CN115495731A - 面向容器主机平台的轻量级攻击检测方法及装置 - Google Patents
面向容器主机平台的轻量级攻击检测方法及装置 Download PDFInfo
- Publication number
- CN115495731A CN115495731A CN202211046240.6A CN202211046240A CN115495731A CN 115495731 A CN115495731 A CN 115495731A CN 202211046240 A CN202211046240 A CN 202211046240A CN 115495731 A CN115495731 A CN 115495731A
- Authority
- CN
- China
- Prior art keywords
- function
- system call
- information
- vulnerability
- monitored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种面向容器主机平台的轻量级攻击检测方法及装置。所述方法包括获取被监控函数和需要监控的漏洞信息;根据所述漏洞信息的名称,通过创建vulner_info结构体,以使相应的private结构体中存储需要检查的系统调用参数;当内核在即将执行所述被监控函数时,调用回调函数,以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值;将private结构体的地址传递给回调函数,以使回调函数访问所述private结构体;将所述系统调用参数值与所述需要检查的系统调用参数进行比对,得到所述被监控函数的攻击检测结果。本发明实现了较小的性能开销的基础上,完成逃逸攻击的检测。
Description
技术领域
本发明涉及计算机网络安全领域,用于对容器主机平台进行攻击检测,更具体地是一种面向容器主机平台的轻量级攻击检测方法及装置。
背景技术
容器技术是一种操作系统级的虚拟化技术,其主要依托于操作系统内核提供的资源隔离和抽象机制。Linux内核的Namespace和Cgroup机制是容器技术的基石,前者用以实现资源的隔离,后者主要是为了限制资源的使用。相对于传统的虚拟化技术,容器技术以其启动快、运行效率高成为了当前云平台的首选。容器中的进程运行在一个隔离的环境中,其拥有独立的网络栈和文件系统视图,无法获取主机或者主机上其他容器中运行的进程信息。容器中的进程使用的物理资源可以被严格限制,例如:内存、CPU使用率、IO吞吐量等。
相较于虚拟机,容器拥有了较高的执行效率,但是虚拟机却拥有比容器更强的隔离性。容器中的进程虽然运行在不同的Namespace中,但是其底层仍然共享着同一个操作系统内核。正是由于容器共享内核的特性,利用Linux内核漏洞进行容器逃逸的攻击屡见不鲜。目前Linux内核已经达到了2700万行的量级,每年都会公开新的提权漏洞。容器中的进程可以利用内核漏洞逃逸出容器环境,进而获得所在主机的完整控制权。容器进程通过执行特定的系统调用,构造了内核的内存布局,并且触发漏洞函数的执行。容器进程在劫持了内核的控制流后,可以执行特定的内核函数切换进程所在的Namespaces,进而达到逃逸的目的。因此容器云供应商和其他租户的机密性和可用性会受到威胁。为了能够及时发现攻击行为,减少攻击者的攻击窗口,有必要在云平台上安装入侵检测系统。
主机的入侵检测系统主要用来监控主机的运行情况,并对潜在的攻击行为发出告警。其一般由事件发生器、事件分析器、响应单元和事件数据库组成。事件发生器从系统中获得事件,并将事件发送到事件分析器。事件分析器分析该事件并将事件和分析结果发送到响应单元和事件数据库。基于流量的主机入侵检测系统主要通过检测每个网络数据包,按照预先定义好的规则进行判断,如果发现异常就立即产生告警或者对数据包进行拦截。同时,也存在基于主机运行状态的入侵检测系统,其主要获取操作系统的运行指标进行判断。基于运行状态的入侵检测系统由于需要频繁拦截操作系统的事件,会对操作系统带来较大的性能开销。所以对于容器平台说来,更需要一种轻量级的入侵检测系统。
发明内容
为解决上述问题,本发明提出一种面向容器主机平台的轻量级攻击检测方法及装置,在较小性能开销的基础上,完成逃逸攻击的检测。其获取内核关键函数的执行情况,与预定义的规则进行匹配,匹配成功则产生告警信息。
为达到上述目的,本发明的技术方案包括:
一种面向容器主机平台的轻量级攻击检测方法,所述方法包括:
获取被监控函数和需要监控的漏洞信息;
根据所述漏洞信息的名称,创建所述漏洞信息相应的vulner_info结构体;其中,所述vulner_info结构体中的数据包括:所述漏洞信息的名称、系统调用号、所述漏洞信息的系统调用参数、所述系统调用参数的个数、掩码和创建的对应fops_node结构体的地址,所述掩码保存所述系统调用参数的待检查项。所述fops_node结构体中的数据包括:所述被监控函数的名称和ftrace_ops结构体的地址。所述ftrace_ops结构体中封装一个private结构体,所述private结构体中的数据包括:基于所述掩码和所述系统调用参数得到的需要检查的系统调用参数;
当内核在即将执行所述被监控函数时,调用回调函数,以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值;
将所述private结构体的地址传递给所述回调函数,以使所述回调函数访问所述private结构体;
将所述系统调用参数值与所述需要检查的系统调用参数进行比对,得到所述被监控函数的攻击检测结果。
进一步地,所述根据所述漏洞信息的名称,获取所述漏洞信息相应的vulner_info结构体,包括:
根据所述漏洞信息的名称,在漏洞链表的结点中查找该漏洞信息的名称的vulner_info结构体;其中,每一所述结点为一个vulner_info结构体,所述漏洞链表由至少一个所述结点组成;
在查找到所述漏洞信息相应的vulner_info结构体的情况下,将所述vulner_info结构体设置在面向容器主机平台的监控系统中;
在未查找到所述漏洞信息相应的vulner_info结构体相应的vulner_info结构体的情况下,则基于所述漏洞信息,创建一个vulner_info结构体,并将该vulner_info结构体分别加入到所述漏洞链表中,以及设置在面向容器主机平台的监控系统中。
进一步地,所述当内核在即将执行所述被监控函数时,调用回调函数,以使回调函数结合所述系统调用号,获取所述被监控函数在执行过程中产生的系统调用参数值,包括:
获取内核中系统调用表的地址;
基于所述系统调用号与所述系统调用表的地址,获取__x64_sys_(sycallname)内核函数的函数名,以使所述__x64_sys_(sycallname)内核函数作为所述的被监控函数,得到所述被监控函数在执行过程中产生的系统调用参数值;
所述回调函数通过所述_x64_sys_(sycallname)内核函数中的参数pt_regs与所述回调函数中的参数pt_regs,得到所述系统调用参数值。
进一步地,所述获取内核中系统调用表的地址,包括:
为kallsyms_lookup_name函数注册一个kprobe结构体;
在kprobe结构体中获取到所述kallsyms_lookup_name函数内核中的基址;
通过所述基址获取到系统调用表的地址。
进一步地,所述基于所述系统调用号与所述系统调用表的地址,获取
__x64_sys_(sycallname)内核函数的函数名,包括:
根据所述系统调用号,计算偏移;
基于所述系统调用表的地址与所述偏移,得到所述被监控函数的系统调用地址;
根据所述系统调用地址,得到__x64_sys_(sycallname)内核函数的系统调用名。
进一步地,所述将所述漏洞信息的系统调用参数与所述被监控函数在运行过程中需要检查的系统调用参数进行比对,得到所述被监控函数的攻击检测结果之后,还包括:
在所述面向容器主机平台中注册一个杂项设备,并实现一个读文件操作的函数;
在所述攻击检测结果为函数攻击的情况下,基于告警信息或消息转换为字符串,并将所述字符串加入到日志链表的队尾;其中,所述日志链表在初始化时创建;
当读取杂项设备文件时,利用所述读文件操作的函数,取下所述日志链表的头结点,并将所述头结点保存的信息拷贝到指定的缓冲区中,以获取日志。
进一步地,所述当读取杂项设备文件时,利用所述读文件操作的函数,取下所述日志链表的头结点,并将所述头结点保存的信息拷贝到指定的缓冲区中,以获取日志之后,还包括:
将所述日志发送到远程服务器;
所述远程服务器基于所述日志,收集信息或下达远程控制指令。
进一步地,所述方法还包括:基于漏洞管理客户端对所述需要监控的漏洞信息进行管理;其中,所述基于漏洞管理客户端对所述需要监控的漏洞信息进行管理,包括:
基于操作类型,选定IOCTL码;其中,所述操作类型包括:添加操作、修改操作、删除操作和查询操作;
根据选定的IOCTL码,通过IOCTL系统进行信息交互;其中,所述添加操作与所述修改操作的信息包括:所述漏洞信息的名称、系统调用号、所述漏洞信息的系统调用参数、所述系统调用参数的个数和掩码,所述删除操作的信息包括:所述漏洞信息的名称,所述查询操作的信息包括:已经安装的漏洞信息个数。
一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一所述方法。
一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一所述方法。
现有技术相比,本发明提出的方法具有以下优点:
1.轻量级:本发明利用原生Linux内核,只需要安装一个内核模块,即可实现完整的监控操作;
2.占用资源少:只针对于敏感函数和高危系统调用进行监控,无需占用大量的系统性能,尤其适用于移动平台;
3.可随时配置检测规则:对于检测规则的添加、修改和删除,无需中断服务或者重启平台。
附图说明
图1本发明的整体框架图。
图2本发明的漏洞管理模块示意图。
具体实施方式
下面将结合本发明实施例中的附图,给出具体实施例,并进行详细说明。可以理解的是,所文描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明中提出了一种对容器主机平台轻量级的攻击检测方式。用户可以通过定义检测规则的方式决定需要监控的内核函数。内核函数的执行作为入侵检测系统的事件源,和用户定义的规则进行匹配。如果匹配成功则产生告警信息。
如图1所示,本方法的整体架构图。本方法主要由五个模块组成,分别运行在用户层和内核层。
模块1,漏洞管理模块。该模块运行在内核层,其维护着漏洞相关信息,为用户层提供管理的接口,并且控制着内核函数执行监控模块的运行。本发明主要针对的是Linux内核漏洞,内核漏洞总是通过系统调用被触发的。用户可以指定需要监控的系统调用号和此系统调用的参数。如图2所示,保存漏洞信息的数据结构是链表,每个漏洞信息保存在漏洞链表的一个结点之中。每个结点之中保存了漏洞名称、系统调用号、系统调用参数的个数、系统调用的参数、掩码(掩码中保存了该系统调用的哪几个系统调用需要被检查)和对应的fops_node_t的地址。
对于添加漏洞信息操作,首先需要检查链表中是否存在同名的漏洞信息结点,如果有则返回异常;没有则创建一个结点,并将其加入到链表中。然后调用内核函数执行监控模块的功能,开启对应的内核函数监控。
对于删除漏洞信息的操作,首先从链表中检查是否存在指定的漏洞信息结点,如果有则先调用内核函数执行监控模块的功能,关闭对应的内核函数监控,然后将结点从链表中删除并释放内存;如果没有则返回异常。
用户还可以随时查看或者修改漏洞信息,对于修改漏洞信息的操作,可以视为删除旧的漏洞信息并创建新的。对于查看漏洞信息数量的操作,将遍历链表中结点的数量并返回。用户在获取到了漏洞信息的数量后,可进一步查询所有漏洞信息。对于这种操作,漏洞管理模块会将指定的信息写入到用户提供的缓冲区中。
模块2,内核函数执行监控模块。该模块运行在内核层,为漏洞管理模块提供接口、实现内核函数的监控功能。监控功能的实现依托内核机制ftrace实现,对于函数的监控需要先进行注册,注册时需要指定需要被监控的函数名称和一个ftrace_ops结构体。
ftrace_ops结构体的结构是Linux内核规定的,在这个结构体中最重要的成员变量为回调函数的地址。在卸载函数监控时需要同一个ftrace_ops结构体,所以需要将结构体管理起来。内核函数执行监控模块构造了一个链表,将每个ftrace_ops结构体封装在监控链表一个fops_node结点中,当需要创建一个新的函数监控时,创建一个结点,当需要卸载一个函数监控时,从链表中取下结点并释放内存。
每当内核在即将执行被监控的函数时,回调函数将会被调用。对于系统调用,本发明总是在内核函数执行监控模块实现的回调函数中,首先获取系统调用的参数。回调函数的参数之一是pt_regs,其保存了调用内核函数时寄存器的状态,从中解析出rdi寄存器的值,即内核函数的参数。由于__x64_sys_(syscallname)内核函数的第一个参数是pt_regs,所以可进一步获得系统调用的参数值。Ftrace机制会将ftrace_ops指向的private结构体地址作为参数传递给回调函数。所以回调函数可以访问到private结构体中的内容。Private结构体中保存了需要检查的系统调用参数。在回调函数中可以直接访问到private结构体,从结构体中获取到需要进行验证的参数并且进行比较,如果相同则产生告警信息。
模块3,日志记录模块,运行在内核层。首先注册一个杂项设备,然后需要实现读文件操作的函数。日志是保存在日志链表实现的队列数据结构中的,入侵检测系统每次产生告警信息或消息以字符串的形式发送到日志记录模块。该模块会创建一个结点,并加入到链表的队尾。当用户层读这个杂项设备文件时,会取下链表的头结点,将其保存的信息拷贝到用户态指定的缓冲区中,拷贝完成后会释放内存。
模块4,漏洞管理客户端,运行在用户层,主要功能是为用户提供管理漏洞检测规则。漏洞管理客户端通过IOCTL系统调用和内核态的内核模块进行交互,对于不同的操作,需要使用不同的IOCTL码。用户可以通过漏洞管理客户端添加、删除、修改和查询漏洞信息。对于添加和修改操作,需要提供漏洞的相关信息,包括名称、需要检查的系统调用参数等信息。对于删除操作,用户需要提供漏洞名称。对于查询操作,用户应当首先查询已经安装的漏洞信息个数,根据数量申请对应大小的内存空间,并向内核态传递对应的缓存地址。
模块5,远程告警系统,运行在用户层。该模块读取设备文件,获得日志,然后将日志转发至远程服务器。远程服务器可以进行信息收集或者下达远程控制命令。
完整系统的运行包括以下步骤:
步骤1,初始化阶段。在加载内核模块后,会首先进行初始化。具体包含以下子步骤,为日志模块注册杂项设备、为内核函数执行监控模块获取关键函数地址、初始化IOCTL。为了对系统调用进行监控,需要获取到内核中系统调用表的地址。由于
kallsyms_lookup_name没有导出,需要先获取kallsyms_lookup_name的基址。具体方法如下,为kallsyms_lookup_name函数注册一个kprobe结构体,在kprobe结构体中获取到该函数内核中的基址,然后通过地址获取到系统调用表的地址。
步骤2,用户管理漏洞信息。用户通过上文提到的漏洞管理客户端管理漏洞信息。一些漏洞的利用需要执行特定的系统调用,并且需要特定的系统调用参数。基于这一点,为漏洞生成一个系统调用特征传递给系统,用户构建这样的结构体,传递给内核态的漏洞管理模块。
步骤3,关键函数监控。当系统被入侵时,会产生漏洞利用行为。漏洞利用过程中,将进行关键的系统调用。漏洞利用进程进行系统调用时,注册的回调函数将被执行,在回调函数中获取调用的参数、进程运行的状态等信息,判断其参数是否为特征值,如果是则产生告警信息,以字符串的形式传递到日志记录模块。
步骤4,告警处理。远程告警系统从设备文件中读取日志信息,并且传输到远程控制系统。至此完成一次完整的告警流程。
综上所述,本发明可监控内核敏感函数执行,监控系统调用及其调用参数,在监控到敏感参数的系统调用参数时产生告警信息,并可随时添加或修改检测规则。
尽管为说明目的公开了本发明的具体内容、实施算法以及附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种面向容器主机平台的轻量级攻击检测方法,其特征在于,所述方法包括:
获取被监控函数和需要监控的漏洞信息;
根据所述漏洞信息的名称,创建所述漏洞信息相应的vulner_info结构体;其中,所述vulner_info结构体中的数据包括:所述漏洞信息的名称、系统调用号、所述漏洞信息的系统调用参数、所述系统调用参数的个数、掩码和创建的对应fops_node结构体的地址,所述掩码保存所述系统调用参数的待检查项,所述fops_node结构体中的数据包括:所述被监控函数的名称和ftrace_ops结构体的地址,所述ftrace_ops结构体中封装一个private结构体,所述private结构体中的数据包括:基于所述掩码和所述系统调用参数得到的需要检查的系统调用参数;
当内核在即将执行所述被监控函数时,调用回调函数,以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值;
将所述private结构体的地址传递给所述回调函数,以使所述回调函数访问所述private结构体;
将所述系统调用参数值与所述需要检查的系统调用参数进行比对,得到所述被监控函数的攻击检测结果。
2.如权利要求1所述的方法,其特征在于,所述根据所述漏洞信息的名称,获取所述漏洞信息相应的vulner_info结构体,包括:
根据所述漏洞信息的名称,在漏洞链表的结点中查找该漏洞信息的名称的vulner_info结构体;其中,每一所述结点为一个vulner_info结构体,所述漏洞链表由至少一个所述结点组成;
在查找到所述漏洞信息相应的vulner_info结构体的情况下,将所述vulner_info结构体设置在面向容器主机平台的监控系统中;
在未查找到所述漏洞信息相应的vulner_info结构体相应的vulner_info结构体的情况下,则基于所述漏洞信息,创建一个vulner_info结构体,并将该vulner_info结构体分别加入到所述漏洞链表中,以及设置在面向容器主机平台的监控系统中。
3.如权利要求1所述的方法,其特征在于,所述当内核在即将执行所述被监控函数时,调用回调函数,以使回调函数结合所述系统调用号,获取所述被监控函数在执行过程中产生的系统调用参数值,包括:
获取内核中系统调用表的地址;
基于所述系统调用号与所述系统调用表的地址,获取__x64_sys_(sycallname)内核函数的函数名,以使所述__x64_sys_(sycallname)内核函数作为所述的被监控函数,得到所述被监控函数在执行过程中产生的系统调用参数值;
所述回调函数通过所述_x64_sys_(sycallname)内核函数中的参数pt_regs与所述回调函数中的参数pt_regs,得到所述系统调用参数值。
4.如权利要求3所述的方法,其特征在于,所述获取内核中系统调用表的地址,包括:
为kallsyms_lookup_name函数注册一个kprobe结构体;
在kprobe结构体中获取到所述kallsyms_lookup_name函数内核中的基址;
通过所述基址获取到系统调用表的地址。
5.如权利要求3所述的方法,其特征在于,所述基于所述系统调用号与所述系统调用表的地址,获取__x64_sys_(sycallname)内核函数的函数名,包括:
根据所述系统调用号,计算偏移;
基于所述系统调用表的地址与所述偏移,得到所述被监控函数的系统调用地址;
根据所述系统调用地址,得到__x64_sys_(sycallname)内核函数的系统调用名。
6.如权利要求1所述的方法,其特征在于,所述将所述漏洞信息的系统调用参数与所述被监控函数在运行过程中需要检查的系统调用参数进行比对,得到所述被监控函数的攻击检测结果之后,还包括:
在所述面向容器主机平台中注册一个杂项设备,并实现一读文件操作的函数;
在所述攻击检测结果为函数攻击的情况下,基于告警信息或消息转换为字符串,并将所述字符串加入到日志链表的队尾;其中,所述日志链表在初始化时创建;
当读取杂项设备文件时,利用所述读文件操作的函数,取下所述日志链表的头结点,并将所述头结点保存的信息拷贝到指定的缓冲区中,以获取日志。
7.如权利要求6所述的方法,其特征在于,所述当读取杂项设备文件时,利用所述读文件操作的函数,取下所述日志链表的头结点,并将所述头结点保存的信息拷贝到指定的缓冲区中,以获取日志之后,还包括:
将所述日志发送到远程服务器;
所述远程服务器基于所述日志,收集信息或下达远程控制指令。
8.如权利要求1所述的方法,其特征在于,所述方法还包括:基于一漏洞管理客户端对所述需要监控的漏洞信息进行管理;其中,所述基于一漏洞管理客户端对所述需要监控的漏洞信息进行管理,包括:
基于操作类型,选定IOCTL码;其中,所述操作类型包括:添加操作、修改操作、删除操作和查询操作;
根据选定的IOCTL码,通过IOCTL系统进行信息交互;其中,所述添加操作与所述修改操作的信息包括:所述漏洞信息的名称、系统调用号、所述漏洞信息的系统调用参数、所述系统调用参数的个数和掩码,所述删除操作的信息包括:所述漏洞信息的名称,所述查询操作的信息包括:已经安装的漏洞信息个数。
9.一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1-8中任一所述方法。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行如权利要求1-8中任一所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211046240.6A CN115495731A (zh) | 2022-08-30 | 2022-08-30 | 面向容器主机平台的轻量级攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211046240.6A CN115495731A (zh) | 2022-08-30 | 2022-08-30 | 面向容器主机平台的轻量级攻击检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115495731A true CN115495731A (zh) | 2022-12-20 |
Family
ID=84466834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211046240.6A Pending CN115495731A (zh) | 2022-08-30 | 2022-08-30 | 面向容器主机平台的轻量级攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115495731A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116204892A (zh) * | 2023-05-05 | 2023-06-02 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
-
2022
- 2022-08-30 CN CN202211046240.6A patent/CN115495731A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116204892A (zh) * | 2023-05-05 | 2023-06-02 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
CN116204892B (zh) * | 2023-05-05 | 2023-08-08 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11461125B2 (en) | Methods and apparatus to publish internal commands as an application programming interface in a cloud infrastructure | |
EP3531325B1 (en) | Computer security event analysis | |
US20190294778A1 (en) | Method and system to securely run applications using containers | |
US8316120B2 (en) | Applicability detection using third party target state | |
MXPA04011271A (es) | Interfase de programacion relacionada con la seguridad. | |
US20030135758A1 (en) | System and method for detecting network events | |
CN109255235B (zh) | 基于用户态沙箱的移动应用第三方库隔离方法 | |
US11880458B2 (en) | Malware detection based on user interactions | |
KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
CN114254304A (zh) | 容器安全入侵检测方法、装置、计算机设备及存储介质 | |
US20130111018A1 (en) | Passive monitoring of virtual systems using agent-less, offline indexing | |
CN114816894B (zh) | 一种芯片测试系统、方法、设备及介质 | |
CN113391874A (zh) | 一种虚拟机检测对抗方法、装置、电子设备及存储介质 | |
US11159607B2 (en) | Management for a load balancer cluster | |
CN116541184A (zh) | 一种多协议应用框架系统 | |
CN115495731A (zh) | 面向容器主机平台的轻量级攻击检测方法及装置 | |
CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
CN110968400B (zh) | 应用程序的执行方法、装置、计算机设备和存储介质 | |
US11768889B1 (en) | Evaluating configuration files for uniform resource indicator discovery | |
CN113438273A (zh) | 一种物联网设备中应用程序的用户级仿真方法及装置 | |
CN111611578B (zh) | 一种检测powershadow虚拟环境的方法及其系统 | |
KR102447279B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102447280B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102447278B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
US11790082B2 (en) | Reasoning based workflow management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |