CN117271054A - 一种容器内核故障处理方法、***、存储介质及电子设备 - Google Patents
一种容器内核故障处理方法、***、存储介质及电子设备 Download PDFInfo
- Publication number
- CN117271054A CN117271054A CN202311198337.3A CN202311198337A CN117271054A CN 117271054 A CN117271054 A CN 117271054A CN 202311198337 A CN202311198337 A CN 202311198337A CN 117271054 A CN117271054 A CN 117271054A
- Authority
- CN
- China
- Prior art keywords
- container
- abnormal
- kernel
- level
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 8
- 230000002159 abnormal effect Effects 0.000 claims abstract description 67
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000005856 abnormality Effects 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 24
- 238000002955 isolation Methods 0.000 claims description 20
- 238000012544 monitoring process Methods 0.000 claims description 7
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 6
- 230000006378 damage Effects 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 230000008439 repair process Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000000306 component Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种容器内核故障处理方法、***、存储介质及电子设备。其中,方法包括:在接收到容器内核异常信息时,对容器内核异常信息进行解析,获得容器所在集群的参数信息;根据参数信息确定容器级安全防护措施;根据容器级安全防护措施对容器应用部署状态进行修改;根据容器级安全防护措施对异常容器内核进行修复操作。本发明在容器内核异常时,通过对容器应用部署状态进行修改以及对异常容器内核进行修复,可以提高容器应用的可靠性。
Description
技术领域
本发明涉及容器内核故障处理技术领域,特别涉及一种容器内核故障处理方法、***、存储介质及电子设备。
背景技术
BPF(Berkeley Packet Filter,伯克利包过滤)最初是用于Linux***上的网络数据包过滤,后来在此基础上发展成一种扩展版本eBPF,可以在Linux内核中运行自定义的虚拟机程序,应用于处理更广泛的内核事件,例如网络、文件***、安全等方面。但是,在容器安全领域,现有eBPF工具仅对容器内部的***调用、文件***操作、网络通信等安全监控,在容器出现安全事故时只能依赖告警和人为介入而无法处理故障,容器应用的可靠性较低。
发明内容
本发明提供一种容器内核故障处理方法、***、存储介质及电子设备,可以提高容器应用的可靠性。
为实现上述目的,本发明提供如下技术方案:
本发明提供了一种容器内核故障处理方法,包括:
在接收到容器内核异常信息时,对所述容器内核异常信息进行解析,获得容器所在集群的参数信息;
根据所述参数信息确定容器级安全防护措施;
根据所述容器级安全防护措施对容器应用部署状态进行修改;
根据所述容器级安全防护措施对异常容器内核进行修复操作。
可选的,在对所述容器应用部署状态进行修改之后,所述方法,还包括:
获取故障事件等级;
根据所述故障事件等级确定对异常容器进行隔离处理或销毁处理;
其中,对所述异常容器进行隔离处理是对所述异常容器与正常容器进行区域划分,以使所述异常容器所在区域与所述正常容器所在区域不同。
可选的,所述根据所述容器级安全防护措施对异常容器内核进行修复操作,包括:
根据所述容器级安全防护措施,确定漏洞等级;
根据所述漏洞等级对异常容器内核进行修复操作。
可选的,所述参数信息包括表征事件类型和等级的异常码;
所述根据所述参数信息确定容器级安全防护措施,包括:
对所述参数信息进行合法性校验;
在校验成功的情况下,根据所述异常码从安全漏洞数据库中进行检索,获得与所述事件类型和等级匹配的容器级安全防护措施。
可选的,还包括:
对目标程序进行编译,得到程序对象文件;
在容器内部对所述程序对象文件进行加载,并监听容器内部的异常行为事件。
本发明还提供一种容器内核故障处理***,包括:
解析模块,用于在接收到容器内核异常信息时,对所述容器内核异常信息进行解析,获得容器所在集群的参数信息;
确定模块,用于根据所述参数信息确定容器级安全防护措施;
部署状态修改模块,用于根据所述容器级安全防护措施对容器应用部署状态进行修改;
修复模块,用于根据所述容器级安全防护措施对异常容器内核进行修复操作。
可选的,还包括:
等级获取模块,用于获取故障事件等级;
处理模块,用于根据所述故障事件等级确定对异常容器进行隔离处理或销毁处理;
其中,对所述异常容器进行隔离处理是对所述异常容器与正常容器进行区域划分,以使所述异常容器所在区域与所述正常容器所在区域不同。
可选的,所述修复模块,包括:
漏洞等级确定单元,用于根据所述容器级安全防护措施,确定漏洞等级;
修复单元,用于根据所述漏洞等级对异常容器内核进行修复操作。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有程序,所述程序被处理器执行时实现如上所述的容器内核故障处理方法。
本发明还提供一种电子设备,包括:
至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;
所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如上所述的容器内核故障处理方法。
由以上技术方案可以看出,本发明中公开了一种容器内核故障处理方法、***、存储介质及电子设备,在接收到容器内核异常信息时,对容器内核异常信息进行解析,获得容器所在集群的参数信息;根据参数信息确定容器级安全防护措施;根据容器级安全防护措施对容器应用部署状态进行修改;根据容器级安全防护措施对异常容器内核进行修复操作。本发明在容器内核异常时,通过对容器应用部署状态进行修改以及对异常容器内核进行修复,可以提高容器应用的可靠性。
当然,实施本发明的任一产品或方法必不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种容器内核故障处理方法流程图;
图2为本发明实施例提供的区域架构示意图;
图3为本发明实施例提供的一种容器内核故障处理***结构图;
图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种容器内核故障处理方法,如图1所示,该方法,包括:
步骤101:在接收到容器内核异常信息时,对容器内核异常信息进行解析,获得容器所在集群的参数信息。
本发明的容器内核故障处理方法应用于kubernetes集群工作节点端的容器内部。在对容器内核异常信息进行解析之前,可以先对目标程序进行编译,得到程序对象文件,然后在容器内部对程序对象文件进行加载,并监听容器内部的异常行为事件。其中,该目标程序为eBPF程序。
容器应用构建Docker镜像时将预先编写好的eBPF程序编译成eBPF对象文件,使其添加到静态的Docker镜像中;然后通过kubernetes的Init Containers在容器启动时通过一个shell命令在容器内部加载eBPF程序对象文件;在容器内部利用eBPF程序对容器进行安全控制,实时监听容器内部的异常行为事件。其中,异常行为事件包括但不限于网络攻击、***调用攻击。
本发明将eBPF程序打包到应用Docker镜像中,随应用同步启动进程,在应用侧探测容器内部的网络流量,一旦检测到恶意代码,可以通过驱逐应用方式来拦截异常,同时保护主机***环境不受到污染,提高eBPF程序对不同内核版本的可移植性、保障应用灾时正常能力。
当捕获到网络攻击和/或***调用攻击时,eBPF程序可以将内核异常事件和进程调用堆栈信息记录到容器日志中,并异步使用libcurl网络协议库向安全管控服务模块上报容器内核异常信息。该安全管控服务模块可以为kubernetes自定义控制器组件,安全管控服务模块部署在kubernetes集群外部,负责接收eBPF程序发送的容器内核异常信息。
安全管控服务模块在接收到容器内核异常信息时,对容器内核异常信息进行解析,获得容器所在集群的参数信息。该参数信息包括应用容器所在集群的namespaces(命名空间)、workload部署名称、异常码等。其中,异常码定义了事件类型和等级,命名空间和workload包含了应用容器在kubernetes部署状态和其相关元数据信息。
步骤102:根据参数信息确定容器级安全防护措施。
根据参数信息查询安全规则库,然后得到容器级安全防护措施。
其中,安全规则可以包括但不限于:
(1)匿名用户访问:分析网络流量提取请求中的IP地址、端口、协议等信息,确定是否来自非白名单上的授权用户或IP地址。
(2)凭据滥用:分析Kubenetes API Server中的请求检索token和用户的对应关系,判定是否合法预期操作。
(3)外部代码执行:在过滤函数中检查是否执行外部命令行为。
(4)有特权容器创建:根据当前namespaces进程检查是否有特权容器创建行为。
(5)漏洞利用行为:分析是否利用漏洞侵入行为。
作为一可选的实施方式,根据参数信息确定容器级安全防护措施,包括:
对参数信息进行合法性校验;
在校验成功的情况下,根据异常码从安全漏洞数据库中进行检索,获得与事件类型和等级匹配的容器级安全防护措施。
安全管控服务模块对应用容器所在集群的namespaces(命名空间)、workload部署名称、异常码等参数信息进行合法性校验,具体可以校验参数的合法性,如参数的数据类型、长度、格式、敏感字段和作用范围等。然后根据错误异常码使用SQL语句从安全漏洞数据库中检索,从而获得与事件类型和等级匹配的容器级安全防护措施。
步骤103:根据容器级安全防护措施对容器应用部署状态进行修改。
在对容器应用部署状态进行修改时,可以通过kube-config安全证书调用kube-apiserver更新异常应用部署状态。例如,参数信息中异常码为1001006,根据该异常码检测到了有恶意代码通过***调用获取文件***提权,此时根据容器级安全防护措施对容器应用部署状态进行修改可以为调用kube-apiserver的api接口patch更改该容器应用部署状态。Kube-apiserver是kubernetes的核心组件之一,用来处理用户、外部***操作。
应用部署状态的修改实际上是对容器和节点的亲和性调度策略做了修改,通过node Selector将隔离区域中的节点标签添加到规约配置,由kubernetes的默认调度策略将当前安全区域内发生异常的容器应用驱逐到非安全区域的节点上,可以在不影响应用正常能力下隔离风险。
作为一可选的实施方式,在对容器应用部署状态进行修改之后,方法,还包括:
获取故障事件等级;
根据故障事件等级确定对异常容器进行隔离处理或销毁处理;
其中,对异常容器进行隔离处理是对异常容器与正常容器进行区域划分,以使异常容器所在区域与正常容器所在区域不同。
不同的故障事件等级对应的异常容器处理方式不同。在隔离处理时,该异常容器所在区域可以为隔离区域,该正常容器所在区域可以为安全区域。对异常容器进行隔离处理就是将异常容器从安全区域驱逐至隔离区域。
在实际应用中,可以根据安全等级的不同将服务器、网络设备等资源划分为不同的安全区域和隔离区域,为了保护数据的安全性和保密性,可以对安全区域中的服务器、网络设备等资源设置网络访问控制策略,同时对隔离区域资源设备进行重点防控。
图2为区域架构示意图,如图2所示,在安全区域内搭建kubernetes集群、日志服务模块、监控告警模块、安全管控服务模块。
kubernetes集群管理容器应用,分控制节点集群和工作节点集群,其中,控制节点集群中有多个控制节点Master,有部分工作节点放在隔离区域主要承担安全故障时保障业务应用不中断的职能。工作节点上的应用容器在构建阶段使用LLVM和Clang将eBPF程序编译成eBPF对象文件打包到容器镜像,在容器启动时,Init Container加载eBPF程序。
Container是容器运行时的一种形态,应用容器运行时kubernetes会利用容器镜像创建一个容器实例,此时容器镜像将被加载到容器的文件***,同时启动独立、可执行的容器进程。
日志服务模块可以在事故发生后记录异常事件信息,监控告警模可以在事故发生后上报容器故障信息。对于本地堆栈异常日志,可以通过rsyslog协议统一收集到日志服务模块,实时推送异常告警。
步骤104:根据容器级安全防护措施对异常容器内核进行修复操作。
作为一可选的实施方式,根据容器级安全防护措施对异常容器内核进行修复操作,包括:
根据容器级安全防护措施,确定漏洞等级;
根据漏洞等级对异常容器内核进行修复操作。
安全管控服务模块对安全区域节点内核进行补偿阻断,根据容器级安全防护措施确定漏洞等级后,对非法攻击或***非法调用进行修复操作,如安装***补丁或阻断。
根据容器级安全防护措施可以对漏洞的严重性和紧急性进行评估,在评估时可以通过查询漏洞数据库得到漏洞等级。根据漏洞等级通过与主机远程建立SSH远程连接,自动化修复主机上的漏洞,以减少潜在威胁。
在容器内核故障处理后,可以收集内核调用异常日志至日志服务模块,并通过监控告警模块实时异常告警。
本发明在容器内核异常时,通过对容器应用部署状态进行修改以及对异常容器内核进行修复,可以提高容器应用的可靠性和容错性。
本发明还提供一种容器内核故障处理***,如图3所示,该容器内核故障处理***,包括:
解析模块301,用于在接收到容器内核异常信息时,对容器内核异常信息进行解析,获得容器所在集群的参数信息。
确定模块302,用于根据参数信息确定容器级安全防护措施。
部署状态修改模块303,用于根据容器级安全防护措施对容器应用部署状态进行修改。
修复模块304,用于根据容器级安全防护措施对异常容器内核进行修复操作。
作为一可选的实施方式,本发明提供的容器内核故障处理***,还包括:
等级获取模块,用于获取故障事件等级。
处理模块,用于根据故障事件等级确定对异常容器进行隔离处理或销毁处理。
其中,对异常容器进行隔离处理是对异常容器与正常容器进行区域划分,以使异常容器所在区域与正常容器所在区域不同。
可选的,修复模块304,包括:
漏洞等级确定单元,用于根据容器级安全防护措施,确定漏洞等级;
修复单元,用于根据漏洞等级对异常容器内核进行修复操作。
可选的,参数信息包括表征事件类型和等级的异常码。
确定模块302,包括:
检验单元,用于对参数信息进行合法性校验;
检索单元,用于在校验成功的情况下,根据异常码从安全漏洞数据库中进行检索,获得与事件类型和等级匹配的容器级安全防护措施。
作为一可选的实施方式,本发明提供的容器内核故障处理***,还包括:
编译模块,用于对目标程序进行编译,得到程序对象文件;
监听模块,用于在容器内部对程序对象文件进行加载,并监听容器内部的异常行为事件。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现上述容器内核故障处理方法。
本发明实施例提供了一种电子设备,如图4所示,电子设备40包括至少一个处理器401、以及与处理器401连接的至少一个存储器402、总线403;其中,处理器401、存储器402通过总线403完成相互间的通信;处理器401用于调用存储器402中的程序指令,以执行上述的容器内核故障处理方法。本文中的电子设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有上述的容器内核故障处理方法包括的步骤的程序。
本申请是参照根据本申请实施例的方法、***和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本申请的实施例可提供为方法、***或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种容器内核故障处理方法,其特征在于,包括:
在接收到容器内核异常信息时,对所述容器内核异常信息进行解析,获得容器所在集群的参数信息;
根据所述参数信息确定容器级安全防护措施;
根据所述容器级安全防护措施对容器应用部署状态进行修改;
根据所述容器级安全防护措施对异常容器内核进行修复操作。
2.根据权利要求1所述的容器内核故障处理方法,其特征在于,在对所述容器应用部署状态进行修改之后,所述方法,还包括:
获取故障事件等级;
根据所述故障事件等级确定对异常容器进行隔离处理或销毁处理;
其中,对所述异常容器进行隔离处理是对所述异常容器与正常容器进行区域划分,以使所述异常容器所在区域与所述正常容器所在区域不同。
3.根据权利要求1所述的容器内核故障处理方法,其特征在于,所述根据所述容器级安全防护措施对异常容器内核进行修复操作,包括:
根据所述容器级安全防护措施,确定漏洞等级;
根据所述漏洞等级对异常容器内核进行修复操作。
4.根据权利要求3所述的容器内核故障处理方法,其特征在于,所述参数信息包括表征事件类型和等级的异常码;
所述根据所述参数信息确定容器级安全防护措施,包括:
对所述参数信息进行合法性校验;
在校验成功的情况下,根据所述异常码从安全漏洞数据库中进行检索,获得与所述事件类型和等级匹配的容器级安全防护措施。
5.根据权利要求1所述的容器内核故障处理方法,其特征在于,还包括:
对目标程序进行编译,得到程序对象文件;
在容器内部对所述程序对象文件进行加载,并监听容器内部的异常行为事件。
6.一种容器内核故障处理***,其特征在于,包括:
解析模块,用于在接收到容器内核异常信息时,对所述容器内核异常信息进行解析,获得容器所在集群的参数信息;
确定模块,用于根据所述参数信息确定容器级安全防护措施;
部署状态修改模块,用于根据所述容器级安全防护措施对容器应用部署状态进行修改;
修复模块,用于根据所述容器级安全防护措施对异常容器内核进行修复操作。
7.根据权利要求6所述的容器内核故障处理***,其特征在于,还包括:
等级获取模块,用于获取故障事件等级;
处理模块,用于根据所述故障事件等级确定对异常容器进行隔离处理或销毁处理;
其中,对所述异常容器进行隔离处理是对所述异常容器与正常容器进行区域划分,以使所述异常容器所在区域与所述正常容器所在区域不同。
8.根据权利要求6所述的容器内核故障处理***,其特征在于,所述修复模块,包括:
漏洞等级确定单元,用于根据所述容器级安全防护措施,确定漏洞等级;
修复单元,用于根据所述漏洞等级对异常容器内核进行修复操作。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有程序,所述程序被处理器执行时实现权利要求1-5任一项所述的容器内核故障处理方法。
10.一种电子设备,其特征在于,包括:
至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;
所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行权利要求1-5任一项所述的容器内核故障处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311198337.3A CN117271054A (zh) | 2023-09-15 | 2023-09-15 | 一种容器内核故障处理方法、***、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311198337.3A CN117271054A (zh) | 2023-09-15 | 2023-09-15 | 一种容器内核故障处理方法、***、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117271054A true CN117271054A (zh) | 2023-12-22 |
Family
ID=89217050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311198337.3A Pending CN117271054A (zh) | 2023-09-15 | 2023-09-15 | 一种容器内核故障处理方法、***、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117271054A (zh) |
-
2023
- 2023-09-15 CN CN202311198337.3A patent/CN117271054A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101547999B1 (ko) | 악성링크 자동 탐지 장치 및 방법 | |
CN109409087B (zh) | 防提权检测方法及设备 | |
CN112818307B (zh) | 用户操作处理方法、***、设备及计算机可读存储介质 | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN112685745B (zh) | 一种固件检测方法、装置、设备及存储介质 | |
CN113138836A (zh) | 一种基于Docker容器的防逃逸蜜罐***及其方法 | |
CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 | |
KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
CN111241547B (zh) | 一种越权漏洞的检测方法、装置及*** | |
CN117271054A (zh) | 一种容器内核故障处理方法、***、存储介质及电子设备 | |
CN106856477B (zh) | 一种基于局域网的威胁处理方法和装置 | |
CN115378655A (zh) | 漏洞检测方法及装置 | |
CN110334514B (zh) | 一种基于可信计算平台验证度量报告的方法及装置 | |
CN112329021A (zh) | 一种排查应用漏洞的方法、装置、电子装置和存储介质 | |
CN112989343A (zh) | 一种检测超融合平台网络安全性的方法、电子设备及介质 | |
CN113518055A (zh) | 数据安全防护的处理方法及装置、存储介质、终端 | |
CN117648100B (zh) | 应用部署方法、装置、设备和存储介质 | |
CN117521087B (zh) | 一种设备风险行为检测方法、***及存储介质 | |
Wang | Vulnerability analysis and improvement of RASP technology | |
CN117608699A (zh) | 插件的处理方法及装置、存储介质和电子设备 | |
CN117272308A (zh) | 软件安全测试方法、装置、设备、存储介质及程序产品 | |
CN116415244A (zh) | 项目代码的测试方法和装置、存储介质及电子装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |