文件检测方法、装置及设备制造方法及图纸

本申请公开了一种文件检测方法、装置及设备，涉及终端应用技术领域，能够对运行中的容器进行扫描监控，提高Docker容器内文件的安全性。其中方法包括：通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；基于预先构建的大数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；若存在，则生成并传输恶意文件的告警信息。

Document inspection method, device and equipment

【技术实现步骤摘要】
文件检测方法、装置及设备
本专利技术涉及网络安全
，尤其是涉及到一种文件检测方法、装置及设备。
技术介绍
随着互联网技术的不断发展，企业的服务器数量大幅增长，业务系统越来越复杂，用户体验要求越来越高，容器这种能够打包应用和隔离运行环境的技术引起了开发者的高度关注。相比于传统的虚拟化技术，容器不需要为每个应用分配单独的操作系统，所以容器会拥有更高的资源使用效率。其中，以Docker为代表的容器技术发展得最好，迅速占领了市场。在Docker容器技术飞速发展的同时，Docer容器安全问题也日益为广大用户及企业关注的焦点。如今互联网公司每天面临着无数的恶意攻击，针对Docker容器安全问题，通常都是利用主机层将Docker容器中的文件传输宿主机中，进而对操作系统的文件进行监控检测。但是主机层的文件监控面对Docker容器，无法对容器内的文件内容进行监控检测。目前，使用Docker安全扫描的工具，能够帮助开发者和企业找到Docker容器镜像中的已知漏洞，可以实现对Docker镜像系统进行监控检测。然而，Docker安全扫描的工具仅支持镜像系统的静态扫描，无法对运行中的容器进行扫描监控，使得Docker容器内文件存在安全隐患
技术实现思路
根据本申请的一个方面，提供了一种文件检测方法，该方法包括：通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；若存在，则生成并传输恶意文件的告警信息。进一步地，所述通过调用容器引擎对应的远程接口，获取容器引擎内运行的文件信息，具体包括：通过调用容器引擎对应的远程接口，获取容器引擎的运行状态；基于所述容器引擎的运行状态，获取正在运行中的容器列表，所述容器列表中记录有运行中容器的详细信息；根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息。进一步地，所述根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息，具体包括：根据所述运行中容器的详细信息，读取由运行中容器启动的进程信息；从所述由运行中容器启动的进程信息中提取文件改动信息，并根据文件改动信息中记录当前文件状态，确定容器引擎内运行的文件信息。进一步地，所述基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件，具体包括：利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息；将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果；通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较，判断所述文件信息中是否存在恶意文件。进一步地，在所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果之前，所述方法还包括：汇总从多个资源库所收集的恶意样本，构建恶意代码规则库，所述恶意代码规则库中记录有从恶意代码抽取的字符串形成的规则。进一步地，所述预先构建的数据分析平台包括数据收集引擎、搜索服务引擎以及可视化平台，所述利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息，具体包括：将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中，所述数据收集引擎用于从容器引擎中拉取日志数据，并将所述日志数据转发到搜索服务引擎；对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎，并创建文件信息对应的索引。进一步地，所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果，具体包括：对所述容器引擎中运行的文件信息进行预处理，形成与规则统一数据格式的文件特征代码；将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配，得到关联分析结果。进一步地，所述将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配，得到关联分析结果，具体包括：以所述文件特征代码作为待匹配的主串，所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串，遍历所述主串中每个位置上的字符；将所述主串中每个位置上的字符与所述模式串进行匹配，得到关联分析结果。进一步地，在所述若存在，则生成并传输恶意文件的告警信息之后，所述方法还包括：根据所述告警信息追踪所述恶意文件，捕获并删除所述恶意文件。根据本申请的另一个方面，提供了一种文件检测装置，该装置包括：获取单元，用于通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；判断单元，用于基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；生成单元，用于若所述文件信息中存在恶意文件，则生成并传输恶意文件的告警信息。进一步地，所述获取单元包括：第一获取模块，用于通过调用容器引擎对应的远程接口，获取容器引擎的运行状态；第二获取模块，用于基于所述容器引擎的运行状态，获取正在运行中的容器列表，所述容器列表中记录有运行中容器的详细信息；确定模块，用于根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息。进一步地，所述确定模块包括：读取子模块，用于根据所述运行中容器的详细信息，读取由运行中容器启动的进程信息；提取子模块，用于从所述由运行中容器启动的进程信息中提取文件改动信息，并根据文件改动信息中记录当前文件状态，确定容器引擎内运行的文件信息。进一步地，所述判断单元包括：存储模块，用于利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息；分析模块，用于将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果；判断模块，用于通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较，判断所述文件信息中是否存在恶意文件。进一步地，所述判断单元还包括：构建模块，用于在将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果之前，汇总从多个资源库所收集的恶意样本，构建恶意代码规则库，所述恶意代码规则库记录有从恶意代码中抽取的恶意行为特征。进一步地，所述存储模块包括：导入子模块，用于将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中，所述数据收集引擎用于从容器引擎中拉取日志数据，并将所述日志数据转发到搜索服务引擎；存储子模块，用于对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎，并创建文件信息对应的索引。进一步地，所述本文档来自技高网...

【技术保护点】
1.一种文件检测方法，其特征在于，包括：/n通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；/n基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；/n若存在，则生成并传输恶意文件的告警信息。/n

【技术特征摘要】
1.一种文件检测方法，其特征在于，包括：
通过调用容器引擎对应的远程接口，获取容器引擎中运行的文件信息；
基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件；
若存在，则生成并传输恶意文件的告警信息。


2.根据权利要求1所述的方法，其特征在于，所述通过调用容器引擎对应的远程接口，获取容器引擎内运行的文件信息，具体包括：
通过调用容器引擎对应的远程接口，获取容器引擎的运行状态；
基于所述容器引擎的运行状态，获取正在运行中的容器列表，所述容器列表中记录有运行中容器的详细信息；
根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息。


3.根据权利要求2所述的方法，其特征在于，所述根据所述运行中容器的详细信息，确定容器引擎内运行的文件信息，具体包括：
根据所述运行中容器的详细信息，读取由运行中容器启动的进程信息；
从所述由运行中容器启动的进程信息中提取文件改动信息，并根据文件改动信息中记录当前文件状态，确定容器引擎内运行的文件信息。


4.根据权利要求1所述的方法，其特征在于，所述基于预先搭建的数据分析平台，对所述容器引擎中运行的文件信息进行规则关联，判断所述文件信息中是否存在恶意文件，具体包括：
利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息；
将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果；
通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较，判断所述文件信息中是否存在恶意文件。


5.根据权利要求4所述的方法，其特征在于，在所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果之前，所述方法还包括：
汇总从多个资源库所收集的恶意样本，构建恶意代码规则库，所述恶意代码规则库中记录有从恶意代码抽取的字符串形成的规则。


6.根据权利要求4所述的方法，其特征在于，所述预先构建的数据分析平台包括数据收集引擎、搜索服务引擎以及可视化平台，所述利用预先搭建的数据分析平台，按照预设时间间隔提取并存储所述容器引擎中运行的文件信息，具体包括：
将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中，所述数据收集引擎用于从容器引擎中拉取日志数据，并将所述日志数据转发到搜索服务引擎；
对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎，并创建文件信息对应的索引。


7.根据权利要求4所述的方法，其特征在于，所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析，得到关联分析结果，具体包括：
对所述容器引擎中运行的文件信息进行预处理，形成与规则统一数据格式的文件特征代码；
将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配，得到关联分析结果。


8.根据权利要求7所述的方法，其特征在于，所述将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配，得到关联分析结果，具体包括：
以所述文件特征代码作为待匹配的主串，所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串，遍历所述主串中每个位置上的字符；
将所述主串中每个位置上的字符与所述模式串进行匹配，得到关联分析结果。


9.根据权利要求1-8中任一项所述的方法，其特征在于，在所述若存在，则生成并传输恶意文件的告警信息之后，所述方法还包括：
根据所述告警信息追踪所述恶意文件，捕获并删除所述恶意文件。


10.一种文件检测装置，其特征在于，包括：
获取...

【专利技术属性】
技术研发人员：董博，
申请(专利权)人：北京健康之家科技有限公司，
类型：发明
国别省市：北京;11