CN113221103B - 一种容器安全防护方法、***及介质 - Google Patents
一种容器安全防护方法、***及介质 Download PDFInfo
- Publication number
- CN113221103B CN113221103B CN202110501670.1A CN202110501670A CN113221103B CN 113221103 B CN113221103 B CN 113221103B CN 202110501670 A CN202110501670 A CN 202110501670A CN 113221103 B CN113221103 B CN 113221103B
- Authority
- CN
- China
- Prior art keywords
- container
- starting
- detection
- privilege
- user information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种容器安全防护方法、***及介质,所述容器安全防护方法包括以下步骤:配置第一启动参数和特权检测程序,配置第一用户信息集和提权检测程序;获取对于容器的启动指令,基于启动指令、第一启动参数和特权检测程序执行特权逃逸检测操作,得到第一检测结果,基于第一检测结果控制容器的启动;获取容器的启动状态,基于启动状态、第一用户信息集和提权检测程序执行提权逃逸检测操作,得到第二检测结果,基于第二检测结果控制容器的请求;本发明能够在容器共享操作***内核的情况下,设置对于容器中多种权限状态的容器防护措施,有效防止了对于容器的恶意入侵和多种入侵逃逸行为,极大的提高了容器了安全性,减少了安全隐患。
Description
技术领域
本发明涉及云平台安全维护技术领域,特别是涉及一种容器安全防护方法、***及介质。
背景技术
随着科技的快速发展,云平台被大多服务器所应用,目前云平台的搭建为了考虑轻便的配置方式,经常以容器作为底层的技术支撑,而容器本身的架构设计,使其不具有自身的操作***内核,且会与服务器中的用户文件管理层产生连接;这将使容器的操作环境与服务器的操作***内核相关联,故从***安全的角度考虑,该平台下搭建的所有容器均对于服务器的操作***内核呈共享状态,而对于上述容器和服务器***的安全防护措施只有对于所述用户文件管理层的访问权限,这种方法保护面单一,安全性极低,同时会产生很大的安全隐患。
发明内容
本发明主要解决的是现有容器防护方法保护面单一,安全性极低,安全隐患较大的问题。
为解决上述技术问题,本发明采用的一个技术方案是:提供一种容器安全防护方法,包括以下步骤:
配置第一启动参数和特权检测程序,配置第一用户信息集和提权检测程序;
获取对于容器的启动指令,基于所述启动指令、所述第一启动参数和所述特权检测程序执行特权逃逸检测操作,得到第一检测结果,基于所述第一检测结果控制所述容器的启动;
获取所述容器的启动状态,基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作,得到第二检测结果,基于所述第二检测结果控制所述容器的请求。
作为一种改进的方案,所述配置第一用户信息集的步骤进一步包括:
访问开源知识库,获取所述开源知识库中与所述容器对应的威胁信息,提取所述威胁信息所对应的第一威胁用户信息;
访问所述容器的日志文件,获取所述日志文件中的入侵信息,提取所述入侵信息所对应的第一入侵用户信息;
整合所述第一威胁用户信息和所述第一入侵用户信息,得到所述第一用户信息集。
作为一种改进的方案,所述特权逃逸检测操作包括:
调用所述特权检测程序访问所述容器的镜像文件,判断所述镜像文件中是否含有与所述第一启动参数所对应的启动数据;
若含有,则输出所述第一检测结果为容器启动项配置异常;
若未含有,则调用所述特权检测程序访问所述容器的启动项参数,基于所述启动项参数和所述第一启动参数执行后备检测操作。
作为一种改进的方案,所述后备检测操作包括:
比对所述启动项参数中是否含有与所述第一启动参数匹配的参数;
若含有,则输出所述第一检测结果为所述容器启动项配置异常;
若未含有,则输出所述第一检测结果为容器启动项配置正常。
作为一种改进的方案,所述基于所述第一检测结果控制所述容器的启动的步骤进一步包括:
当所述第一检测结果为所述容器启动项配置异常时,停止所述容器的启动;
当所述第一检测结果为所述容器启动项配置正常时,继续所述容器的启动。
作为一种改进的方案,所述基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作的步骤进一步包括:
当所述启动状态为所述容器被触发启动时,基于所述第一用户信息集和所述提权检测程序执行所述提权逃逸检测操作。
作为一种改进的方案,所述提权逃逸检测操作包括:
调用所述提权检测程序获取所述容器对于操作***目录的访问请求,并识别所述访问请求所对应的第二用户信息;
判断所述第二用户信息中是否存在与所述第一威胁用户信息或所述第一入侵用户信息对应的用户信息;
若存在,则输出所述第二检测结果为操作用户异常;若不存在,则输出所述第二检测结果为操作用户正常。
作为一种改进的方案,所述基于所述第二检测结果控制所述容器的请求的步骤进一步包括:
当所述第二检测结果为所述操作用户异常时,驳回所述访问请求;
当所述第二检测结果为所述操作用户正常时,允许所述访问请求。
本发明还提供一种容器安全防护***,包括:
初始化模块、特权检测模块和提权检测模块;
所述初始化模块用于配置第一启动参数和特权检测程序,并配置第一用户信息集和提权检测程序;
所述特权检测模块用于获取对于容器的启动指令,并基于所述启动指令、所述第一启动参数和所述特权检测程序执行特权逃逸检测操作,得到第一检测结果,所述特权检测模块基于所述第一检测结果控制所述容器的启动;
所述提权检测模块用于获取所述容器的启动状态,并基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作,得到第二检测结果,所述提权检测模块基于所述第二检测结果控制所述容器的请求。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述容器安全防护方法的步骤。
本发明的有益效果是:
1、本发明所述的容器安全防护方法,可以实现在容器共享操作***内核的情况下,设置对于容器中多种权限状态的容器防护措施,对容器的启动前和启动后进行了全方位防护,有效防止了对于容器的恶意入侵和多种入侵逃逸行为,极大的提高了容器了安全性,减少了安全隐患,弥补了现有技术的不足。
2、本发明所述的容器安全防护***,可以通过初始化模块、特权检测模块和提权检测模块的相互配合,进而实现在容器共享操作***内核的情况下,设置对于容器中多种权限状态的容器防护措施,对容器的启动前和启动后进行了全方位防护,有效防止了对于容器的恶意入侵和多种入侵逃逸行为,极大的提高了容器了安全性,减少了安全隐患,弥补了现有技术的不足。
3、本发明所述的计算机可读存储介质,可以实现引导初始化模块、特权检测模块和提权检测模块进行配合,进而实现在容器共享操作***内核的情况下,设置对于容器中多种权限状态的容器防护措施,对容器的启动前和启动后进行了全方位防护,有效防止了对于容器的恶意入侵和多种入侵逃逸行为,极大的提高了容器了安全性,减少了安全隐患,弥补了现有技术的不足,且有效的提升了所述容器安全防护方法的可操作性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1所述容器安全防护方法的流程图;
图2是本发明实施例1所述容器安全防护方法的具体流程示意图;
图3是本发明实施例1所述现有技术中容器所在服务器的底层架构图;
图4是本发明实施例2所述容器安全防护***的架构图。
具体实施方式
下面结合附图对本发明的较佳实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
在本发明的描述中,需要说明的是,本发明所描述的实施例是本发明一部分实施例,而不是全部的实施例;基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“启动参数”、“特权检测程序”、“启动时间点”、“特权逃逸检测操作”、“用户信息集”、“提权检测程序”、“启动状态”、“提权逃逸检测操作”、“配置时间段”、“镜像文件”、“启动数据”、“后备检测操作”、“开源知识库”、“威胁信息”、“威胁用户信息”、“入侵信息”、“入侵用户信息”、“操作***目录”、“特权检测模块”、“提权检测模块”、“初始化模块”应做广义理解。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是:
IP是身份地址;ID是身份识别码;CIS是开源知识库;Java是一种编程语言;Linux是一种操作***;kernel是实时操作***;python是一种编程语言;KVM/vmware/Xen是一种虚拟机技术。
实施例1
本实施例提供一种容器安全防护方法,如图1至图3所示,包括以下步骤:
首先,需要说明的是,本实施例所描述的方法应用于Linux***中,对于Linux***中云平台的搭建有两种方法,一种是通过传统的虚拟化技术:KVM/vmware/Xen模拟物理设备,进而搭建独立的运行环境;另一种是通过容器技术作为底层技术,搭建相对独立的运行环境;该相对独立的运行环境较传统技术搭建的运行环境安全性较差,主要原因是容器虽然达到了轻便敏捷的特性,但容器一般为多个,且与服务器中主操作***内核层kernel相关联,唯一的安全防线是其与用户文件管理层的隔离权限,防护手段较为单一;对应的,一旦任一容器上出现入侵病毒或突破了隔离权限,则可以直接对操作***内核进行访问,一旦篡改了kernel内容,则整个***、服务器和容器都会受到极大的影响;对应的,考虑到该隔离权限的突破主要有两种方式:特权逃逸和提权逃逸,本实施例所描述的方法对于这两种逃逸方式进行了处理,针对上述问题进行了解决,步骤如下:
S100、配置第一启动参数和特权检测程序,配置第一用户信息集和提权检测程序;
步骤S100具体包括:
具体的,特权逃逸通常会在容器配置时进行操作,且通常为个人操作,其具体行为是在容器的镜像文件中设定独立且固话的特权启动参数,在配置后,对于用户文件管理层的访问权限不再默认,将可以使参数指定的访问程序对管理层进行访问;
具体的,故考虑在容器启动时对特权逃逸行为进行防护,故进行第一启动参数和特权检测程序的配置,具体的,第一启动参数为领域内对于底层容器技术通常会使用的特权配置参数,在本实施例中特权配置参数为privileged;特权检测程序为通过Java或python所编写的检测程序,该检测程序中配置有与上述第一启动参数对应的筛选判断逻辑;
具体的,提权逃逸行为一般为恶意程序进行主使操作,其具体操作为将原本容器的用户访问权限提升至可以对操作***内核进行操作的权限;例如改写runc容器逃逸或docker-cp容器逃逸等;
具体的,故考虑从源头对启动后容器中的提权逃逸行为进行杜绝,故需要在容器启动时就开启一道用户权限关卡;故配置第一用户信息集和提权检测程序;需要说明的是,提权检测程序包括但不限于检测程序、筛选程序或防护工具容器;提权检测程序分别配置于每个底层容器中;
具体的,访问开源机构的开源知识库,例如CIS等,该开源知识库中包含各个企业机构所上报的对于其虚拟云平台的威胁信息,故获取开源知识库中与该容器对应的威胁信息,提取该威胁信息中所对应的第一威胁用户信息;该第一威胁用户信息为该威胁信息所对应的主使用户的具体信息,包括ID、常用IP、域名等;
具体的,为了提高安全性,还需要访问容器的日志文件,并获取日志文件中的入侵信息,该入侵信息为容器内部对于之前的权限逃逸或恶意入侵操作的具体数据;提取入侵信息所对应的第一入侵用户信息;该第一入侵用户信息与第一威胁用户信息类似,同样为该入侵信息的主使用户的ID、常用IP、域名等;
具体的,得到上述信息后,整合该第一威胁用户信息和第一入侵用户信息,得到第一用户信息集,该第一用户信息集为对应的访问黑名单,对应的使用该黑名单对允许访问的用户进行筛选,便实现了白名单用户筛选逻辑,对应的该白名单用户筛选逻辑存在于提权检测程序中。
S200、获取对于容器的启动指令,基于所述启动指令、所述第一启动参数和所述特权检测程序执行特权逃逸检测操作,得到第一检测结果,基于所述第一检测结果控制所述容器的启动。
步骤S200具体包括:
S210、通常情况下,容器为了本身的防护安全,不会进行特权的配置,一般为人为操作,且属于异常操作,故需要在容器启动前,进行对应的防护措施:当收到启动指令时,基于第一启动参数和特权检测程序执行特权逃逸检测操作;
S220、特权逃逸检测操作包括:调用特权检测程序访问容器的镜像文件,该检测程序判断镜像文件中是否含有与第一启动参数所对应的启动数据;若含有,则判断容器中含有特权配置逻辑,故输出第一检测结果为容器启动项配置异常;若未含有,则考虑到特权配置在启动项中进行了深层嵌入,故调用特权检测程序访问容器的启动项参数,并基于启动项参数和第一启动参数执行后备检测操作;
S221、后备检测操作包括:比对启动项参数中是否含有与第一启动参数匹配的参数;对应的,在本实施例中,若检测到启动项参数中含有privil eged,则判断启动项参数中含有与第一启动参数匹配的参数;若含有,则输出第一检测结果为容器启动项配置异常;若未含有,则输出第一检测结果为容器启动项配置正常;
S230、当第一检测结果为容器启动项配置异常时,判断容器存在安全隐患,返回容器异常状态,操作***会根据该状态返回信息,终止容器的一切启动过程;
S240、当第一检测结果为容器启动项配置正常时,判断容器不存在安全隐患,返回容器正常状态,操作***会根据该状态返回信息,继续所述容器的启动过程;
通过此步骤,对于特权逃逸行为进行了深层次的检测,输出了对应的检测结果,并根据检测结果执行对应的防护措施。
S300、获取所述容器的启动状态,基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作,得到第二检测结果,基于所述第二检测结果控制所述容器的请求;
步骤S300具体包括:
S310、为了防止一些高性能的逃逸程序或恶意程序,故当启动状态为容器被触发启动时,即容器刚刚被启动时,基于第一用户信息集和提权检测程序执行提权逃逸检测操作;
S320、对应的,提权逃逸检测操作包括:因底层的访问逻辑为,容器启动时,一些需要操作的用户会首先请求连接到操作***目录;
S321、故调用提权检测程序访问容器对于操作***目录的访问请求,并识别访问请求所对应的第二用户信息;需要说明的是,该第二用户信息为对操作***目录请求访问的用户信息;
S322、判断第二用户信息中是否存在与第一威胁用户信息或第一入侵用户信息对应的用户信息;只要存在任意一个与第一威胁用户信息或第一入侵用户信息对应的用户信息,则判断有用户入侵或产生安全威胁;
S323、若存在,则输出第二检测结果为操作用户异常,此时判断该访问请求是存在安全隐患的,驳回该访问请求;
S324、若不存在,则输出第二检测结果为操作用户正常,并给予该访问请求访问许可,此时该访问请求所对应的容器可以对***目录进行操作;
对应的,若容器保持继续运行时,可以将被给予访问许可的访问请求所对应的用户信息收集,生成对应的白名单权限文件,并不断更新。
通过本步骤,可以对提权逃逸行为进行深层次的检测,同样输出对应的检测结果,并根据检测结果做出了应对措施。
通过本实施例所描述的容器安全防护方法,可以弥补现有容器技术中对于两种逃逸行为的安全防护缺失,进一步提高了容器的安全性,降低了服务器运行过程中的安全风险,提高了产品的竞争力。
实施例2
本实施例提供一种容器安全防护***,如图4所示,包括:初始化模块、特权检测模块和提权检测模块;
所述的容器安全防护***中,初始化模块用于配置第一启动参数和特权检测程序,并配置第一用户信息集和提权检测程序;
具体的,初始化模块访问开源机构的开源知识库,初始化模块获取开源知识库中与该容器对应的威胁信息,提取该威胁信息中所对应的第一威胁用户信息;
具体的,为了提高安全性,初始化模块访问容器的日志文件,并获取日志文件中的入侵信息,该入侵信息为容器内部对于之前的权限逃逸或恶意入侵操作的具体数据;初始化模块提取入侵信息所对应的第一入侵用户信息;
具体的,得到上述信息后,初始化模块整合该第一威胁用户信息和第一入侵用户信息,得到第一用户信息集。
所述的容器安全防护***中,特权检测模块用于获取对于容器的启动指令,并基于所述启动指令、所述第一启动参数和所述特权检测程序执行特权逃逸检测操作,得到第一检测结果,所述特权检测模块基于所述第一检测结果控制所述容器的启动;
具体的,当收到启动指令时,特权检测模块基于第一启动参数和特权检测程序执行特权逃逸检测操作;
具体的,特权逃逸检测操作包括:特权检测模块调用特权检测程序访问容器的镜像文件,特权检测模块调用该检测程序判断镜像文件中是否含有与第一启动参数所对应的启动数据;若含有,则特权检测模块判断容器中含有特权配置逻辑,特权检测模块输出第一检测结果为容器启动项配置异常;若未含有,则特权检测模块调用特权检测程序访问容器的启动项参数,并基于启动项参数和第一启动参数执行后备检测操作;
具体的,后备检测操作包括:特权检测模块比对启动项参数中是否含有与第一启动参数匹配的参数;若含有,则特权检测模块设定第一检测结果为容器启动项配置异常;若未含有,则特权检测模块设定第一检测结果为容器启动项配置正常;当第一检测结果为容器启动项配置异常时,特权检测模块判断容器存在安全隐患,返回容器异常状态,操作***会根据该状态返回信息,终止容器的一切启动过程;当第一检测结果为容器启动项配置正常时,特权检测模块判断容器不存在安全隐患,返回容器正常状态,操作***会根据该状态返回信息,继续所述容器的启动过程。
所述的容器安全防护***中,提权检测模块用于获取所述容器的启动状态,并基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作,得到第二检测结果,所述提权检测模块基于所述第二检测结果控制所述容器的请求。
具体的,当启动状态为容器被触发启动时,即容器刚刚被启动时,提权检测模块基于第一用户信息集和提权检测程序执行提权逃逸检测操作;
具体的,提权逃逸检测操作包括:提权检测模块调用提权检测程序访问容器对于操作***目录的访问请求,并识别访问请求所对应的第二用户信息;
具体的,提权检测模块判断第二用户信息中是否存在与第一威胁用户信息或第一入侵用户信息对应的用户信息;只要存在任意一个与第一威胁用户信息或第一入侵用户信息对应的用户信息,则提权检测模块判断有用户入侵或产生安全威胁;
具体的,若存在,则提权检测模块设定第二检测结果为操作用户异常,此时提权检测模块判断该访问请求是存在安全隐患的,提权检测模块驳回该访问请求;若不存在,则提权检测模块设定第二检测结果为操作用户正常,并给予该访问请求访问许可,此时该访问请求所对应的容器可以对***目录进行操作。
通过本实施例所描述的容器安全防护***,可以通过各个模块的相互配合,对现有容器技术中对于两种逃逸行为的安全防护缺失进行弥补,进一步提高了容器的安全性,降低了服务器运行过程中的安全风险,提高了产品的竞争力。
实施例3
本实施例提供一种计算机可读存储介质,包括:
所述存储介质用于储存将上述实施例1所述的容器安全防护方法实现所用的计算机软件指令,其包含用于执行上述为所述容器安全防护方法所设置的程序;具体的,该可执行程序可以内置在实施例2所述的容器安全防护***中,这样,容器安全防护***就可以通过执行内置的可执行程序实现所述实施例1所述的容器安全防护方法。
此外,本实施例具有的计算机可读存储介质可以采用一个或多个可读存储介质的任意组合,其中,可读存储介质包括电、光、电磁、红外线或半导体的***、装置或器件,或者以上任意组合。
区别于现有技术,采用本申请一种容器安全防护方法、***及介质可以通过本方法在容器共享操作***内核的情况下,设置对于容器中多种权限状态的容器防护措施,有效防止了对于容器的恶意入侵和多种入侵逃逸行为,通过本***为本方法提供了有效的技术支撑,最终极大的提高了容器了安全性,减少了安全隐患,弥补了现有技术的不足。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种容器安全防护方法,其特征在于,包括以下步骤:
配置第一启动参数和特权检测程序,配置第一用户信息集和提权检测程序;
获取对于容器的启动指令,基于所述启动指令、所述第一启动参数和所述特权检测程序执行特权逃逸检测操作,得到第一检测结果,基于所述第一检测结果控制所述容器的启动;
获取所述容器的启动状态,基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作,得到第二检测结果,基于所述第二检测结果控制所述容器的请求;
所述第一启动参数为底层容器技术中的特权配置参数,所述特权配置参数为privileged;
所述配置第一用户信息集的步骤进一步包括:
访问开源知识库,获取所述开源知识库中与所述容器对应的威胁信息,提取所述威胁信息所对应的第一威胁用户信息;访问所述容器的日志文件,获取所述日志文件中的入侵信息,提取所述入侵信息所对应的第一入侵用户信息;整合所述第一威胁用户信息和所述第一入侵用户信息,得到所述第一用户信息集;
所述特权逃逸检测操作包括:
调用所述特权检测程序访问所述容器的镜像文件,判断所述镜像文件中是否含有与所述第一启动参数所对应的启动数据;若含有,则输出所述第一检测结果为容器启动项配置异常;若未含有,则调用所述特权检测程序访问所述容器的启动项参数,基于所述启动项参数和所述第一启动参数执行后备检测操作;
所述基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作的步骤进一步包括:
当所述启动状态为所述容器被触发启动时,基于所述第一用户信息集和所述提权检测程序执行所述提权逃逸检测操作;
所述提权逃逸检测操作包括:
调用所述提权检测程序获取所述容器对于操作***目录的访问请求,并识别所述访问请求所对应的第二用户信息;判断所述第二用户信息中是否存在与所述第一威胁用户信息或所述第一入侵用户信息对应的用户信息;若存在,则输出所述第二检测结果为操作用户异常;若不存在,则输出所述第二检测结果为操作用户正常。
2.根据权利要求1所述的容器安全防护方法,其特征在于,所述后备检测操作包括:
比对所述启动项参数中是否含有与所述第一启动参数匹配的参数;
若含有,则输出所述第一检测结果为所述容器启动项配置异常;
若未含有,则输出所述第一检测结果为容器启动项配置正常。
3.根据权利要求2所述的容器安全防护方法,其特征在于,所述基于所述第一检测结果控制所述容器的启动的步骤进一步包括:
当所述第一检测结果为所述容器启动项配置异常时,停止所述容器的启动;
当所述第一检测结果为所述容器启动项配置正常时,继续所述容器的启动。
4.根据权利要求1所述的容器安全防护方法,其特征在于,所述基于所述第二检测结果控制所述容器的请求的步骤进一步包括:
当所述第二检测结果为所述操作用户异常时,驳回所述访问请求;
当所述第二检测结果为所述操作用户正常时,允许所述访问请求。
5.基于权利要求1~4中任一项所述的容器安全防护方法的容器安全防护***,其特征在于,包括:初始化模块、特权检测模块和提权检测模块;
所述初始化模块用于配置第一启动参数和特权检测程序,并配置第一用户信息集和提权检测程序;
所述特权检测模块用于获取对于容器的启动指令,并基于所述启动指令、所述第一启动参数和所述特权检测程序执行特权逃逸检测操作,得到第一检测结果,所述特权检测模块基于所述第一检测结果控制所述容器的启动;
所述提权检测模块用于获取所述容器的启动状态,并基于所述启动状态、所述第一用户信息集和所述提权检测程序执行提权逃逸检测操作,得到第二检测结果,所述提权检测模块基于所述第二检测结果控制所述容器的请求。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1~4中任一项所述容器安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110501670.1A CN113221103B (zh) | 2021-05-08 | 2021-05-08 | 一种容器安全防护方法、***及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110501670.1A CN113221103B (zh) | 2021-05-08 | 2021-05-08 | 一种容器安全防护方法、***及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113221103A CN113221103A (zh) | 2021-08-06 |
| CN113221103B true CN113221103B (zh) | 2022-09-20 |
Family
ID=77094091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110501670.1A Active CN113221103B (zh) | 2021-05-08 | 2021-05-08 | 一种容器安全防护方法、***及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113221103B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116302298A (zh) * | 2021-12-07 | 2023-06-23 | 中兴通讯股份有限公司 | 容器运行方法、装置、电子设备和存储介质 |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
| CN105393255A (zh) * | 2013-07-05 | 2016-03-09 | 比特梵德知识产权管理有限公司 | 用于虚拟机中的恶意软件检测的过程评估 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒***及检测方法 |
| CN107864062A (zh) * | 2016-12-14 | 2018-03-30 | 中国电子科技网络信息安全有限公司 | 一种容器防火墙***部署方法 |
| CN108171050A (zh) * | 2017-12-29 | 2018-06-15 | 浙江大学 | Linux容器的细粒度沙盒策略挖掘方法 |
| CN109743199A (zh) * | 2018-12-25 | 2019-05-10 | 中国联合网络通信集团有限公司 | 基于微服务的容器化管理*** |
| WO2019174193A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、***及存储介质 |
| CN110784446A (zh) * | 2019-09-18 | 2020-02-11 | 平安科技(深圳)有限公司 | 基于用户权限的云资源获取方法、装置及计算机设备 |
| CN110851241A (zh) * | 2019-11-20 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | Docker容器环境的安全防护方法、装置及*** |
| CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
| CN111684418A (zh) * | 2018-03-01 | 2020-09-18 | 华睿泰科技有限责任公司 | 用于在多租户容器平台上运行应用程序的***和方法 |
| CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
| CN111783106A (zh) * | 2019-07-08 | 2020-10-16 | 谷歌有限责任公司 | 经由多层文件***状态检测文件***修改的***和方法 |
| CN111783090A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| CN111783087A (zh) * | 2020-06-02 | 2020-10-16 | Oppo广东移动通信有限公司 | 可执行文件恶意执行的检测方法及装置、终端、存储介质 |
| CN111881453A (zh) * | 2020-07-20 | 2020-11-03 | 北京百度网讯科技有限公司 | 一种容器逃逸检测方法、装置以及电子设备 |
| CN112395617A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备 |
| CN112464221A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 内存访问行为的监控方法及*** |
| US10963583B1 (en) * | 2020-06-04 | 2021-03-30 | Cyberark Software Ltd. | Automatic detection and protection against file system privilege escalation and manipulation vulnerabilities |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102017810B1 (ko) * | 2012-04-18 | 2019-10-21 | 짐페리엄 리미티드 | 모바일 기기용 침입방지장치 및 방법 |
| CN106560832A (zh) * | 2015-12-31 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种拦截Linux内核恶意进程提权的方法及*** |
| CN106778242B (zh) * | 2016-11-28 | 2020-10-16 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测方法及装置 |
| CN106982235B (zh) * | 2017-06-08 | 2021-01-26 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及*** |
| US10984098B2 (en) * | 2018-04-06 | 2021-04-20 | Palo Alto Networks, Inc. | Process privilege escalation protection in a computing environment |
-
2021
- 2021-05-08 CN CN202110501670.1A patent/CN113221103B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105393255A (zh) * | 2013-07-05 | 2016-03-09 | 比特梵德知识产权管理有限公司 | 用于虚拟机中的恶意软件检测的过程评估 |
| CN105069353A (zh) * | 2015-08-11 | 2015-11-18 | 武汉大学 | 一种基于Docker的可信容器安全加固方法 |
| CN107864062A (zh) * | 2016-12-14 | 2018-03-30 | 中国电子科技网络信息安全有限公司 | 一种容器防火墙***部署方法 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒***及检测方法 |
| CN108171050A (zh) * | 2017-12-29 | 2018-06-15 | 浙江大学 | Linux容器的细粒度沙盒策略挖掘方法 |
| CN111684418A (zh) * | 2018-03-01 | 2020-09-18 | 华睿泰科技有限责任公司 | 用于在多租户容器平台上运行应用程序的***和方法 |
| WO2019174193A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、***及存储介质 |
| CN109743199A (zh) * | 2018-12-25 | 2019-05-10 | 中国联合网络通信集团有限公司 | 基于微服务的容器化管理*** |
| CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
| CN111783106A (zh) * | 2019-07-08 | 2020-10-16 | 谷歌有限责任公司 | 经由多层文件***状态检测文件***修改的***和方法 |
| CN112395617A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 防护docker逃逸漏洞的方法、装置、存储介质及计算机设备 |
| CN112464221A (zh) * | 2019-09-09 | 2021-03-09 | 北京奇虎科技有限公司 | 内存访问行为的监控方法及*** |
| CN110784446A (zh) * | 2019-09-18 | 2020-02-11 | 平安科技(深圳)有限公司 | 基于用户权限的云资源获取方法、装置及计算机设备 |
| CN110851241A (zh) * | 2019-11-20 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | Docker容器环境的安全防护方法、装置及*** |
| CN111783087A (zh) * | 2020-06-02 | 2020-10-16 | Oppo广东移动通信有限公司 | 可执行文件恶意执行的检测方法及装置、终端、存储介质 |
| US10963583B1 (en) * | 2020-06-04 | 2021-03-30 | Cyberark Software Ltd. | Automatic detection and protection against file system privilege escalation and manipulation vulnerabilities |
| CN111783090A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
| CN111881453A (zh) * | 2020-07-20 | 2020-11-03 | 北京百度网讯科技有限公司 | 一种容器逃逸检测方法、装置以及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113221103A (zh) | 2021-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11663323B2 (en) | Process privilege escalation protection in a computing environment | |
| US8650578B1 (en) | System and method for intercepting process creation events | |
| CN102667794B (zh) | 用于保护操作***免于非授权修改的方法和*** | |
| KR102297133B1 (ko) | 비동기적 인트로스펙션 예외를 이용한 컴퓨터 보안 시스템들 및 방법들 | |
| KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
| CN102081722B (zh) | 一种保护指定应用程序的方法及装置 | |
| US20070113062A1 (en) | Bootable computer system circumventing compromised instructions | |
| US8397292B2 (en) | Method and device for online secure logging-on | |
| US20150248554A1 (en) | Systems And Methods For Executing Arbitrary Applications In Secure Environments | |
| US8413253B2 (en) | Protecting persistent secondary platform storage against attack from malicious or unauthorized programs | |
| US20160232347A1 (en) | Mitigating malware code injections using stack unwinding | |
| JP2010517164A (ja) | オペレーティングシステム資源の保護 | |
| CN107690645A (zh) | 使用解释器虚拟机的行为恶意软件检测 | |
| JP2012198927A (ja) | 保護エージェント及び特権モード | |
| CN110058921B (zh) | 客户虚拟机内存动态隔离和监控方法及*** | |
| CN104321748A (zh) | 用于捕捉轻量虚拟机管理器中的错误条件的方法、***和装置 | |
| US11416611B2 (en) | Countering malware detection evasion techniques | |
| CN113221103B (zh) | 一种容器安全防护方法、***及介质 | |
| CN112446029A (zh) | 可信计算平台 | |
| US20230289465A1 (en) | Data Protection Method and Apparatus, Storage Medium, and Computer Device | |
| CN109583206B (zh) | 监控应用程序的访问进程的方法、装置、设备及存储介质 | |
| KR101013419B1 (ko) | 시스템 보호 장치 및 방법 | |
| KR101207434B1 (ko) | 이종의 디지털 문서 보호 시스템 간의 충돌 방지 시스템 및 방법 | |
| US9858109B2 (en) | Module management in a protected kernel environment | |
| CN114329444A (zh) | ***安全提升方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |