【技术实现步骤摘要】
一种智能化的Docker容器恶意文件检测方法和装置
本申请涉及计算机
,具体而言,涉及一种智能化的Docker容器恶意文件检测方法和装置。
技术介绍
Docker是一款依赖于Linux内核的容器引擎,基于Apache2.0开源授权协议发行,可以快速实现应用程序基于容器的自动化部署。Docker主要由客户端、守护进程、镜像、容器和镜像仓库五部分组成,提供了简单而轻量的建模方式。其中,镜像一方面是面向对象中的类,相当于模板;另一方面又相当于一个文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。而容器相当于是依据镜像这个模板而创建出的实体。在Docker容器技术飞速发展的同时,Docker容器安全问题也日益成为广大用户关注的焦点,越来越多潜在的Docker安全问题开始浮现。对于镜像,其安全问题主要是:开发者构建镜像时容易遗留下一些数据库密码之类的敏感信息;不论是来自官方的镜像还是社区的镜像,镜像本身也会存在许多漏洞可能造成风险。镜像虽然在传输和部署方面非常高效,但是也为病毒、后门之...
【技术保护点】
1.一种智能化的Docker容器恶意文件检测方法,其特征在于,应用于服务器,所述方法包括:获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;获取所述目标Docker容器的原始镜像中的多个网页文件;针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshe...
【技术特征摘要】
1.一种智能化的Docker容器恶意文件检测方法,其特征在于,应用于服务器,所述方法包括:获取目标Docker容器的原始镜像中的多个文件,所述目标Docker容器为待检测的Docker容器;针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,得到第一检测结果;针对所述多个文件中的每个文件,利用杀毒软件对该文件进行检测,以判断该文件是否为恶意文件,得到第二检测结果;获取所述目标Docker容器的原始镜像中的多个网页文件;针对所述多个网页文件中的每个网页文件,将该网页文件输入网页分类模型,以检测该网页是否为Webshell网页后门文件,得到第三检测结果。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取多个样本网页文件,所述多个样本网页文件中的每个样本网页文件携带标记,该标记表征该样本网页文件的静态特征,其中,所述多个样本网页文件中的一部分为Webshell网页后门文件;以所述多个样本网页文件为输入,对预设模型进行训练,得到所述网页分类模型,所述网页分类模型用于判断单个网页文件是否为Webshell网页后门文件。3.根据权利要求2所述的方法,其特征在于,所述静态特征至少包括以下特征中的至少一种:信息熵、重合指数、最大单词长度、危险函数个数、文件压缩比、Eval函数个数。4.根据权利要求1所述的方法,其特征在于,针对所述多个文件中的每个文件,利用基于yara规则的恶意文件特征码对该文件进行检测,以判断该文件是否为恶意文件,包括:获取多个公开的基于yara规则的恶意文件特征码,建立yara规则库;针对所述多个文件中的每个文件,检测该文件中是否包含所述yara规则库中的恶意文件特征码,其中,在该文件包含所述yara规则库中的恶意文件特征码时,确定该文件是恶意文件。5.根据权利要求1至4任一所述的方法,其特征在于,所述服务器与客户端通信连接;所述方法还包括:接收所述客户端发送的所述目标Docker容器的原始镜像;将所述第一检测结果、所述第二检测结果以及所述第三检测结果发送给所述客户端。6.根据权利要求5所述的方法,其特征在于,所述服务器与数据库通信连接;所述方法还...
【专利技术属性】
技术研发人员:黄诚,谢逸,黄德禄,崔韩东,
申请(专利权)人:四川大学,中山大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。