CN116644423A - 一种容器攻击的监控的方法及装置 - Google Patents
一种容器攻击的监控的方法及装置 Download PDFInfo
- Publication number
- CN116644423A CN116644423A CN202310911409.8A CN202310911409A CN116644423A CN 116644423 A CN116644423 A CN 116644423A CN 202310911409 A CN202310911409 A CN 202310911409A CN 116644423 A CN116644423 A CN 116644423A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- container
- program
- byte code
- bytecode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 100
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000006870 function Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/30—Creation or generation of source code
- G06F8/37—Compiler construction; Parser generation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种容器攻击的监控的方法及装置;可应用于信息安全技术领域,解决现有技术中的容器攻击的监控方法存在的监控系统开销较大、移植性低、自身安全能力弱的技术问题。本发明的容器攻击监控的方法及装置,采用字节码的形式编写容器监控程序,字节码解析与监控程序将容器监控字节码加载到内核中,执行解析并进行容器监控,当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据,通知用户空间程序,用户空间程序形成容器攻击监控记录输出。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种容器攻击的监控的方法及装置。
背景技术
云原生逐渐成为一种新兴的基础设施与应用交付方案。针对容器的攻击越来越频繁。如何有效监控针对容器攻击的行为,成为当前解决容器安全的重要研究内容。
目前常用的容器监控方法主要有以下几种:一是监控容器资源的使用情况。通过监控CPU、内存、磁盘的使用,以及容器的部署脚本,来判断容器的使用是否有异常。二是监控宿主机的命令。通过宿主机执行的命令来判断容器是否有异常。三是通过监控系统调用。通过白名单的机制,判断容器系统调用是否在白名单内,如果不在白名单内,则认为行为可能存在异常。
以上容器监控的方法存在以下问题:第一,资源监控的方式,虽然可以检测到CPU、内存、磁盘使用的异常,但是无法更深入理解容器的行为,无法判断是否由攻击引起的资源消耗。第二,宿主机命令监控方式,是通过判断宿主机执行的命令行来判断攻击行为。这种方式容易被攻击行为绕过,可能导致一些攻击无法监控。第三,白名单方式的系统调用监控,
因此,需要设计一种高效、透明的容器监控方法及装置来实时监控容器运行时行为,是容器内部无感知。
发明内容
本发明提供一种容器攻击的监控的方法及装置,从宿主机的内核对容器内行为进行监控,可有效记录容器内软件的运行状态,实时发现可疑的攻击行为。此外,该方法采用虚拟机字节码的形式,由宿主机内核解释器进行解释执行,具有良好的移植性。
为了实现上述目的,本发明采用的技术方案如下:
本发明提供一种容器攻击的监控方法,采用字节码的形式编写容器监控程序,字节码解析与监控程序将容器监控字节码加载到内核中,执行解析并进行容器监控;当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据,通知用户空间程序;用户空间程序形成容器攻击监控记录输出。
优选的,方法包括以下几个步骤:
在步骤S101中,字节码解析与监控程序,将容器监控字节码加载到内核中。字节码解析与监控程序专门负责解析容器监控字节码;容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到;编译器可选择llvm或者gcc;字节码解析与监控程序会逐条指令解析字节码;
在步骤S102中,字节码解析与监控程序,持续监听容器底层的函数调用;字节码解析与监控程序会钩住与容器操作相关的函数,一旦这些被钩住的函数被执行,即可触发字节码解析与监控程序进行后续操作;
在步骤S103中,当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据;
在步骤S104中,字节码解析与监控程序,判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据;
在步骤S105中,字节码解析与监控程序,将监控数据和告警数据都输出给用户空间程序;
在步骤S106中,用户空间程序,将数据写入磁盘,形成容器监控记录。
第二方面,本发明提供一种容器攻击监控装置,包括:
容器监控字节码,是一种独立于硬件平台的程序,需要由特定的编译器编译得到;编译器可选择llvm或者gcc;字节码解析与监控程序会逐条指令解析字节码。
字节码解析与监控程序,将容器监控字节码加载到内核中,字节码解析与监控程序专门负责解析容器监控字节码;容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到;字节码解析与监控程序,持续监听容器底层的函数调用;当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据;判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据;将监控数据和告警数据都输出给用户空间程序;
操作系统内核,操作系统的核心部分;解释执行内核监测组件;
容器,一种轻量级应用代码包,可在操作系统级别共享CPU、内存、存储空间和网络资源,并提供了一种可脱离其实际运行的环境的打包机制;
容器攻击监控记录,由用户空间程序写入磁盘的监控记录。
本发明具有以下优点:
(1)本发明的容器攻击监控的方法及装置,采用了字节码解析程序,字节码形式的容器监控程序,由字节码解析与监控程序加载容器监控字节码,执行字节码解析并进行监控,具有强移植性,采用特定编译器生成容器监控字节码,使得监控程序独立于宿主机的平台架构,更具有移植性。
(2)本发明的容器攻击监控的方法及装置,在宿主机内核进行监控,对于容器来说具有透明性,且安全性更高。
容器执行权限检查,该方案会检测容器进程的执行权限,判断权限是否在可允许的权限列表中,在宿主机上检查容器运行时的执行权限,与权限列表比对,可发现一些越权行为,确保最终执行的是没有越权操作。
附图说明
图1为本发明提供的容器攻击监控方法的流程图;
图2为本发明提供的容器攻击监控装置的结构图;
图3为本发明提供的容器攻击监控的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合具体实施例对本发明的具体实现进行详细描述:
实施例一
如图1所示,本发明实施例一提供的容器攻击的监控方法,采用共享存储空间机制,利用用户空间组件、内核监测组件和内核交互组件监控文件,包括以下几个步骤:
在步骤S101中,字节码解析与监控程序,将容器监控字节码加载到内核中;字节码解析与监控程序专门负责解析容器监控字节码;容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到。编译器可选择llvm或者gcc。字节码解析与监控程序会逐条指令解析字节码。
在步骤S102中,字节码解析与监控程序,持续监听容器底层的函数调用。字节码解析与监控程序会钩住与容器操作相关的函数,一旦这些被钩住的函数被执行,即可触发字节码解析与监控程序进行后续操作。
在步骤S103中,当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据。
在步骤S104中,字节码解析与监控程序,判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据。
在步骤S105中,字节码解析与监控程序,将监控数据和告警数据都输出给用户空间程序。
在步骤S106中,用户空间程序,将数据写入磁盘,形成容器监控记录。
实施例二
如图2所示,本发明提供的容器攻击的监控装置,具体结构详述如下:
用户空间程序21,用于接收字节码解析与监控程序发来的监控数据和告警数据。
容器监控字节码22,是一种独立于硬件平台的程序,需要由特定的编译器编译得到。编译器可选择llvm或者gcc。字节码解析与监控程序会逐条指令解析字节码。
字节码解析与监控程序23,将容器监控字节码加载到内核中。字节码解析与监控程序专门负责解析容器监控字节码。容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到;字节码解析与监控程序,持续监听容器底层的函数调用;当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据;判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据;将监控数据和告警数据都输出给用户空间程序。
容器攻击监控记录,由用户空间程序写入磁盘的监控记录。
此外,还有一些不属于装置本身,但是相关联的组件,有操作系统内核,操作系统的核心部分;解释执行内核监测组件;
容器,一种轻量级应用代码包,可在操作系统级别共享CPU、内存、存储空间和网络资源,并提供了一种可脱离其实际运行的环境的打包机制。
实施例三
如图3所示,本发明实施例一的容器攻击的监控方法的示意图,详述如下:
用户空间程序31,用于接收字节码解析与监控程序发来的监控数据和告警数据。
容器监控字节码32,是一种独立于硬件平台的程序,需要由特定的编译器编译得到。编译器可选择llvm或者gcc。字节码解析与监控程序会逐条指令解析字节码。
字节码解析与监控程序33,将容器监控字节码加载到内核中。字节码解析与监控程序专门负责解析容器监控字节码。容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到;字节码解析与监控程序,持续监听容器底层的函数调用;当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据;判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据;将监控数据和告警数据都输出给用户空间程序。
容器攻击监控记录34,由用户空间程序写入磁盘的监控记录。
此外,还有一些不属于装置本身,但是相关联的组件,有操作系统内核35,操作系统的核心部分;解释执行内核监测组件;
容器36,一种轻量级应用代码包,可在操作系统级别共享CPU、内存、存储空间和网络资源,并提供了一种可脱离其实际运行的环境的打包机制。
综上,本发明的容器攻击监控的方法及装置,由于采用字节码编译器生成容器监控字节码,独立于运行平台,可移植性高。字节码解释与监控程序运行在宿主机内核中,具有更高的安全性,而且对于容器来说具备透明性。
本发明已经通过上述实例进行了说明,但应当理解的是,上述实例知识用于举例和说明的目的。因此,凡在技术领域中通过逻辑分析、推理或者有限实验得到技术方法,皆应当属于描述的实例保护范围内。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (3)
1.一种容器攻击的监控的方法,其特征在于,采用字节码解释程序在宿主机对容器进行监控,容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到,判断进程的权限是否合法,如果不合法则会生成告警数据;
具体为:字节码解析与监控程序将容器监控字节码加载到内核中,执行解析并进行容器监控,当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据,通知用户空间程序,用户空间程序形成容器攻击监控记录输出。
2.根据权利要求1所述的一种容器攻击的监控的方法,其特征在于,包括以下几个步骤:
在步骤S101中,字节码解析与监控程序,将容器监控字节码加载到内核中,字节码解析与监控程序专门负责解析容器监控字节码,容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到;编译器可选择llvm或者gcc;字节码解析与监控程序会逐条指令解析字节码;
在步骤S102中,字节码解析与监控程序,持续监听容器底层的函数调用;字节码解析与监控程序会钩住与容器操作相关的函数,一旦这些被钩住的函数被执行,即可触发字节码解析与监控程序进行后续操作;
在步骤S103中,当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据;
在步骤S104中,字节码解析与监控程序,判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据;
在步骤S105中,字节码解析与监控程序,将监控数据和告警数据都输出给用户空间程序;
在步骤S106中,用户空间程序,将数据写入磁盘,形成容器监控记录。
3.一种容器攻击的监控装置,其特征在于,包括:
容器监控字节码,是一种独立于硬件平台的程序,需要由特定的编译器编译得到;编译器可选择llvm或者gcc;字节码解析与监控程序会逐条指令解析字节码;
字节码解析与监控程序,将容器监控字节码加载到内核中,字节码解析与监控程序专门负责解析容器监控字节码,容器监控字节码是一种独立于硬件平台的程序,需要由特定的编译器编译得到;字节码解析与监控程序,持续监听容器底层的函数调用;当有恶意程序启动容器或者在容器内执行时,字节码解析与监控程序就会产生监控数据;判断执行容器操作的执行进程的权限,如果权限不在预设的权限列表中,则产生告警数据;将监控数据和告警数据都输出给用户空间程序;
操作系统内核,操作系统的核心部分;解释执行内核监测组件;
容器,一种轻量级应用代码包,可在操作系统级别共享CPU、内存、存储空间和网络资源,并提供了一种可脱离其实际运行的环境的打包机制;
容器攻击监控记录,由用户空间程序写入磁盘的监控记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310911409.8A CN116644423A (zh) | 2023-07-25 | 2023-07-25 | 一种容器攻击的监控的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310911409.8A CN116644423A (zh) | 2023-07-25 | 2023-07-25 | 一种容器攻击的监控的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116644423A true CN116644423A (zh) | 2023-08-25 |
Family
ID=87623370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310911409.8A Pending CN116644423A (zh) | 2023-07-25 | 2023-07-25 | 一种容器攻击的监控的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116644423A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014109794A1 (de) * | 2014-07-11 | 2016-01-14 | Bundesdruckerei Gmbh | Verfahren und Vorrichtung zum Absichern von Prozessen |
| KR101857009B1 (ko) * | 2017-01-19 | 2018-05-11 | 숭실대학교산학협력단 | 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법 |
| WO2021232842A1 (zh) * | 2020-05-22 | 2021-11-25 | 国云科技股份有限公司 | 一种获取Docker容器内虚拟机监控数据的方法及装置 |
| CN115576649A (zh) * | 2022-10-24 | 2023-01-06 | 四川启睿克科技有限公司 | 一种基于行为监控的容器运行时安全检测方法 |
| CN115840938A (zh) * | 2023-02-21 | 2023-03-24 | 山东捷讯通信技术有限公司 | 一种文件监控的方法及装置 |
-
2023
- 2023-07-25 CN CN202310911409.8A patent/CN116644423A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014109794A1 (de) * | 2014-07-11 | 2016-01-14 | Bundesdruckerei Gmbh | Verfahren und Vorrichtung zum Absichern von Prozessen |
| KR101857009B1 (ko) * | 2017-01-19 | 2018-05-11 | 숭실대학교산학협력단 | 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법 |
| WO2021232842A1 (zh) * | 2020-05-22 | 2021-11-25 | 国云科技股份有限公司 | 一种获取Docker容器内虚拟机监控数据的方法及装置 |
| CN115576649A (zh) * | 2022-10-24 | 2023-01-06 | 四川启睿克科技有限公司 | 一种基于行为监控的容器运行时安全检测方法 |
| CN115840938A (zh) * | 2023-02-21 | 2023-03-24 | 山东捷讯通信技术有限公司 | 一种文件监控的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 许大卫;吴舜;孟德;郑晓琳;: "SG-APS应用服务器中间件的设计与实现", 计算机技术与发展, no. 10, pages 133 - 138 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9223964B2 (en) | Detecting JAVA sandbox escaping attacks based on JAVA bytecode instrumentation and JAVA method hooking | |
| US8484732B1 (en) | Protecting computers against virtual machine exploits | |
| EP3394785B1 (en) | Detecting malicious software | |
| CN100492300C (zh) | 在微处理器实现的设备上执行进程的系统和方法 | |
| KR101671795B1 (ko) | 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법 | |
| US20180373876A1 (en) | Software security | |
| US20130239215A1 (en) | Detecting malicious computer code in an executing program module | |
| Adelstein et al. | Malicious code detection for open firmware | |
| CN101599113A (zh) | 驱动型恶意软件防御方法和装置 | |
| CN114595462A (zh) | 一种数据处理的方法和装置 | |
| CN113779578B (zh) | 移动端应用的智能混淆方法和系统 | |
| CN112134905B (zh) | 基于安卓系统的签名方法、装置以及设备 | |
| CN114091031A (zh) | 基于白规则的类加载防护方法及装置 | |
| Siavvas et al. | On the relationship between software security and energy consumption | |
| CN116644423A (zh) | 一种容器攻击的监控的方法及装置 | |
| US20100218261A1 (en) | Isolating processes using aspects | |
| CN112631661B (zh) | 程序安全管控方法、装置、设备及存储介质 | |
| KR20190038018A (ko) | 프로그램 변조 방어 장치 및 방법 | |
| CN110008001B (zh) | 虚拟机监控器的安全加固方法、系统及硬件安全监控卡 | |
| CN113672907A (zh) | 基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质 | |
| CN112527691A (zh) | 程序安全检测防护方法、中间件系统及安全中间件系统 | |
| CN112486496A (zh) | 一种用于生成和运行so文件的方法与设备 | |
| EP3394786B1 (en) | Software security | |
| CN111177726A (zh) | 一种系统漏洞检测方法、装置、设备及介质 | |
| KR102454845B1 (ko) | 스마트 컨트랙트 재작성기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |