CN109241730B - 一种容器风险的防御方法、装置、设备及可读存储介质 - Google Patents
一种容器风险的防御方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109241730B CN109241730B CN201811020565.0A CN201811020565A CN109241730B CN 109241730 B CN109241730 B CN 109241730B CN 201811020565 A CN201811020565 A CN 201811020565A CN 109241730 B CN109241730 B CN 109241730B
- Authority
- CN
- China
- Prior art keywords
- container
- risk
- risk information
- information
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
- Details Of Rigid Or Semi-Rigid Containers (AREA)
Abstract
本发明公开了一种容器风险的防御方法,包括:获取目标容器的风险信息;解析风险信息,并获取与风险信息对应的防御策略;根据风险信息和防御策略生成威胁情报;将威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报防御容器风险。该方法可以为容器提供良好的运行环境,及时反馈容器风险信息,并利用威胁情报中的防御策略修复或防御容器风险,从而提高了容器风险的修复和防御效率,以及整个网络的安全性。相应地,本发明公开的一种容器风险的防御装置、设备及可读存储介质,也同样具有上述技术效果。
Description
技术领域
本发明涉及容器安全技术领域,更具体地说,涉及一种容器风险的防御方法、装置、设备及可读存储介质。
背景技术
容器技术作为一种新型的虚拟化技术而被广泛应用,其具有运行效率高、易于开发等优势。而随着越来越多的关键任务型应用程序被迁移到容器,容器的安全监测也越来越受关注。
在现有技术中,可通过日志方式记录容器的运行信息和风险信息。其中,风险信息指容器受到恶意攻击或运行故障等。但是,日志记录方式仅可以记录容器的运行信息和风险信息,而无法将一个容器上的风险信息及时传递给其他容器,从而导致当一台宿主机上的某一容器受到攻击时,由于其他容器无法及时知悉风险信息,从而无法及时进行相应的防御机制,导致其他容器被攻击的可能性将大大增加,从而可能导致整个宿主机出现运行故障。
并且,通过日志记录容器的运行信息和风险信息后,需要人工进行相应的修复和防御,而由于人工操作的效率缓慢,无法及时修复风险信息,从而不利于宿主机上正常业务的运行,整个网络的安全性也得不到保障。
因此,如何为容器提供良好的运行环境,及时反馈容器风险信息,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种容器风险的防御方法、装置、设备及可读存储介质,以实现为容器提供良好的运行环境,及时反馈容器风险信息。
为实现上述目的,本发明实施例提供了如下技术方案:
一种容器风险的防御方法,包括:
获取目标容器的风险信息;
解析所述风险信息,并获取与所述风险信息对应的防御策略;
根据所述风险信息和所述防御策略生成威胁情报;
将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险。
其中,所述获取目标容器的风险信息,包括:
利用代理进程监测所述目标容器,并获取所述目标容器的风险信息。
其中,所述代理进程按照CIS监测规范进行监测。
其中,所述解析所述风险信息,并获取与所述风险信息对应的防御策略,包括:
解析所述风险信息,并从预设的策略数据表中获取与所述风险信息对应的防御策略。
其中,当所述策略数据表中不存在与所述风险信息对应的防御策略时,还包括:
将所述风险信息传输至预设的管理端并进行可视化展示。
其中,还包括:
获取用户输入的目标风险信息,以及与所述目标风险信息对应的目标防御策略;
根据所述目标风险信息和所述目标防御策略生成目标威胁情报;
将所述目标威胁情报传输至所述监测宿主机,以使所述被监测宿主机根据所述目标威胁情报防御容器风险。
一种容器风险的防御装置,包括:
获取模块,用于获取目标容器的风险信息;
执行模块,用于解析所述风险信息,并获取与所述风险信息对应的防御策略;
生成模块,用于根据所述风险信息和所述防御策略生成威胁情报;
传输模块,用于将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险。
其中,所述获取模块具体用于:
利用代理进程监测所述目标容器,并获取所述目标容器的风险信息。
一种容器风险的防御设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任意一项所述的容器风险的防御方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的容器风险的防御方法的步骤。
通过以上方案可知,本发明实施例提供的一种容器风险的防御方法,包括:获取目标容器的风险信息;解析所述风险信息,并获取与所述风险信息对应的防御策略;根据所述风险信息和所述防御策略生成威胁情报;将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险。
可见,所述方法在获取到容器的风险信息时,解析风险信息,并获取与风险信息对应的防御策略;进而将根据风险信息和防御策略生成的威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报为本容器以及其他容器提供防御机制,从而可以为容器提供良好的运行环境,及时反馈容器风险信息。其中,由于威胁情报中包含相应的防御策略,因此当其他容器遭受到同样的风险或即将遭受到同样的风险时,可以及时利用威胁情报中的防御策略进行修复或防御,从而提高了容器风险的修复和防御效率,也可保障宿主机上正常业务的运行,提高整个网络的安全性。
相应地,本发明实施例提供的一种容器风险的防御装置、设备及可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种容器风险的防御方法流程图;
图2为本发明实施例公开的另一种容器风险的防御方法流程图;
图3为本发明实施例公开的一种容器风险的防御装置示意图;
图4为本发明实施例公开的一种容器风险的防御设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种容器风险的防御方法、装置、设备及可读存储介质,以实现为容器提供良好的运行环境,及时反馈容器风险信息。
参见图1,本发明实施例提供的一种容器风险的防御方法,包括:
S101、获取目标容器的风险信息;
具体的,容器一般应用于应用服务器,由应用服务器负责加载和维护,一个应用服务器上可以部署多个容器。因此可以在应用服务器上部署监控进程,进而通过监控进程获取目标容器的风险信息,当然,也可以同时获取目标容器的基本运行信息。其中,应用服务器即为被监测的宿主机。
S102、解析风险信息,并获取与风险信息对应的防御策略;
当获取到宿主机上的容器的风险信息后,解析该风险信息,即:辨别当前容器被攻击的手段和方法,并依据解析结果获取对应的防御策略。其中,防御策略即为修复该风险信息的方法或避免当前攻击再次发生的方法。
S103、根据风险信息和防御策略生成威胁情报;
具体的,威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的,基于证据知识的,包含情境、机制、影响和应对建议的,用于帮助解决威胁或危害进行决策的知识。因此,威胁情报中既包含具体的、真实发生的风险信息(攻击行为),又包含该风险信息对应的修复和防御方法,以及其他危害信息。例如:风险信息可能危害的范围、修复风险需要的时长等。
例如:当风险信息为恶意IP扫描时,对应的修复方法即为:阻断其扫描行为,恶意IP可以通过IP防火墙进行阻断、屏蔽;当风险信息为病毒程序时,对应的修复方法即为:隔离、删除该病毒程序。其中,当恶意插件已被使用时,则产生告警信息并及时将告警信息反馈至相应的管理端;当恶意插件未被使用时,生成相应的危险提示信息并显示。
S104、将威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报防御容器风险。
在本实施例中,当获取到宿主机上的其中一个容器的风险信息后,经过相应的解析处理后,生成对应的威胁情报,进而将威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报防御容器风险。也就是说,当被监测宿主机收到威胁情报后,可以依据威胁情报修复已经发生的风险,并防御未来即将发生的风险,从而可保障宿主机上的正常业务的运行,也提高了整个网络的安全。
需要说明的是,还可以同时监测多个宿主机,即在每个宿主机上部署监控进程。当其中一个宿主机上的一个容器被攻击后,生成该攻击对应的威胁情报,并将该威胁情报传输至所有被监测的宿主机,以使所有宿主机根据该威胁情报防御所有容器风险。也就是说,将单独一个容器的风险信息及时分享至其他容器,从而提高容器风险的防御效率。其中,为了区分不同宿主机上的监控进程,可以为每个监控进程设置相应的唯一标识;为了区分同一宿主机上的不同容器,也可以为同一宿主机上的每个容器设置唯一标识码。
可见,本实施例提供了一种容器风险的防御方法,所述方法在获取到容器的风险信息时,解析风险信息,并获取与风险信息对应的防御策略;进而将根据风险信息和防御策略生成的威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报为本容器以及其他容器提供防御机制,从而可以为容器提供良好的运行环境,及时反馈容器风险信息。其中,由于威胁情报中包含相应的防御策略,因此当其他容器遭受到同样的风险或即将遭受到同样的风险时,可以及时利用威胁情报中的防御策略进行修复或防御,从而提高了容器风险的修复和防御效率,也可保障宿主机上正常业务的运行,提高整个网络的安全性。
本发明实施例公开了另一种容器风险的防御方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。
参见图2,本发明实施例提供的另一种容器风险的防御方法,包括:
S201、获取目标容器的风险信息;
S202、判断预设的策略数据表中是否存在与风险信息对应的防御策略;若是,则执行S203;若否,则执行S206;
S203、解析风险信息,并从策略数据表中获取与风险信息对应的防御策略,并执行S204;
S204、根据风险信息和防御策略生成威胁情报;
S205、将威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报防御容器风险;
S206、将风险信息传输至预设的管理端并进行可视化展示。
在本实施例中,为了进一步提高容器风险的防御效率,可以将不同风险信息对应的防御策略预先存储至策略数据表,当获取到风险信息时,可直接从策略数据表中获取与风险信息对应的防御策略。具体的,可以为每个类型的风险信息以及其对应的防御策略设置相同的标识信息,例如:为某风险信息设置标识为Ai,那么与Ai对应的防御策略的标识信息可以为Aij。考虑到一种风险信息的修复方法可以为多种,因此用j表示与Ai对应的不同防御策略。
当策略数据表中不存在与当前风险信息对应的防御策略时,那么此风险信息可能为新型攻击手段或变异病毒,因此可以将风险信息传输至预设的管理端并进行可视化展示,以便技术人员查看并评估风险信息,提供相应的修复和防御策略。
可见,本实施例提供了另一种容器风险的防御方法,所述方法在获取到容器的风险信息时,判断预设的策略数据表中是否存在与风险信息对应的防御策略;当存在时,解析风险信息,并获取与风险信息对应的防御策略;进而将根据风险信息和防御策略生成的威胁情报传输至被监测宿主机,以使被监测宿主机根据威胁情报为本容器以及其他容器提供防御机制,从而可以为容器提供良好的运行环境,及时反馈容器风险信息;当不存在时,将风险信息传输至预设的管理端并进行可视化展示,以便技术人员查看并评估风险信息,提供相应的修复和防御策略。其中,由于威胁情报中包含相应的防御策略,因此当其他容器遭受到同样的风险或即将遭受到同样的风险时,可以及时利用威胁情报中的防御策略进行修复或防御,从而提高了容器风险的修复和防御效率,也可保障宿主机上正常业务的运行,提高整个网络的安全性。
基于上述任意实施例,需要说明的是,所述获取目标容器的风险信息,包括:
利用代理进程监测所述目标容器,并获取所述目标容器的风险信息。其中,所述代理进程按照CIS监测规范进行监测。
其中,CIS监测规范是由Docker公司和美国互联网安全中心(CIS)共同制定的容器最佳安全实践,其中包括了主机安全配置、容器守护进程配置、容器守护程序配置文件、容器镜像和构建、容器运行安全、容器安全操作六大项和99个控制点。几乎覆盖了容器安全要求的各个方面。而代理进程则按照按照CIS监测规范规定的安全实践标准检测容器是否存在风险。
具体的,代理进程可以实时监测目标容器,当然也可以通过一个代理进程实时监测整个宿主机上的所有容器。监测的具体过程为:
代理进程扫描容器环境设定参数,解析容器镜像内容,分析镜像里应用的容器版本号和风险信息;当需要获取风险信息时,调用宿主机***函数,并通过相应的端口实现数据交互。
需要说明的是,可以监测的容器风险信息包括但不限于下述所列内容。监测的容器风险信息可以为:
(1)Cgroups(linux用户组目录)配置信息是否安全;
(2)Capability(宿主机权限)设置是否安全;
(3)Apparmor(linux应用防护程序)是否正确配置;
(4)检查容器版本,旧版本存在安全风险大;
(5)监测容器启动参数,启动参数是否限制CPU、内存、设备IO,是否挂载文件目录,目录只读还是可写;
(6)监测容器的资源占用情况;
(7)监测容器配置文件是否配置安全;
(8)监测容器进程是否启用用户命名空间支持;
(9)监测容器是否使用未授权插件;
(10)监测容器是否配置远程登录;
(11)验证容器配置文件是否被设置为管理员权限;
(12)监测是否限制容器获取额外的权限;
(13)监测容器内部应用漏洞;
(14)监测容器互相端口访问情况。
基于上述任意实施例,需要说明的是,还包括:
获取用户输入的目标风险信息,以及与所述目标风险信息对应的目标防御策略;
根据所述目标风险信息和所述目标防御策略生成目标威胁情报;
将所述目标威胁情报传输至所述监测宿主机,以使所述被监测宿主机根据所述目标威胁情报防御容器风险。
具体的,还可以通过上述步骤人工添加风险信息和相应的防御策略,以提高容器风险防御的全面性。
基于上述任意实施例,需要说明的是,依据本说明书提供的容器风险的防御方法,可以按照下述方式进行实施。
在宿主机上安装代理进程,其过程为:上传docker-agent.tar.gz到宿主机***root下,解压安装包,并执行安装脚本install.sh,安装自动注册到数据中心,即建立宿主机与数据中心之间的通信连接;数据中心依据本发明提供的方法进行部署规划,并按照SaaS提供服务;其中,每个宿主机与数据中心建立加密通信通道,数据中心实时监控各个宿主机上的容器运行情况。其中,SaaS(Software-as-a-Service)为软件即服务。
下面对本发明实施例提供的一种容器风险的防御装置进行介绍,下文描述的一种容器风险的防御装置与上文描述的一种容器风险的防御方法可以相互参照。
参见图3,本发明实施例提供的一种容器风险的防御装置,包括:
获取模块301,用于获取目标容器的风险信息;
执行模块302,用于解析所述风险信息,并获取与所述风险信息对应的防御策略;
生成模块303,用于根据所述风险信息和所述防御策略生成威胁情报;
传输模块304,用于将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险。
其中,所述获取模块具体用于:
利用代理进程监测所述目标容器,并获取所述目标容器的风险信息,所述代理进程按照CIS监测规范进行监测。
其中,所述执行模块具体用于:
解析所述风险信息,并从预设的策略数据表中获取与所述风险信息对应的防御策略。
其中,还包括:
展示模块,用于将所述风险信息传输至预设的管理端并进行可视化展示。
其中,还包括:
输入模块,用于获取用户输入的目标风险信息,以及与所述目标风险信息对应的目标防御策略;
目标生成模块,用于根据所述目标风险信息和所述目标防御策略生成目标威胁情报;
防御模块,用于将所述目标威胁情报传输至所述监测宿主机,以使所述被监测宿主机根据所述目标威胁情报防御容器风险。
可见,本实施例提供了一种容器风险的防御装置,包括:获取模块、执行模块、生成模块以及传输模块。首先由获取模块获取目标容器的风险信息;然后执行模块解析所述风险信息,并获取与所述风险信息对应的防御策略;进而生成模块根据所述风险信息和所述防御策略生成威胁情报;最后传输模块将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险。如此各个模块之间分工合作,各司其职,从而提高了容器风险的修复和防御效率,也可保障宿主机上正常业务的运行,提高整个网络的安全性。
下面对本发明实施例提供的一种容器风险的防御设备进行介绍,下文描述的一种容器风险的防御设备与上文描述的一种容器风险的防御方法及装置可以相互参照。
参见图4,本发明实施例提供的一种容器风险的防御设备,包括:
存储器401,用于存储计算机程序;
处理器402,用于执行所述计算机程序时实现上述任意实施例所述的容器风险的防御方法的步骤。
下面对本发明实施例提供的一种可读存储介质进行介绍,下文描述的一种可读存储介质与上文描述的一种容器风险的防御方法、装置及设备可以相互参照。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意实施例所述的容器风险的防御方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种容器风险的防御方法,其特征在于,包括:
获取目标容器的风险信息;
解析所述风险信息,并获取与所述风险信息对应的防御策略;
根据所述风险信息和所述防御策略生成威胁情报;所述威胁情报中既包含具体的、真实发生的风险信息,又包含所述风险信息对应的修复和防御方法,以及所述风险信息危害的范围、修复风险需要的时长;
将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险;
其中,所述获取目标容器的风险信息,包括:
利用代理进程监测所述目标容器,并获取所述目标容器的风险信息,所述代理进程按照CIS监测规范进行监测;
其中,所述风险信息包括:Cgroups配置信息是否安全;Capability设置是否安全;Apparmor是否正确配置;检查容器版本,旧版本存在安全风险大;监测容器启动参数,启动参数是否限制CPU、内存、设备IO,是否挂载文件目录,目录只读还是可写;监测容器的资源占用情况;监测容器配置文件是否配置安全;监测容器进程是否启用用户命名空间支持;监测容器是否使用未授权插件;监测容器是否配置远程登录;验证容器配置文件是否被设置为管理员权限;监测是否限制容器获取额外的权限;监测容器内部应用漏洞;监测容器互相端口访问情况。
2.根据权利要求1所述的容器风险的防御方法,其特征在于,所述解析所述风险信息,并获取与所述风险信息对应的防御策略,包括:
解析所述风险信息,并从预设的策略数据表中获取与所述风险信息对应的防御策略。
3.根据权利要求2所述的容器风险的防御方法,其特征在于,当所述策略数据表中不存在与所述风险信息对应的防御策略时,还包括:
将所述风险信息传输至预设的管理端并进行可视化展示。
4.根据权利要求1-3任意一项所述的容器风险的防御方法,其特征在于,还包括:
获取用户输入的目标风险信息,以及与所述目标风险信息对应的目标防御策略;
根据所述目标风险信息和所述目标防御策略生成目标威胁情报;
将所述目标威胁情报传输至所述监测宿主机,以使所述被监测宿主机根据所述目标威胁情报防御容器风险。
5.一种容器风险的防御装置,其特征在于,包括:
获取模块,用于获取目标容器的风险信息;
执行模块,用于解析所述风险信息,并获取与所述风险信息对应的防御策略;
生成模块,用于根据所述风险信息和所述防御策略生成威胁情报;所述威胁情报中既包含具体的、真实发生的风险信息,又包含所述风险信息对应的修复和防御方法,以及所述风险信息危害的范围、修复风险需要的时长;
传输模块,用于将所述威胁情报传输至被监测宿主机,以使所述被监测宿主机根据所述威胁情报防御容器风险;
其中,所述获取模块具体用于:
利用代理进程监测所述目标容器,并获取所述目标容器的风险信息,所述代理进程按照CIS监测规范进行监测;
其中,所述风险信息包括:Cgroups配置信息是否安全;Capability设置是否安全;Apparmor是否正确配置;检查容器版本,旧版本存在安全风险大;监测容器启动参数,启动参数是否限制CPU、内存、设备IO,是否挂载文件目录,目录只读还是可写;监测容器的资源占用情况;监测容器配置文件是否配置安全;监测容器进程是否启用用户命名空间支持;监测容器是否使用未授权插件;监测容器是否配置远程登录;验证容器配置文件是否被设置为管理员权限;监测是否限制容器获取额外的权限;监测容器内部应用漏洞;监测容器互相端口访问情况。
6.一种容器风险的防御设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-4任意一项所述的容器风险的防御方法的步骤。
7.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4任意一项所述的容器风险的防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811020565.0A CN109241730B (zh) | 2018-09-03 | 2018-09-03 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811020565.0A CN109241730B (zh) | 2018-09-03 | 2018-09-03 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109241730A CN109241730A (zh) | 2019-01-18 |
| CN109241730B true CN109241730B (zh) | 2020-09-29 |
Family
ID=65060483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811020565.0A Active CN109241730B (zh) | 2018-09-03 | 2018-09-03 | 一种容器风险的防御方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109241730B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110362382A (zh) * | 2019-06-24 | 2019-10-22 | 湖南麒麟信安科技有限公司 | 一种容器安全隔离方法、***及介质 |
| CN112613042A (zh) * | 2020-12-28 | 2021-04-06 | 北京浪潮数据技术有限公司 | 一种Docker容器的安全检查与修复工具、方法及设备 |
| CN114531297A (zh) * | 2022-03-08 | 2022-05-24 | 四川中电启明星信息技术有限公司 | 一种面向边缘计算的容器安全风险评估方法 |
| EP4250154A1 (de) * | 2022-03-25 | 2023-09-27 | Siemens Aktiengesellschaft | Verfahren zum sicheren betrieb einer softwarekomponente |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107870804A (zh) * | 2017-11-03 | 2018-04-03 | 郑州云海信息技术有限公司 | 一种基于ssr的docker容器安全防护方法 |
| CN108171050A (zh) * | 2017-12-29 | 2018-06-15 | 浙江大学 | Linux容器的细粒度沙盒策略挖掘方法 |
| CN108471420A (zh) * | 2018-03-29 | 2018-08-31 | 上交所技术有限责任公司 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010030703A1 (en) * | 2008-09-09 | 2010-03-18 | Kace Networks, Inc. | Deployment and management of virtual containers |
| US10664590B2 (en) * | 2015-10-01 | 2020-05-26 | Twistlock, Ltd. | Filesystem action profiling of containers and security enforcement |
| CN106991321B (zh) * | 2017-04-18 | 2020-11-03 | 北京元心科技有限公司 | 多容器***中无痕运行应用程序的方法及装置 |
-
2018
- 2018-09-03 CN CN201811020565.0A patent/CN109241730B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107870804A (zh) * | 2017-11-03 | 2018-04-03 | 郑州云海信息技术有限公司 | 一种基于ssr的docker容器安全防护方法 |
| CN108171050A (zh) * | 2017-12-29 | 2018-06-15 | 浙江大学 | Linux容器的细粒度沙盒策略挖掘方法 |
| CN108471420A (zh) * | 2018-03-29 | 2018-08-31 | 上交所技术有限责任公司 | 基于网络模式识别和匹配的容器安全防御方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109241730A (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109241730B (zh) | 一种容器风险的防御方法、装置、设备及可读存储介质 | |
| US10091220B2 (en) | Platform for protecting small and medium enterprises from cyber security threats | |
| US10528745B2 (en) | Method and system for identification of security vulnerabilities | |
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| CN112702300B (zh) | 一种安全漏洞的防御方法和设备 | |
| US11022949B2 (en) | PLC virtual patching and automated distribution of security context | |
| US20140201843A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
| CN111651754B (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
| CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| US20190109824A1 (en) | Rule enforcement in a network | |
| CN112787985B (zh) | 一种漏洞的处理方法、管理设备以及网关设备 | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| KR20200011702A (ko) | 보안관제체계 진단장치 및 보안관제체계 진단방법 | |
| CN114861168A (zh) | 一种防逃逸的攻击行为欺骗蜜罐构建方法 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| CN114329444A (zh) | ***安全提升方法及装置 | |
| CN114629686A (zh) | 一种漏洞攻击检测方法及装置 | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、***、装置及存储介质 | |
| CN112422501A (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
| CN112564982A (zh) | 安全风险自动通报方法及*** | |
| CN111010391A (zh) | 一种漏洞修复方法、装置及其相关设备 | |
| CN111259389A (zh) | 操作***防护方法、装置及存储介质 | |
| CN105825124A (zh) | 一种服务器非法操作的监测方法和监测*** | |
| CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |