本申请公开了一种容器逃逸检测方法、装置以及电子设备,涉及容器技术以及云计算技术领域。具体实现方案为:对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:在确定发生容器逃逸的情况下,输出预警信息。本申请实施例的容器逃逸检测方法中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。
【技术实现步骤摘要】
一种容器逃逸检测方法、装置以及电子设备
本申请涉及计算机技术中的容器技术以及云计算
,尤其涉及一种容器逃逸检测方法、装置以及电子设备。
技术介绍
随着计算机技术的发展,容器技术应用也越来越广泛,在轻量级虚拟化领域广泛应用,为用户提供弹性资源能力,提高资源利用率。容器技术广泛应用的同时,其安全问题也受到广泛关注,其中,容器逃逸是一种影响较严重的安全问题,攻击者通过正常的容器化业务逻辑,注入攻击程序,借助某些安全漏洞获得宿主机上执行某些命令的权限。目前,常采用的容器逃逸检测方法有两种,一种是对容器的系统调用数据流进行分析,匹配某些攻击模式,主要是通过决策树对系统调用序列进行分析和分类,来判断逃逸是否发生。另一种是对宿主机上的敏感文件进行监控,如果文件内容被篡改,则确定逃逸发生。
技术实现思路
本申请提供一种容器逃逸检测方法、装置和电子设备。第一方面,本申请一个实施例提供一种容器逃逸检测方法,所述方法包括:对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:在确定发生容器逃逸的情况下,输出预警信息。本申请实施例的容器逃逸检测方法中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。>第二方面,本申请一个实施例提供一种容器逃逸检测装置,所述装置包括:检测模块,用于对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:输出模块,用于在确定发生容器逃逸的情况下,输出预警信息。本申请实施例的容器逃逸检测装置进行容器逃逸检测过程中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。第三方面,本申请一个实施例还提供一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请各实施例提供的方法。第四方面,本申请一个实施例还提供一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行本申请各实施例提供的方法。附图说明附图用于更好地理解本方案,不构成对本申请的限定。其中:图1是本申请提供的一个实施例的一种容器逃逸检测方法的流程示意图之一;图2是本申请提供的一个实施例的一种容器逃逸检测方法的流程示意图之二;图3是本申请提供的一个实施例的一种容器逃逸检测方法的流程示意图之三;图4是本申请提供的一个实施例的一种容器逃逸检测方法装置的结构图之一;图5是本申请提供的一个实施例的一种容器逃逸检测方法装置的结构图之二;图6是本申请提供的一个实施例的一种容器逃逸检测方法装置的结构图之三;图7是用来实现本申请实施例的一种容器逃逸检测方法的电子设备的框图。具体实施方式以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。如图1所示,根据本申请的实施例,本申请提供一种容器逃逸检测方法,该方法可以应用于服务器,方法包括:步骤S101:对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸。步骤S102:在确定发生容器逃逸的情况下,输出预警信息。容器是运行在独立的环境中,并不会和其他的应用共享主机操作系统的内存、CPU或磁盘,确保了容器内的进程不会影响到容器外的任何进程。容器,可以理解为与系统其它部分隔离开的一系列进程,即一系列受到资源限制以及彼此间相互隔离的进程,容器共享宿主机的内核。然而,容器逃逸是一种影响较严重的安全问题,为了提高容器的安全性,可对容器进行逃逸检测。在本实施例中,可对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸。其中,目标内容包括:当前命名空间、操作对象、系统调用中的至少一项。在确定发生容器逃逸的情况下,输出预警信息,以提醒发生容器逃逸,如此,用户可采取相应的应对措施,例如,停止或终止容器等。在本实施例的容器逃逸检测方法在进行容器逃逸检测的过程中,是通过对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,目标内容是包括:当前命名空间、操作对象、系统调用中的至少一项,即对容器内的进程的当前命名空间、操作对象、系统调用中的至少一项进行检测,以确定是否发生容器逃逸,可提高容器逃逸检测的准确性。在一个实施例中,在以下任一情况下,确定发生容器逃逸:容器内的进程的当前命名空间与进程预先关联的命名空间不一致;容器内的进程的操作对象超出进程关联的文件白名单范围;容器内的进程的系统调用超出进程的权限范围;容器内的进程的系统调用超出进程的可使用系统调用的范围;容器内的进程的系统调用中的参数内容包括攻击内容。命名空间用于做隔离,可实现内核级别隔离系统资源,通过将系统的全局资源放在不同命名空间中,实现资源隔离的目的,如此,容器内的进程可对应各自的命名空间,一个进程可对应多个命名空间,不同命名空间在不同方面进行隔离,使进程只能看到对应命名空间中的世界,在同一命名空间下的进程可感知彼此的变化。针对容器内的进程绕过对应的命名空间进行操作的检测,实现容器逃逸检测,容器内的进程一旦绕过对应的命名空间进行操作,例如,逃逸到宿主机的命名空间,以及逃逸到其他容器的命名空间,进程的命名空间发生了改变,即表示容器发生了逃逸。从而,在本实施例中,预先建立关联的命名空间即为进程对应的正确的命名空间,可通过检测进程的当前命名空间与进程预先关联的命名空间是否不一致,若不一致,表示进程的命名空间发生了改变,可认为容器发生了逃逸。还可以针对容器内的进程修改容器外文件的检测,即检测进程的操作对象是否超出进程关联的文件白名单范围,以确定是否发生容器逃逸,其中,操作对象可以理解为操作文件,即进程需要进行操作的文件。在本实施例中,预先为进程关联了可操作的文件白名单,检测进程的操作对象是否超出进程关联的文件白名单范围,即表示检测进程的操作对象是否在进程关联的文件白名单中,若在进程关联的文件白名单中,表示进程的操作对象未超出进程关联的文件白名单本文档来自技高网...
【技术保护点】
1.一种容器逃逸检测方法,其中,所述方法包括:/n对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:/n在确定发生容器逃逸的情况下,输出预警信息。/n
【技术特征摘要】
1.一种容器逃逸检测方法,其中,所述方法包括:
对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
在确定发生容器逃逸的情况下,输出预警信息。
2.根据权利要求1所述的方法,其中,在以下任一情况下,确定发生容器逃逸:
所述容器内所述进程的当前命名空间与所述进程预先关联的命名空间不一致;
所述容器内所述进程的操作对象超出所述进程关联的文件白名单范围;
所述容器内所述进程的系统调用超出所述进程的权限范围;
所述容器内的进程的系统调用超出所述进程的可使用系统调用的范围;
所述容器内所述进程的系统调用中的参数内容包括攻击内容。
3.根据权利要求1所述的方法,其中,所述对容器内的进程的目标内容进行检测,包括:
对所述进程的系统调用进行拦截,检测所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致。
4.根据权利要求3所述的方法,其中,所述对容器内的进程的目标内容进行检测之前,还包括:
预先生成所述容器内的进程的标签,其中,所述进程的标签用于唯一标识所述进程的身份;
将所述进程的标签与对应的命名空间关联;
所述检测所述进程的当前命名空间与所述进程预先关联的命名空间是否不一致,包括:
检测所述进程的当前命名空间与所述进程的标签预先关联的所述命名空间是否不一致。
5.根据权利要求1所述的方法,其中,所述对容器内的进程的目标内容进行检测,包括:
对所述进程的系统调用进行拦截,检测所述容器内所述进程的操作对象是否超出所述进程关联的文件白名单范围。
6.根据权利要求5所述的方法,其中,所述对容器内的进程的目标内容进行检测之前,还包括:
预先生成所述容器内的进程的标签,其中,所述进程的标签用于唯一标识所述进程的身份;
将所述进程的标签关联文件白名单;
所述检测所述容器内所述进程的操作对象是否超出所述进程关联的文件白名单范围,包括:
检测所述进程的操作对象是否超出所述进程的标签预先关联的所述文件白名单的范围。
7.一种容器逃逸检测装置,其中,所述装置包括:
检测模块,用于对容器内的进程的目标内容进行检测,以确定是否发生容器逃逸,其中,所述目标内容包括:当前命名空间、操作对象、系统调用中的至少一项:
输出模块,用于在...
【专利技术属性】
技术研发人员:赵耀东,
申请(专利权)人:北京百度网讯科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。