【技术实现步骤摘要】
容器安全的处理方法及装置、存储介质和处理器
[0001]本申请涉及信息处理
,具体而言,涉及一种容器安全的处理方法及装置、存储介质和处理器。
技术介绍
[0002]容器提供了将应用程序的代码、配置、依赖项打包到单个对象的标准方法。容器主要建立在Linux命名空间(Linux Namespace)和Linux控制机制(Linux Cgroups)两项关键技术之上。另外,容器和虚拟机(VM)不同之处在于,虚拟机(VM)模拟硬件系统,每个虚拟机(VM)都在独立环境中运行操作系统(OS)。而容器共享操作系统内核,若容器被攻击将可能造成容器逃逸或资源隔离失效,影响某个或多个容器的安全。
[0003]另外,典型的容器部署中,容器一般运行一个较小的单一服务,其中可执行的进程,网络监听的端口,网络外发连接,文件读取/写入等,以上这些会包含在一个较小且明确的集合中。而容器被攻击过程中一些常用手段如WebShell、反弹Shell等,其行为往往超出已知的容器行为集合。把已知的容器行为集合作为白名单,对容器的行为进行限制,是一种广泛...
【技术保护点】
【技术特征摘要】
1.一种容器安全的处理方法,其特征在于,包括:在目标容器的应用程序执行目标程序时,触发处理流程请求;通过内核将所述处理流程请求传递到用户态中的安全服务容器;响应所述处理流程请求,所述安全服务容器从操作系统内核读取执行所述目标程序时的目标信息;将所述目标信息发送至所述目标容器,根据所述目标信息对所述目标程序进行处理。2.根据权利要求1所述的方法,其特征在于,根据所述目标信息对所述目标程序进行处理包括:根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策;将所述处理决策发送至所述内核,以通过所述内核对所述目标程序执行目标操作。3.根据权利要求2所述的方法,其特征在于,所述目标操作为:允许执行所述目标程序或者阻止执行所述目标程序。4.根据权利要求2所述的方法,其特征在于,所述目标程序为:可执行文件的控制和文件目录的写入控制。5.根据权利要求4所述的方法,其特征在于,若所述目标程序为可执行文件的控制,在所述目标容器中确定对所述目标程序的处理决策之前,所述方法还包括:配置所述目标容器中的进程的黑白名单和所述黑白名单对应的操作。6.根据权利要求5所述的方法,其特征在于,根据所述目标信息,在所述目标容器中确定对所述目标程序的处理决策包括:根据所述目标信息与所述黑白名单进行匹配;若所述目标信息落入所述黑白名单中的黑名单,则将禁止所述目标程序运行作为所述处理决策;若所述目标信息落入所述黑白名单中的白名单,则将允许所述目标程序运行作为所述处理决策。7.根据权利要求6所述的方法,其特征在于,根据所述目标信息与所述黑白名单进行匹配包括:若所述目标信息中包括可执行文件名称,则采用所述...
【专利技术属性】
技术研发人员:渠海峡,崔应杰,张烨,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。