JP2017076369A - コンテナに基づく仮想化システム用動作キャプチャ方法、および装置 - Google Patents
コンテナに基づく仮想化システム用動作キャプチャ方法、および装置 Download PDFInfo
- Publication number
- JP2017076369A JP2017076369A JP2016159649A JP2016159649A JP2017076369A JP 2017076369 A JP2017076369 A JP 2017076369A JP 2016159649 A JP2016159649 A JP 2016159649A JP 2016159649 A JP2016159649 A JP 2016159649A JP 2017076369 A JP2017076369 A JP 2017076369A
- Authority
- JP
- Japan
- Prior art keywords
- signal
- container
- function
- system call
- kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
前記プロセス起動の動作が検出された場合、カーネルモードで信号処理動作をキャプチャするステップと
を含み、
前記の信号処理動作をキャプチャするステップにおいては、
前記プロセスにおいて未処理信号が存在するか否かを判断するステップと、
前記信号が存在する場合、前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプし、且つ前記信号の信号番号を前記第1の関数へ転送するステップと、
前記第1の関数が呼び出された場合、呼び出された時に転送された信号番号に対応した信号処理動作をキャプチャするステップと
を含む。
第1の態様の前記方法により、コンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャし、ここで、前記カーネルへのアクセスする動作が信号処理動作またはシステム呼出動作である動作キャプチャユニットと、
キャプチャされた動作が信号処理動作である場合、前記信号処理動作に対応した信号番号を取得するための信号番号取得ユニットと、
前記信号番号に対応した信号に指示された実行命令を、中央処理装置の特権レベルRing3へ切り替えて実行するための特権レベル切り替えユニットと
を備える。
前記信号処理キャプチャユニットは、
前記プロセスにおいて未処理信号が存在するか否かを判断するための信号検出サブユニットと、
前記信号が存在する場合、前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプし、且つ前記信号の信号番号を前記第1の関数へ転送するための実行命令ジャンプサブユニットと、
前記第1の関数が呼び出された場合、呼び出された時に転送された信号番号に対応した信号処理動作をキャプチャするための信号処理キャプチャサブユニットと
を備える。
第1の態様の前記方法により、コンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャし、ここで、前記カーネルへのアクセスする動作が信号処理動作またはシステム呼び出し動作である動作キャプチャユニットと、
キャプチャされた前記動作が信号処理動作である場合、前記信号処理動作に対応した信号番号を取得するための信号番号取得ユニットと、
前記信号番号に対応した信号に指示された実行命令を、中央処理装置の特権レベルRing3へ切り替えて実行するための特権レベル切り替えユニットと
を備える。
ただし、衝突がない限り、本願における実施例及び実施例における特徴は互いに組み合せてもよい。以下、図面を参照しながら実施例に基づいて本願を詳しく説明する。
図1に示すように、本実施例のコンテナに基づく仮想化システム用動作キャプチャ方法は、次のステップ101〜104を含む。
ステップ101: ユーザモードでコンテナに基づく仮想化システムの中のコンテナにおけるプロセス起動の動作を監視する。
本実施例において、ステップ101は、前記プロセスが仮想化システムのホストにおける中央処理装置に呼び出されて実行されることに対応した動作を監視するステップを含んでもよい。CPU(中央処理装置)仮想化技術により、プロセスが実行する時にまずカーネルにおける1つの仮想CPUを使用するため、本ステップにおいて、上記プロセス起動の動作に対する監視を実現するように、仮想CPUの処理に監視処理を増加することができる。
本実施例において、上記プロセス起動の動作が監視された後に、カーネルモードで、上記プロセスのtask_struct構造(Linuxオペレーティングシステムに用いられるプロセス記述子)を取得することができ、当該task_struct構造により上記プロセスにおいて未処理信号が存在するか否かを判断することができる。
本実施例において、ステップ102の前に、ユーザモードで、前記第1の関数のエントリアドレスを上記仮想化システムにおけるホストカーネルに転送し、且つカーネルモードで、前記第1の関数のエントリアドレスをカーネル空間に保存することができる。それに応じて、前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプする上記ステップにおいては、前記カーネル空間において記憶された前記第1の関数のエントリアドレスを取得するステップと、前記信号に指示された実行命令を前記第1の関数のエントリアドレスにジャンプするステップと、を含んでもよい。
各信号は、いずれもシステムのヘッダファイルで定義されている信号番号と呼ばれる正の整定数の1つに対応する。本実施例において、ステップ103において前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプし、且つ前記信号の信号番号を前記第1の関数へ転送するため、第1の関数が呼び出されて実行された場合、第1の関数において転送された信号番号を取得することができ、そして当該信号番号に対応した信号処理動作をキャプチャした。
図2に示すように、本実施例のコンテナに基づく仮想化システム用動作キャプチャ方法は、次のステップ201〜203を含む。
本実施例において、ステップ201の具体的な処理は、前記図1に対応した実施例におけるステップ101の詳細な説明を参照してもよく、ここで具体的な説明は省略する。
その中で、前記信号処理動作をキャプチャするステップは、下記のステップ2021〜2023を含み、
ステップ2021:前記プロセスにおいて未処理信号が存在するか否かを判断する。
ステップ2022:前記信号が存在する場合、前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプし、且つ前記信号の信号番号を前記第1の関数へ転送する。
ステップ2023:前記第1の関数が呼び出された場合、呼び出された時に転送された信号番号に対応した信号処理動作をキャプチャする。
本実施例において、ステップ2021、ステップ2022、およびステップ2023の具体的な処理は、それぞれ前記図1に対応した実施例におけるステップ102、ステップ103、およびステップ104の詳細な説明を参照してもよく、ここで具体的な説明は省略する。
その中で、前記システム呼び出し動作をキャプチャするステップにおいては、下記のステップ2031〜2033を含む。
本実施例において、ユーザモードで前記プロセス起動の動作が監視された場合、ユーザモードでカストマイズの命令(例えば、GET_SYSCALL)をカーネルモードにおける1つの所定のインターフェースへ送信することができる。カーネルモードの前記インターフェースが当該命令を受信した後に、MSR_LSTAR命令によりモデル固有レジスタを読み出してシステムによって呼び出されたエントリアドレスを取得することができる。
本実施例において、当該ステップは、前記プロセスのアドレス空間において実行されることができ、ステップ2021により取得された、システムによって呼び出されたエントリアドレスに記憶されたデータは、システムによって呼び出されたエントリ関数のアドレスであり、前記エントリアドレスに固有のデータをカストマイズの第2の関数のアドレスに変更し、このようにして前記プロセスがシステム呼び出し動作を行う場合、関連するエントリパラメータおよびシステム呼び出し番号を、第2の関数において取得することができる。
本実施例において、ステップ2032により、前記プロセスがシステム呼び出し動作を行う場合、第2の関数において関連するエントリパラメータおよびシステム呼び出し番号を取得することが実現された。このため、第2の関数が呼び出されて実行された場合、当該システム呼び出し番号に対応したシステム呼び出し動作をキャプチャする。
図3に示すように、本実施例のコンテナに基づく仮想化システム用安全制御方法は、次のステップ301〜303を含む。
本実施例において、ステップ301の具体的な処理は、前記図1に対応した実施例におけるステップ101の詳細な説明を参照してもよく、ここでの具体的な説明は省略する。
本実施例において、当該ステップは、図1または図2に対応した実施例における第1の関数により実行されることができ、ステップ301において未処理信号の信号番号を第1の関数へ転送したため、第1の関数において前記信号処理動作に対応した信号番号を得ることができる。
キャプチャされた前記動作がシステム呼び出し動作である場合、キャプチャされたシステム呼び出し動作に対応したシステム呼び出し番号およびエントリパラメータに基づいて、前記システム呼び出し動作が安全か否かを判断するステップと、前記システム呼び出し動作が安全でない場合、前記システム呼び出し動作を阻止するステップと、を含んでもよい。
Claims (16)
- ユーザモードで、コンテナに基づく仮想化システムの中のコンテナにおけるプロセス起動の動作を監視するステップと、
前記プロセス起動の動作が検出された場合、カーネルモードで、信号処理動作をキャプチャするステップを実行するステップと、を含み、
前記の信号処理動作をキャプチャするステップにおいては、
前記プロセスにおいて未処理信号が存在するか否かを判断するステップと、
前記信号が存在する場合、前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプし、且つ前記信号の信号番号を前記第1の関数へ転送するステップと、
前記第1の関数が呼び出された場合、呼び出された時に転送された信号番号に対応した信号処理動作をキャプチャするステップと
を含むことを特徴とするコンテナに基づく仮想化システム用動作キャプチャ方法。 - 前記プロセス起動の動作が検出された場合、システム呼び出し動作をキャプチャするステップを実行するステップをさらに含み、
前記のシステム呼び出し動作をキャプチャするステップにおいては、
カーネルモードで、固有モデルレジスタを読み出すことにより、システムによって呼び出されたエントリアドレスを取得するステップと、
ユーザモードで、前記エントリアドレスにおける、システムによって呼び出されたエントリ関数のアドレスをカストマイズの第2の関数のアドレスで代替するステップと、
前記第2の関数が呼び出された場合、前記第2の関数を呼び出すシステム呼び出し動作をキャプチャするステップと
を含むことを特徴とする請求項1に記載方法。 - 前記のコンテナに基づく仮想化システムの中のコンテナにおけるプロセス起動の動作を監視するステップにおいては、
前記プロセスが仮想化システムのホストにおける中央処理装置に呼び出されて実行されることに対応した動作を監視するステップ
を含むことを特徴とする請求項1または2に記載方法。 - 前記の前記信号処理動作をキャプチャするステップにおいては、
前記プロセスにおいて未処理信号が存在するか否かを判断する前に、ユーザモードで、前記第1の関数のエントリアドレスを、前記仮想化システムの中のホストのカーネルに転送し、且つカーネルモードで、前記第1の関数のエントリアドレスをカーネル空間に保存するステップ
をさらに含むことを特徴とする請求項1または2に記載方法。 - 前記の前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプするステップにおいては、
前記カーネル空間において記憶された前記第1の関数のエントリアドレスを取得するステップと、
前記信号に指示された実行命令を前記第1の関数のエントリアドレスにジャンプするステップと
を含むことを特徴とする請求項4に記載方法。 - 請求項1〜5のいずれか1項に記載の方法により、コンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャするステップと、
キャプチャされた前記動作が信号処理動作である場合、前記信号処理動作に対応した信号番号を取得するステップと、
前記信号番号に対応した信号に指示された実行命令を、中央処理装置の特権レベルRing3へ切り替えて実行するステップと
を含んでおり、
ここで、前記カーネルへのアクセスする動作は、信号処理動作、またはシステム呼び出し動作である
ことを特徴とするコンテナに基づく仮想化システム用安全制御方法。 - 前記のコンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャするステップにおいては、
請求項2〜5のいずれか1項に記載の方法により、コンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャするステップを含み、
且つ、前記安全制御方法は、
キャプチャされた前記動作がシステム呼び出し動作である場合、キャプチャされたシステム呼び出し動作に対応したシステム呼び出し番号およびエントリパラメータに基づいて、前記システム呼び出し動作が安全か否かを判断するステップと、
前記システム呼び出し動作が安全でない場合、前記システム呼び出し動作を阻止するステップと
をさらに含むことを特徴とする請求項6に記載の安全制御方法。 - 前記のキャプチャされたシステム呼び出し動作に対応したシステム呼び出し番号およびエントリパラメータに基づいて、前記システム呼び出し動作が安全であるか否かを判断するステップにおいては、
予め設定された設定ファイルにより前記システム呼び出し動作が安全であるか否かを判断するステップを含み、
前記設定ファイルは、被検システム呼び出し番号および/または被保護リソースと、前記システム呼び出し番号および/または被保護リソースに関連する動作指示とを指定するために用いられる
ことを特徴とする請求項7に記載の安全制御方法。 - ユーザモードで、コンテナに基づく仮想化システムの中のコンテナにおけるプロセス起動の動作を監視するためのプロセス起動監視ユニットと、
プロセス起動監視ユニットによって前記プロセス起動の動作が検出された場合、カーネルモードで、信号処理動作をキャプチャするステップを実行するための信号処理キャプチャユニットと
を備え、
前記信号処理キャプチャユニットは、
前記プロセスにおいて未処理信号が存在するか否かを判断するための信号検出サブユニットと、
前記信号が存在する場合、前記信号に指示された実行命令をカストマイズの第1の関数のエントリアドレスにジャンプし、且つ前記信号の信号番号を前記第1の関数へ転送するための実行命令ジャンプサブユニットと、
前記第1の関数が呼び出された場合、呼び出された時に転送された信号番号に対応した信号処理動作をキャプチャするための信号処理キャプチャサブユニットと
を備えることを特徴とするコンテナに基づく仮想化システム用動作キャプチャ装置。 - プロセス起動監視ユニットによって前記プロセス起動の動作が検出された場合、システム呼び出し動作をキャプチャするステップを実行するためのシステム呼び出しキャプチャユニットをさらに備え、
前記システム呼び出しキャプチャユニットは、
カーネルモードで、固有モデルレジスタを読み出すことにより、システムによって呼び出されたエントリアドレスを取得するためのシステム呼び出しエントリアドレス取得サブユニットと、
ユーザモードで、前記エントリアドレスにおける、システムによって呼び出されたエントリ関数のアドレスをカストマイズの第2の関数のアドレスで代替するためのアドレス代替サブユニットと、
前記第2の関数が呼び出された場合、前記第2の関数を呼び出すシステム呼び出し動作をキャプチャするためのシステム呼び出しキャプチャサブユニットと
を備えることを特徴とする請求項9に記載の装置。 - 前記プロセス起動監視ユニットは、さらに、前記プロセスが仮想化システムのホストにおける中央処理装置に呼び出されて実行されることに対応した動作を監視するように構成される
ことを特徴とする請求項9または10に記載の装置。 - 前記信号処理キャプチャユニットは、
前記プロセスにおいて未処理信号が存在するか否かを判断する前に、ユーザモードで、前記第1の関数のエントリアドレスを、前記仮想化システムの中のホストのカーネルに転送し、且つカーネルモードで、前記第1の関数のエントリアドレスをカーネル空間に保存するためのアドレス転送サブユニットをさらに含む
ことを特徴とする請求項9または10に記載の装置。 - 前記実行命令ジャンプサブユニットは、
前記カーネル空間において記憶された前記第1の関数のエントリアドレスを取得するための第1の関数エントリアドレス取得モジュールと、
前記信号に指示された実行命令を前記第1の関数のエントリアドレスにジャンプする実行命令ジャンプモジュールと
を備えることを特徴とする請求項12に記載の装置。 - 請求項9〜13のいずれか1項に記載の装置により、コンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャする動作キャプチャユニットと、
キャプチャされた前記動作が信号処理動作である場合、前記信号処理動作に対応した信号番号を取得するための信号番号取得ユニットと、
前記信号番号に対応した信号に指示された実行命令を、中央処理装置の特権レベルRing3へ切り替えて実行するための特権レベル切り替えユニットと
を備えており、
ここで、前記カーネルへのアクセスする動作は、信号処理動作、またはシステム呼び出し動作である
ことを特徴とするコンテナに基づく仮想化システム用安全制御装置。 - 前記動作キャプチャユニットは、さらに、請求項10〜13のいずれか1項に記載の装置により、コンテナに基づく仮想化システムの中のコンテナにおけるプロセスのカーネルへのアクセスする動作をキャプチャするように構成され、且つ、
前記安全制御装置は、
キャプチャされた前記動作がシステム呼び出し動作である場合、キャプチャされたシステム呼び出し動作に対応したシステム呼び出し番号およびエントリパラメータに基づいて、前記システム呼び出し動作が安全か否かを判断するための安全確定ユニットと、
前記システム呼び出し動作が安全でない場合、前記システム呼び出し動作を阻止するための動作阻止ユニットと
をさらに備えることを特徴とする請求項14に記載の安全制御装置。 - 前記安全確定ユニットは、さらに、予め設定された設定ファイルにより前記システム呼び出し動作が安全であるか否かを判断するように構成され、
前記設定ファイルは、被検システム呼び出し番号および/または被保護リソースと、前記システム呼び出し番号および/または被保護リソースに関連する動作指示とを指定するために用いられる
ことを特徴とする請求項15に記載の安全制御装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510670474.1A CN105389197B (zh) | 2015-10-13 | 2015-10-13 | 用于基于容器的虚拟化系统的操作捕获方法和装置 |
CN201510670474.1 | 2015-10-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017076369A true JP2017076369A (ja) | 2017-04-20 |
JP6196356B2 JP6196356B2 (ja) | 2017-09-13 |
Family
ID=55421504
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016159649A Active JP6196356B2 (ja) | 2015-10-13 | 2016-08-16 | コンテナに基づく仮想化システム用動作キャプチャ方法、および装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10102373B2 (ja) |
JP (1) | JP6196356B2 (ja) |
KR (1) | KR101845162B1 (ja) |
CN (1) | CN105389197B (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3488579B1 (en) * | 2016-07-21 | 2023-04-05 | Baidu.com Times Technology (Beijing) Co., Ltd. | Efficient communications amongst computing nodes for operating autonomous vehicles |
CN108334341B (zh) * | 2017-07-20 | 2021-11-30 | 创新先进技术有限公司 | 用户界面ui组件的定位方法及装置 |
CN107689953B (zh) * | 2017-08-18 | 2020-10-27 | 中国科学院信息工程研究所 | 一种面向多租户云计算的容器安全监控方法及系统 |
CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
CN108416210B (zh) * | 2018-03-09 | 2020-07-14 | 北京顶象技术有限公司 | 一种程序保护方法及装置 |
US11659003B2 (en) | 2018-08-30 | 2023-05-23 | International Business Machines Corporation | Safe shell container facilitating inspection of a virtual container |
US11461474B2 (en) * | 2020-01-24 | 2022-10-04 | International Business Machines Corporation | Process-based virtualization system for executing a secure application process |
CN113791865A (zh) * | 2021-09-08 | 2021-12-14 | 山石网科通信技术股份有限公司 | 容器安全的处理方法及装置、存储介质和处理器 |
KR102494791B1 (ko) * | 2021-11-08 | 2023-02-06 | 숭실대학교산학협력단 | 컨테이너 환경에서 알려지지 않은 바이너리 검사 및 차단 방법 및 장치 |
CN114489941B (zh) * | 2022-01-19 | 2024-05-28 | 上海交通大学 | 运行在宿主模式用户态的虚拟机管理方法及系统 |
CN114491516B (zh) * | 2022-01-26 | 2023-04-14 | 北京小佑网络科技有限公司 | 一种基于容器环境的威胁检测诱捕方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005122711A (ja) * | 2003-10-14 | 2005-05-12 | Microsoft Corp | プロセッサ仮想化を改良するための方法及び合成命令を処理するためのシステム |
WO2009102006A1 (ja) * | 2008-02-14 | 2009-08-20 | Nec Corporation | アクセス制御装置、その方法及び情報記録媒体 |
JP2013524340A (ja) * | 2010-03-31 | 2013-06-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 仮想コンテナのシステムにおけるリソース容量評価のための方法および装置 |
WO2013184281A1 (en) * | 2012-06-08 | 2013-12-12 | Crowdstrike, Inc. | Kernel-level security agent |
WO2015052831A1 (ja) * | 2013-10-11 | 2015-04-16 | 順子 杉中 | 情報処理装置、方法およびプログラム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7519814B2 (en) * | 2003-09-15 | 2009-04-14 | Trigence Corp. | System for containerization of application sets |
CN100489728C (zh) * | 2004-12-02 | 2009-05-20 | 联想(北京)有限公司 | 一种建立计算机中可信任运行环境的方法 |
US7665143B2 (en) * | 2005-05-16 | 2010-02-16 | Microsoft Corporation | Creating secure process objects |
US8732824B2 (en) * | 2006-01-23 | 2014-05-20 | Microsoft Corporation | Method and system for monitoring integrity of running computer system |
US20090113111A1 (en) * | 2007-10-30 | 2009-04-30 | Vmware, Inc. | Secure identification of execution contexts |
US8578483B2 (en) * | 2008-07-31 | 2013-11-05 | Carnegie Mellon University | Systems and methods for preventing unauthorized modification of an operating system |
US8271996B1 (en) * | 2008-09-29 | 2012-09-18 | Emc Corporation | Event queues |
US8402318B2 (en) * | 2009-03-24 | 2013-03-19 | The Trustees Of Columbia University In The City Of New York | Systems and methods for recording and replaying application execution |
US8627414B1 (en) * | 2009-08-04 | 2014-01-07 | Carnegie Mellon University | Methods and apparatuses for user-verifiable execution of security-sensitive code |
CN103312661B (zh) * | 2012-03-07 | 2016-02-17 | 腾讯科技(深圳)有限公司 | 一种服务访问方法及装置 |
US9069782B2 (en) * | 2012-10-01 | 2015-06-30 | The Research Foundation For The State University Of New York | System and method for security and privacy aware virtual machine checkpointing |
US9117080B2 (en) | 2013-07-05 | 2015-08-25 | Bitdefender IPR Management Ltd. | Process evaluation for malware detection in virtual machines |
KR101445634B1 (ko) | 2014-01-27 | 2014-10-06 | 주식회사 이글루시큐리티 | 프로그램의 취약점을 이용한 공격의 탐지 장치 및 방법 |
US10013453B2 (en) * | 2015-06-22 | 2018-07-03 | Vmware, Inc. | Efficient management of large number of file descriptors |
-
2015
- 2015-10-13 CN CN201510670474.1A patent/CN105389197B/zh active Active
-
2016
- 2016-08-16 KR KR1020160103690A patent/KR101845162B1/ko active IP Right Grant
- 2016-08-16 JP JP2016159649A patent/JP6196356B2/ja active Active
- 2016-08-16 US US15/237,940 patent/US10102373B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005122711A (ja) * | 2003-10-14 | 2005-05-12 | Microsoft Corp | プロセッサ仮想化を改良するための方法及び合成命令を処理するためのシステム |
WO2009102006A1 (ja) * | 2008-02-14 | 2009-08-20 | Nec Corporation | アクセス制御装置、その方法及び情報記録媒体 |
JP2013524340A (ja) * | 2010-03-31 | 2013-06-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 仮想コンテナのシステムにおけるリソース容量評価のための方法および装置 |
WO2013184281A1 (en) * | 2012-06-08 | 2013-12-12 | Crowdstrike, Inc. | Kernel-level security agent |
WO2015052831A1 (ja) * | 2013-10-11 | 2015-04-16 | 順子 杉中 | 情報処理装置、方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20170103206A1 (en) | 2017-04-13 |
KR20170043438A (ko) | 2017-04-21 |
KR101845162B1 (ko) | 2018-04-03 |
CN105389197A (zh) | 2016-03-09 |
US10102373B2 (en) | 2018-10-16 |
CN105389197B (zh) | 2019-02-26 |
JP6196356B2 (ja) | 2017-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6196356B2 (ja) | コンテナに基づく仮想化システム用動作キャプチャ方法、および装置 | |
JP6378758B2 (ja) | 仮想マシンにおけるマルウェア検出のためのプロセス評価 | |
KR102255767B1 (ko) | 가상 머신 감사를 위한 시스템 및 방법들 | |
US9436603B1 (en) | Detection and mitigation of timing side-channel attacks | |
RU2679175C1 (ru) | Способ поведенческого обнаружения вредоносных программ с использованием виртуальной машины-интерпретатора | |
JP6326103B2 (ja) | エミュレータを組み合わせることにより、悪意のある実行ファイルであってインタープリタを有する実行ファイルを検出するためのシステム及び方法 | |
RU2659472C2 (ru) | Внесение ошибки страницы в виртуальных машинах | |
US9430642B2 (en) | Providing virtual secure mode with different virtual trust levels each having separate memory access protections, interrupt subsystems and private processor states | |
US20140053272A1 (en) | Multilevel Introspection of Nested Virtual Machines | |
US20150248554A1 (en) | Systems And Methods For Executing Arbitrary Applications In Secure Environments | |
US10776486B2 (en) | Analysis system, analysis method, analysis device, and storage medium for analyzing operation of a program executed in an analysis environment | |
US9158562B2 (en) | Method and apparatus for supporting virtualization of loadable module | |
US9952890B2 (en) | Kernel state data collection in a protected kernel environment | |
CN113391881A (zh) | 中断的管理方法、装置、电子设备及计算机存储介质 | |
US9959225B2 (en) | Computer apparatus and control method of computer apparatus | |
US10162724B2 (en) | Technique for inspecting a host computer | |
Tian et al. | KEcruiser: A novel control flow protection for kernel extensions | |
CN113268726B (zh) | 程序代码执行行为的监控方法、计算机设备 | |
Qiang et al. | CloudController: a writable and heterogeneous-adaptive virtual machine introspection for cloud management | |
WO2020060481A1 (en) | Method and system for dynamically detecting, analyzing, monitoring, investigating and/or executing a live target program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170726 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170809 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170817 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6196356 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |