网安全中心CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,根据需求输出详细检测结果。本发明针对性的对已知系统相关漏洞的特定触发条件和配置信息进行单独检测,找出不符合基线定义的安全配置项,将可能导致容器逃逸风险的配置信息及时输出为告警事项,使得容器环境配置层面的合规性检测更加符合实际生产环境的安全性标准和要求。

Description

针对Docker的自动化配置安全检测方法和系统
技术领域
本发明涉及网络安全、虚拟化技术领域,具体地,涉及一种针对Docker的自动化配置安全检测方法和系统。
背景技术
虚拟化技术在过去几年里得到了长足发展,利用虚拟化技术,用户可以在一台物理机器上创建多个虚拟操作系统。虚拟化技术可以分为两种,一种是硬件级虚拟化技术(代表有KVM、VMware等),另一种是操作系统级虚拟化技术(代表有Docker、Podman等)。硬件级虚拟化(以VMware为例)通常是对宿主机的物理硬件进行抽象,使得同一台机器上能运行多台虚拟机,这些虚拟机都需要包含完整的操作系统;而操作系统级虚拟化(以Docker为例)则与宿主机共享Linux内核,因此,相比传统硬件级虚拟化技术,容器技术更加轻量级。Roberto Morabito等人进行的实验结果也表明,容器技术在多核效率、磁盘I/O速度、网络I/O等方面明显占据优势。
应用容器引擎Docker是2013年推出的开源容器引擎,其发布后短短几年发展迅速、人气高涨,日前Docker的官方公共镜像仓库Docker Hub上的镜像数量已达上百万,每月pull数量达到上百亿次。随着Docker进入人们的视线,对于Docker安全性的关注也越来越多,相比传统的硬件级虚拟化,Docker因为共享Linux内核而与宿主机的隔离性较弱,这也带来了很大的安全隐患——攻击者可以通过容器逃逸直接控制宿主机;另外,除了Docker实现方式引入的安全性问题,人为因素也会导致许多安全性问题——不安全的本地配置、脆弱的本地访问控制、镜像分发漏洞等等。因此,近年来对于Docker的安全性研究也在不断增多。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种针对Docker的自动化配置安全检测方法和系统。
根据本发明提供的针对Docker的自动化配置安全检测方法,包括:
安全配置规则定义步骤:定义数据库InSpec合规性配置文件,包括定义数据文件权限设置的检测规则和危险参数配置的检测规则,根据应用容器引擎Docker安全的逃逸漏洞设计适合特定环境的危险版本、危险抽象套接字以及危险挂载的检测规则,以及结合已知可能造成容器逃逸的高风险Capabilities定义主机配置中的检测规则;
基于规则的合规性检测步骤:首先获取Docker环境的配置信息,检查数据文件的权限设置和参数设置,根据获取的相应配置信息进行规则匹配;
数据处理与分析步骤:对合规性检测结果进行分析,基于互联网安全中心CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级并进行标记,根据需求输出详细检测结果。
优选的,以CIS Docker基准测试定义Docker环境安全配置的检测规则,对数据文件的权限设置、参数配置进行安全限制。
优选的,针对Docker环境中的危险版本检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境是否存在高危配置风险信息以及是否满足触发相关漏洞的特定条件;
针对Docker环境中的危险抽象套接字的检测规则,结合涉及到Docker组件安全的容器逃逸漏洞设计自定义检测规则,在检测的过程中判断Docker环境中是否存在暴露在容器内的危险抽象套接字的路径以及是否满足触发逃逸漏洞的条件;
针对主机配置中高风险Capabilities的检测规则,结合已知可能造成容器逃逸的高风险Capabilities设计适合特定环境的自定义检测规则,在检测的过程中判断Docker环境中是否存在会导致容器逃逸风险的Capabilities的配置;
针对Docker环境中的危险挂载检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境中是否存在危险的容器挂载配置。
优选的,在容器运行前阶段,对涉及到Docker环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的触发条件,在配置层面对容器逃逸风险进行规避。
优选的,对自定义规则的匹配和处理包括,根据基准测试规则中定义的安全配置项,在测试过程中对获取的Docker环境基础配置信息进行规则匹配,并记录检测结果。
根据本发明提供的针对Docker的自动化配置安全检测系统,包括:
安全配置规则定义模块:定义数据库InSpec合规性配置文件,包括定义数据文件权限设置的检测规则和危险参数配置的检测规则,根据应用容器引擎Docker安全的逃逸漏洞设计适合特定环境的危险版本、危险抽象套接字以及危险挂载的检测规则,以及结合已知可能造成容器逃逸的高风险Capabilities定义主机配置中的检测规则;
基于规则的合规性检测模块:首先获取Docker环境的配置信息,检查数据文件的权限设置和参数设置,根据获取的相应配置信息进行规则匹配;
数据处理与分析模块:对合规性检测结果进行分析,基于互联网安全中心CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级并进行标记,根据需求输出详细检测结果。
优选的,以CIS Docker基准测试定义Docker环境安全配置的检测规则,对数据文件的权限设置、参数配置进行安全限制。
优选的,针对Docker环境中的危险版本检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境是否存在高危配置风险信息以及是否满足触发相关漏洞的特定条件;
针对Docker环境中的危险抽象套接字的检测规则,结合涉及到Docker组件安全的容器逃逸漏洞设计自定义检测规则,在检测的过程中判断Docker环境中是否存在暴露在容器内的危险抽象套接字的路径以及是否满足触发逃逸漏洞的条件;
针对主机配置中高风险Capabilities的检测规则,结合已知可能造成容器逃逸的高风险Capabilities设计适合特定环境的自定义检测规则,在检测的过程中判断Docker环境中是否存在会导致容器逃逸风险的Capabilities的配置;
针对Docker环境中的危险挂载检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境中是否存在危险的容器挂载配置。
优选的,在容器运行前阶段,对涉及到Docker环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的触发条件,在配置层面对容器逃逸风险进行规避。
优选的,对自定义规则的匹配和处理包括,根据基准测试规则中定义的安全配置项,在测试过程中对获取的Docker环境基础配置信息进行规则匹配,并记录检测结果。
与现有技术相比,本发明具有如下的有益效果:
本发明总体上实现了在通用CIS基准对于已有配置检测的基础上,对Docker环境的安全配置提出了更加全面的检测方法,针对性的对已知系统相关漏洞的特定触发条件和配置信息进行单独检测,找出不符合基线定义的安全配置项,将可能导致容器逃逸风险的配置信息及时输出为告警事项,使得容器环境配置层面的合规性检测更加符合实际生产环境的安全性标准和要求。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明针对Docker的自动化配置安全检测系统的结构图;
图2为本发明针对Docker的自动化配置安全检测方法的流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
实施例:
根据本发明提供的针对Docker的自动化配置安全检测方法,能够对Docker容器环境的基础配置信息进行采集,根据基准测试规则对系统环境配置的安全性、合规性进行检测,并对潜在的容器逃逸风险进行规避。本发明涉及的基准测试规则包括CIS基准测试、适合特定环境的危险版本检测规则、危险抽象套接字检测规则、高风险Capabilities检测规则以及危险挂载检测规则。通过基于规则的合规性检测模块对所获取的容器环境基础配置信息根据安全配置检测规则进行匹配,将检测到的危险系统配置进行详细信息的保留,经过对检测结果的重新整理与分析后输出最终的检测报告,对潜在的容器逃逸风险进行告警并给予改善建议。
如图1,本发明提供的一种针对Docker的自动化配置安全检测系统,其包括安全配置规则定义模块、基于规则的合规性检测模块以及数据处理与分析模块。
安全配置检测规则基于CIS Docker基准测试,对Docker容器环境中数据文件的权限设置以及参数配置进行安全限制。Docker环境中的危险版本检测规则是结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境是否存在高危配置风险信息以及是否满足触发相关漏洞的特定条件。Docker环境中的危险抽象套接字的检测规则是结合涉及到Docker组件安全的容器逃逸漏洞设计自定义检测规则,在检测的过程中判断Docker环境中是否存在暴露在容器内的危险抽象套接字的路径以及是否满足触发逃逸漏洞的条件。主机配置中高风险Capabilities的检测规则是结合已知可能造成容器逃逸的高风险Capabilities设计适合特定环境的自定义检测规则,在检测的过程中判断Docker环境中是否存在会导致容器逃逸风险的Capabilities的配置。Docker环境中的危险挂载检测规则是结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境中是否存在危险的容器挂载配置。检测容器逃逸风险的过程为,在容器运行前阶段,对涉及到Docker环境的容器逃逸漏洞等安全问题进行防护,破坏已知安全风险的触发条件,实现在配置层面对容器逃逸风险进行规避。基准测试规则匹配与处理的过程为,根据基准测试规则中定义的安全配置项,在测试过程中对获取的Docker环境基础配置信息进行规则匹配,并记录检测结果,对危险的系统配置记录详细信息。基线检测结果整理与分析的过程为,基于CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级,根据需求输出详细检测结果。
所述威胁等级划分为,将可能导致容器逃逸风险的问题划分为高威胁等级,在检测结果中如有未通过的检测需要重点关注;将Docker环境中与安全配置参数、配置文件权限设置等相关的问题划分为中威胁等级,在检测结果中如有未通过的检测可根据改善建议对配置进行更改;将CIS Docker安全基准中列为安全建议项的问题划分为低威胁等级,在检测结果中仅作提示作用。
根据本发明提供的一种针对Docker的自动化配置安全检测系统,包括:
安全配置规则定义模块:定义InSpec合规性配置文件,包括定义数据文件权限设置的检测规则、危险参数配置的检测规则,结合已知可能造成容器逃逸的高风险Capabilities定义主机配置中的检测规则,以及根据Docker安全的逃逸漏洞设计适合特定环境的危险版本、危险挂载以及危险抽象套接字的检测规则,以便在生产环境中围绕容器提供安全最佳实践测试和对逃逸漏洞以及Capabilities Escaping的检测。
基于规则的合规性检测模块:首先获取Docker环境的配置信息,检查数据文件的权限设置和参数设置,根据获取的相应配置信息进行规则匹配,检测系统和环境的相关配置是否包含安全配置规则定义模块中涉及的危险配置信息、触发逃逸漏洞的特定条件和高风险Capabilities信息。
数据处理与分析模块:对基于规则的合规性检测模块中输出的结果进行分析,基于CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级并进行标记,根据需求输出详细检测结果。
本发明提供的针对Docker的自动化配置安全检测系统,可以通过针对Docker的自动化配置安全检测方法的步骤流程实现。本领域技术人员可以将针对Docker的自动化配置安全检测系统方法理解为所述针对Docker的自动化配置安全检测系统的优选例。
进一步地,本发明较佳实施例提供的针对Docker的自动化配置安全检测方法的流程图如图2所示。所述方法的具体流程如下:
步骤一,定义安全配置检测规则。根据CIS Docker安全基线定义Docker环境的基础配置检测规则,实现对数据文件的权限设置和危险参数配置的检测。此外,结合涵盖服务层、系统层、应用层的Docker容器逃逸漏洞定义危险版本、危险抽象套接字、高危Capabilities、危险挂载的检测规则,进行入侵风险防范,实现在基础配置检测的过程中发现潜在的容器逃逸风险。
步骤二,根据已有的安全规则进行自动化基准测试。获取Docker环境的基础配置信息,检查数据文件的权限设置、参数配置,根据获取的目标环境信息进行规则匹配,在基线检查的过程中判断Docker环境中是否存在高危配置风险信息、是否存在满足触发相关漏洞的特定条件以及Docker环境中是否存在配置了高风险Capabilities的主机,并对危险配置信息触发告警并记录检测结果。
步骤三,对基线检测结果的整理与分析。基于CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级,根据需求输出详细检测结果,对潜在的容器逃逸风险告警并给予改善建议。通过对涉及到Docker环境的容器逃逸漏洞等安全问题的告警,在运行前对安全问题进行防护,以改善环境基础配置的方法破坏已知安全风险的触发条件,实现在配置层面对容器逃逸风险进行规避。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种针对Docker的自动化配置安全检测方法,其特征在于,包括:
安全配置规则定义步骤:定义数据库InSpec合规性配置文件,包括定义数据文件权限设置的检测规则和危险参数配置的检测规则,根据应用容器引擎Docker安全的逃逸漏洞设计适合特定环境的危险版本、危险抽象套接字以及危险挂载的检测规则,以及结合已知可能造成容器逃逸的高风险Capabilities定义主机配置中的检测规则;
基于规则的合规性检测步骤:首先获取Docker环境的配置信息,检查数据文件的权限设置和参数设置,根据获取的相应配置信息进行规则匹配;
数据处理与分析步骤:对合规性检测结果进行分析,基于互联网安全中心CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级并进行标记,根据需求输出详细检测结果。
2.根据权利要求1所述的针对Docker的自动化配置安全检测方法,其特征在于,以CISDocker基准测试定义Docker环境安全配置的检测规则,对数据文件的权限设置、参数配置进行安全限制。
3.根据权利要求1所述的针对Docker的自动化配置安全检测方法,其特征在于,针对Docker环境中的危险版本检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境是否存在高危配置风险信息以及是否满足触发相关漏洞的特定条件;
针对Docker环境中的危险抽象套接字的检测规则,结合涉及到Docker组件安全的容器逃逸漏洞设计自定义检测规则,在检测的过程中判断Docker环境中是否存在暴露在容器内的危险抽象套接字的路径以及是否满足触发逃逸漏洞的条件;
针对主机配置中高风险Capabilities的检测规则,结合已知可能造成容器逃逸的高风险Capabilities设计适合特定环境的自定义检测规则,在检测的过程中判断Docker环境中是否存在会导致容器逃逸风险的Capabilities的配置;
针对Docker环境中的危险挂载检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境中是否存在危险的容器挂载配置。
4.根据权利要求1所述的针对Docker的自动化配置安全检测方法,其特征在于,在容器运行前阶段,对涉及到Docker环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的触发条件,在配置层面对容器逃逸风险进行规避。
5.根据权利要求1所述的针对Docker的自动化配置安全检测方法,其特征在于,对自定义规则的匹配和处理,根据基准测试规则中定义的安全配置项,在测试过程中对获取的Docker环境基础配置信息进行规则匹配,并记录检测结果。
6.一种针对Docker的自动化配置安全检测系统,其特征在于,包括:
安全配置规则定义模块:定义数据库InSpec合规性配置文件,包括定义数据文件权限设置的检测规则和危险参数配置的检测规则,根据应用容器引擎Docker安全的逃逸漏洞设计适合特定环境的危险版本、危险抽象套接字以及危险挂载的检测规则,以及结合已知可能造成容器逃逸的高风险Capabilities定义主机配置中的检测规则;
基于规则的合规性检测模块:首先获取Docker环境的配置信息,检查数据文件的权限设置和参数设置,根据获取的相应配置信息进行规则匹配;
数据处理与分析模块:对合规性检测结果进行分析,基于互联网安全中心CIS的指导原则以及生产环境中的实际应用进行重新整理和分类,划分为高、中、低三个威胁等级并进行标记,根据需求输出详细检测结果。
7.根据权利要求6所述的针对Docker的自动化配置安全检测系统,其特征在于,以CISDocker基准测试定义Docker环境安全配置的检测规则,对数据文件的权限设置、参数配置进行安全限制。
8.根据权利要求6所述的针对Docker的自动化配置安全检测系统,其特征在于,针对Docker环境中的危险版本检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境是否存在高危配置风险信息以及是否满足触发相关漏洞的特定条件;
针对Docker环境中的危险抽象套接字的检测规则,结合涉及到Docker组件安全的容器逃逸漏洞设计自定义检测规则,在检测的过程中判断Docker环境中是否存在暴露在容器内的危险抽象套接字的路径以及是否满足触发逃逸漏洞的条件;
针对主机配置中高风险Capabilities的检测规则,结合已知可能造成容器逃逸的高风险Capabilities设计适合特定环境的自定义检测规则,在检测的过程中判断Docker环境中是否存在会导致容器逃逸风险的Capabilities的配置;
针对Docker环境中的危险挂载检测规则,结合涉及到Docker环境安全的容器逃逸漏洞设计适合特定环境的自定义检测规则,并在检测的过程中判断Docker环境中是否存在危险的容器挂载配置。
9.根据权利要求6所述的针对Docker的自动化配置安全检测系统,其特征在于,在容器运行前阶段,对涉及到Docker环境的容器逃逸漏洞的安全问题进行防护,破坏已知安全风险的触发条件,在配置层面对容器逃逸风险进行规避。
10.根据权利要求6所述的针对Docker的自动化配置安全检测系统,其特征在于,对自定义规则的匹配和处理,根据基准测试规则中定义的安全配置项,在测试过程中对获取的Docker环境基础配置信息进行规则匹配,并记录检测结果。
CN202210788997.6A 2022-07-06 2022-07-06 针对Docker的自动化配置安全检测方法和系统 Pending CN115189933A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210788997.6A CN115189933A (zh) 2022-07-06 2022-07-06 针对Docker的自动化配置安全检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210788997.6A CN115189933A (zh) 2022-07-06 2022-07-06 针对Docker的自动化配置安全检测方法和系统

Publications (1)

Publication Number Publication Date
CN115189933A true CN115189933A (zh) 2022-10-14

Family

ID=83518249

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210788997.6A Pending CN115189933A (zh) 2022-07-06 2022-07-06 针对Docker的自动化配置安全检测方法和系统

Country Status (1)

Country Link
CN (1) CN115189933A (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2375206A1 (en) * 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
US20070094539A1 (en) * 2005-10-25 2007-04-26 Daiki Nakatsuka Computer virus check method in a storage system
US20090024663A1 (en) * 2007-07-19 2009-01-22 Mcgovern Mark D Techniques for Information Security Assessment
CN110187955A (zh) * 2019-05-27 2019-08-30 四川大学 一种动静态结合的Docker容器内容安全性检测方法和装置
US20190354690A1 (en) * 2016-12-08 2019-11-21 Atricore Inc. Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing
US20210099465A1 (en) * 2019-09-27 2021-04-01 Veeam Software Ag Secure Restore
CN113849808A (zh) * 2021-08-19 2021-12-28 苏州浪潮智能科技有限公司 容器安全管理方法、系统、终端及存储介质
CN114091025A (zh) * 2021-11-25 2022-02-25 中国联合网络通信集团有限公司 基于云原生平台的安全检测方法、装置、镜像构建方法
CN114547594A (zh) * 2022-01-24 2022-05-27 华北电力大学 一种智能物联终端容器的渗透攻击检测方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2375206A1 (en) * 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
US20070094539A1 (en) * 2005-10-25 2007-04-26 Daiki Nakatsuka Computer virus check method in a storage system
US20090024663A1 (en) * 2007-07-19 2009-01-22 Mcgovern Mark D Techniques for Information Security Assessment
US20190354690A1 (en) * 2016-12-08 2019-11-21 Atricore Inc. Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing
CN110187955A (zh) * 2019-05-27 2019-08-30 四川大学 一种动静态结合的Docker容器内容安全性检测方法和装置
US20210099465A1 (en) * 2019-09-27 2021-04-01 Veeam Software Ag Secure Restore
CN113849808A (zh) * 2021-08-19 2021-12-28 苏州浪潮智能科技有限公司 容器安全管理方法、系统、终端及存储介质
CN114091025A (zh) * 2021-11-25 2022-02-25 中国联合网络通信集团有限公司 基于云原生平台的安全检测方法、装置、镜像构建方法
CN114547594A (zh) * 2022-01-24 2022-05-27 华北电力大学 一种智能物联终端容器的渗透攻击检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
江燕青;: "容器逃逸技术的探讨", 福建电脑, no. 08, pages 59 - 61 *
鲁涛;陈杰;史军;: "Docker安全性研究", 计算机技术与发展, no. 06 *

Similar Documents

Publication Publication Date Title
Javaheri et al. Detection and elimination of spyware and ransomware by intercepting kernel-level system routines
CN105593870B (zh) 用于恶意软件检测的复杂评分
US7832011B2 (en) Method and apparatus for detecting malicious code in an information handling system
US9690936B1 (en) Multistage system and method for analyzing obfuscated content for malware
US10986103B2 (en) Signal tokens indicative of malware
US11586728B2 (en) Methods for detecting system-level trojans and an integrated circuit device with system-level trojan detection
CN110647744A (zh) 使用特定于对象的文件系统视图识别和提取关键危害取证指标
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
CN103620613A (zh) 用于基于虚拟机监视器的反恶意软件安全的系统和方法
US9938019B2 (en) Systems and methods for detecting a security breach in an aircraft network
KR102180098B1 (ko) 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템
CN109325350B (zh) 一种电力移动终端运行环境的安全评估系统及方法
McIntosh Intercepting ransomware attacks with staged event-driven access control
Abuzaid et al. An efficient trojan horse classification (ETC)
Peddoju et al. File integrity monitoring tools: Issues, challenges, and solutions
Sk A literature review on android mobile malware detection using machine learning techniques
KR20070019190A (ko) 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
KR20110087826A (ko) 가상머신을 이용한 악성소프트웨어 탐지 방법
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
KR101311367B1 (ko) 메모리 보호기능 우회 공격 진단 장치 및 방법
CN115189933A (zh) 针对Docker的自动化配置安全检测方法和系统
CN111104670A (zh) 一种apt攻击的识别和防护方法
CN114925369A (zh) 一种针对业务系统容器安全的静态分析方法与系统
CN109800581B (zh) 软件行为的安全防护方法及装置、存储介质、计算机设备
CN115189934A (zh) 针对Kubernetes的自动化配置安全检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20221014