【技术实现步骤摘要】
一种容器逃逸检测与阻断方法、装置、设备及存储介质
[0001]本申请涉及安全环境检测
,尤其涉及一种容器逃逸检测与阻断方法、装置、设备及存储介质。
技术介绍
[0002]容器技术是一种虚拟化技术,它支持在操作系统级别轻松共享CPU、内存、存储空间和网络资源,并提供一种逻辑打包机制,而以这种机制打包的应用可以脱离其实际运行环境,这使得容器技术的应用越来越广泛,它所面临的安全问题也显得尤为重要,容器逃逸就是其安全问题的典型代表。
[0003]现有的容器逃逸检测方法主要有两种:一种是需要人工干预且无法做入侵检测的主动检测方法;另一种是需要挂钩多个内核调用并预先生成调用列表的被动检测方法。这两种方法各有优点,但无论哪一种方法都无法在逃逸进程执行恶意动作之前杀死该进程。
技术实现思路
[0004]本申请提供的一种容器逃逸检测与阻断方法,旨在解决现有技术无法及时杀死执行恶意动作的逃逸进程的问题。
[0005]为实现上述目的,本申请采用以下技术方案:本申请的一种容器逃逸检测与阻断方法,包括以下步骤:在...
【技术保护点】
【技术特征摘要】
1.一种容器逃逸检测与阻断方法,其特征在于,包括以下步骤:在系统中载入动态可加载内核模块,并令所述动态可加载内核模块挂钩用于创建子进程的fork函数和用于将进程转变成二进制程序的execve函数;获取宿主机进程的关键信息并将其存入全局表,所述关键信息包含其进程标识符、其父进程的进程标识符、其命名空间的字符串值以及其fs_struct结构体中的值;当所述fork函数或所述execve函数被容器进程调用时,获取所述容器进程的关键信息并存入所述全局表;在所述全局表中查找所述宿主机进程的关键信息并与所述容器进程的关键信息进行比对以确定所述容器进程是否发生逃逸,若是则阻断所述容器进程。2.根据权利要求1所述的一种容器逃逸检测与阻断方法,其特征在于,所述方法还包括当所述容器进程的进程标识符与所述全局表中的某一进程标识符相同时,用所述容器进程的关键信息覆盖所述全局表中该进程标识符对应的原有数据。3.根据权利要求1所述的一种容器逃逸检测与阻断方法,其特征在于,所述在所述全局表中查找所述宿主机进程的关键信息之前还包括当所述execve函数每次被容器进程调用时,根据所述容器进程关键信息中的父进程的进程标识符在所述全局表中获取其父进程的关键信息。4.根据权利要求3所述的一种容器逃逸检测与阻断方法,其特征在于,所述在所述全局表中查找所述宿主机进程的关键信息并与所述容器进程的关键信息进行比对以确定所述容器进程是否发生逃逸,包括:查找所述全局表中所述宿主机进程的关键信息,并将所述容器进程的关键信息与其父进程的关键信息和所述宿主机进程的关键信息分别进行比对,当所述容器进程命名空间的字符串值与其父进程命名空间的字符串值不相等且其命名空间的字符串值等于所述宿主机进程命名空间的字符串值时,判定所述容器进程发生逃逸。5.根据权利要求3所述的一种容器逃逸检测与阻断方法,其特征在于,所述在所述全局表中查找所述宿主机进程的关键信息并与所述容器进程的关键信息进行比对以确定所述容器进程是否发生逃逸,还包括:查找所述全局表中所述宿主机进程的关键信息,并将所述容器进程的关键信息与其父...
【专利技术属性】
技术研发人员:王嘉雄,周涛涛,
申请(专利权)人:杭州默安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。