镜像的安全性检测方法、装置、存储介质和电子设备制造方法及图纸

本公开涉及一种镜像的安全性检测方法、装置、存储介质和电子设备，该方法包括：在主机系统中构建沙箱环境，该沙箱环境为与该主机系统的内核隔离并设置有网络防火墙的文件运行环境；在该沙箱环境中对该镜像文件对应的容器应用进行试运行；在该容器应用的试运行过程中对该容器应用的运行状态进行监测，以获取异常信息，该异常信息至少包括：异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗；根据该异常信息，生成该镜像文件对应的安全性分析报告。能够通过独立的沙箱环境对镜像文件对应的容器应用进行试运行，并在试运行过程中监测容器应用的异常状态信息，进而生成相应的安全性分析报告，提高镜像文件生产部署过程中的安全性。

Safety testing methods, devices, storage media and electronic equipment for mirrors

The present disclosure relates to a mirror security detection method, device, storage medium and electronic equipment. The method includes: building a sandbox environment in a host system, which is a file running environment isolated from the core of the host system and equipped with a network firewall; testing the container application corresponding to the mirror file in the sandbox environment; and applying the sandbox environment to the container. In order to obtain abnormal information, the operation status of the container application is monitored during the trial run. The abnormal information includes at least abnormal ports, abnormal processes, abnormal export network packages, security vulnerabilities and abnormal resource consumption. According to the abnormal information, the security analysis report corresponding to the mirror file is generated. Through independent sandbox environment, the container application corresponding to the mirror file can be tested, and the abnormal state information of the container application can be monitored during the trial run, and then the corresponding security analysis report can be generated to improve the security of the mirror file production and deployment process.

【技术实现步骤摘要】
镜像的安全性检测方法、装置、存储介质和电子设备
本公开涉及虚拟化
，具体地，涉及一种镜像的安全性检测方法、装置、存储介质和电子设备。
技术介绍
镜像或称镜像文件是一种文件存储形式，实际为包含多个只读层的应用程序的只读模板。在基于Docker应用容器引擎的网络应用开发过程中，可以将开发出的网络应用以镜像文件的形式储存在镜像仓库中，例如，Docker引擎提供的Dockerhub仓库和Dockerpool仓库等。之后，在确保镜像安全性的情况下将镜像文件部署到服务器系统中投入使用。在部署镜像文件的过程中，需要在镜像文件中包含的多个只读层上添加一层可读写层，以生成可运行的容器应用。相关技术中，对镜像文件进行安全性检测的方式通常为：在部署镜像文件之前，利用诸如Clair、Anchore和DockerScan等静态安全性扫描工具对镜像文件中的每个只读层中的信息进行扫描和比对，进而向开发人员或者运营人员输出相应的扫描报告。同时在服务器系统中设置网络防火墙，以保证容器应用运行过程中的网络安全。但是，静态安全性扫描仅能对镜像文件中已有的信息进行检测，无法获知镜像文件对应的容器文件在实际运行状态下可能出现的问题和漏洞，降低了镜像文件生产部署过程中的安全性。
技术实现思路
为克服相关技术中存在的问题，本公开的目的是提供一种镜像的安全性检测方法、装置、存储介质和电子设备。为了实现上述目的，根据本公开实施例的第一方面，提供一种镜像的安全性检测方法，所述方法包括：在主机系统中构建沙箱环境，所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境；在所述沙箱环境中对所述镜像文件对应的容器应用进行试运行；在所述容器应用的试运行过程中对所述容器应用的运行状态进行监测，以获取异常信息，所述异常信息至少包括：异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗；根据所述异常信息，生成所述镜像文件对应的安全性分析报告。可选的，所述在主机系统中构建用于对镜像文件进行试运行的沙箱环境，包括：基于主机的物理资源，在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境；为所述目标文件运行环境配置具备预设安全访问策略的网络防火墙，以获取所述沙箱环境。可选的，所述基于主机的物理资源，在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境，包括：当所述主机的物理资源符合虚拟机的运行条件时，通过所述虚拟机提供的虚拟化设备和虚拟化内核构建文件运行环境，作为所述目标文件运行环境；或者，当所述主机的物理资源不符合虚拟机的运行条件时，通过所述主机系统中的实际物理设备构建具备预设内核访问规则的文件运行环境，作为所述目标文件运行环境，所述预设内核访问规则用于限制所述容器应用对所述主机系统内核的调用。可选的，所述在所述沙箱环境中试运行所述镜像文件对应的容器应用，包括：通过预设的静态安全性扫描方式对所述镜像文件进行安全性扫描；在所述沙箱环境中为经过所述安全性扫描的所述镜像文件添加可读写层，以生成所述容器应用；在所述沙箱环境中对所述容器应用进行试运行。可选的，所述在所述容器应用的试运行过程中对所述容器应用的异常运行状态进行检测，以生成所述容器应用对应的异常信息，包括：根据预设的高危端口列表对所述容器应用的所有端口进行检测，以获取所述异常端口；对所述容器应用产生的进程的实时运行数据进行检测，以获取所述异常进程，所述异常进程至少包括：具备异常资源利用率的非工作进程以及具备异常网络输入/输出I/O量的非工作进程；对容器应用的出口网络包进行截取，以获取所述异常出口网络包，所述异常出口网络至少包括：出口带宽异常的出口网络包以及目的地址异常的出口网络包；对所述容器应用存在的安全漏洞进行检测，所述安全漏洞至少包括：代码注入漏洞、会话固定漏洞、路径访问漏洞、弱密码漏洞以及硬编码加密密钥漏洞；对所述容器应用的异常资源消耗进行检测，所述异常资源消耗至少包括：内存泄漏和溢出、异常CPU利用率、异常通信协议压缩率和异常系统调用响应时间；综合所述异常端口、所述异常进程、所述异常出口网络包、所述安全漏洞以及所述异常资源消耗，作为所述异常信息。根据本公开实施例的第二方面，提供一种镜像的安全性检测装置，所述装置包括：沙箱构建模块，用于在主机系统中构建沙箱环境，所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境；容器试运行模块，用于在所述沙箱环境中对所述镜像文件对应的容器应用进行试运行；异常检测模块，用于在所述容器应用的试运行过程中对所述容器应用的运行状态进行监测，以获取异常信息，所述异常信息至少包括：异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗；报告生成模块，用于根据所述异常信息，生成所述镜像文件对应的安全性分析报告。可选的，所述沙箱构建模块，包括：环境构建子模块，用于基于主机的物理资源，在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境；防火墙设置子模块，用于为所述目标文件运行环境配置具备预设的安全访问策略的网络防火墙，以获取所述沙箱环境。可选的，所述环境构建子模块，用于：当所述主机的物理资源符合虚拟机的运行条件时，通过所述虚拟机提供的虚拟化设备和虚拟化内核构建文件运行环境，作为所述目标文件运行环境；或者，当所述主机的物理资源不符合虚拟机的运行条件时，通过所述主机系统中的实际物理设备构建具备预设内核访问规则的文件运行环境，作为所述目标文件运行环境，所述预设内核访问规则用于限制所述容器应用对所述主机系统内核的调用。可选的，所述容器试运行模块，包括：安全性扫描子模块，用于通过预设的静态安全性扫描方式对所述镜像文件进行安全性扫描；容器生成子模块，用于在所述沙箱环境中为经过所述安全性扫描的所述镜像文件添加可读写层，以生成所述容器应用；容器试运行子模块，用于在所述沙箱环境中对所述容器应用进行试运行。可选的，所述异常检测模块，包括：端口检测子模块，用于根据预设的高危端口列表对所述容器应用的所有端口进行检测，以获取所述异常端口；进程检测子模块，用于对所述容器应用产生的进程的实时运行数据进行检测，以获取所述异常进程，所述异常进程至少包括：具备异常资源利用率的非工作进程以及具备异常网络输入/输出I/O量的非工作进程；网络包检测子模块，用于对容器应用的出口网络包进行截取，以获取所述异常出口网络包，所述异常出口网络至少包括：出口带宽异常的出口网络包以及目的地址异常的出口网络包；漏洞检测子模块，用于确定所述容器应用是否存在安全漏洞，所述安全漏洞至少包括：代码注入漏洞、会话固定漏洞、路径访问漏洞、弱密码漏洞以及硬编码加密密钥漏洞；资源消耗检测子模块，用于对所述容器应用的异常资源消耗进行检测，所述异常资源消耗至少包括：内存泄漏和溢出、异常CPU利用率、异常通信协议压缩率和异常系统调用响应时间；信息生成子模块，用于综合所述异常端口、所述异常进程、所述异常出口网络包、所述安全漏洞以及所述异常资源消耗，作为所述异常信息。根据本公开实施例的第三方面，提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现本公开实施例第一方面提供的镜像的安全性检测方法的步骤。根据本公开实施例的第四方面，提供一种电子设备，包括：存储器，本文档来自技高网...

【技术保护点】
1.一种镜像的安全性检测方法，其特征在于，所述方法包括：在主机系统中构建沙箱环境，所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境；在所述沙箱环境中对所述镜像文件对应的容器应用进行试运行；在所述容器应用的试运行过程中对所述容器应用的运行状态进行监测，以获取异常信息，所述异常信息至少包括：异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗；根据所述异常信息，生成所述镜像文件对应的安全性分析报告。

【技术特征摘要】
1.一种镜像的安全性检测方法，其特征在于，所述方法包括：在主机系统中构建沙箱环境，所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境；在所述沙箱环境中对所述镜像文件对应的容器应用进行试运行；在所述容器应用的试运行过程中对所述容器应用的运行状态进行监测，以获取异常信息，所述异常信息至少包括：异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗；根据所述异常信息，生成所述镜像文件对应的安全性分析报告。2.根据权利要求1所述的方法，其特征在于，所述在主机系统中构建用于对镜像文件进行试运行的沙箱环境，包括：基于主机的物理资源，在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境；为所述目标文件运行环境配置具备预设安全访问策略的网络防火墙，以获取所述沙箱环境。3.根据权利要求2所述的方法，其特征在于，所述基于主机的物理资源，在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境，包括：当所述主机的物理资源符合虚拟机的运行条件时，通过所述虚拟机提供的虚拟化设备和虚拟化内核构建文件运行环境，作为所述目标文件运行环境；或者，当所述主机的物理资源不符合虚拟机的运行条件时，通过所述主机系统中的实际物理设备构建具备预设内核访问规则的文件运行环境，作为所述目标文件运行环境，所述预设内核访问规则用于限制所述容器应用对所述主机系统内核的调用。4.根据权利要求1所述的方法，其特征在于，所述在所述沙箱环境中试运行所述镜像文件对应的容器应用，包括：通过预设的静态安全性扫描方式对所述镜像文件进行安全性扫描；在所述沙箱环境中为经过所述安全性扫描的所述镜像文件添加可读写层，以生成所述容器应用；在所述沙箱环境中对所述容器应用进行试运行。5.一种镜像的安全性检测装置，其特征在于，所述装置包括：沙箱构建模块，用于在主机系统中构建沙箱环境，所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行...

【专利技术属性】
技术研发人员：王欢，
申请(专利权)人：东软集团股份有限公司，
类型：发明
国别省市：辽宁,21