【技术实现步骤摘要】
一种linux操作系统的容器逃逸检测阻断方法和系统
[0001]本专利技术涉及linux操作系统的相关技术,特别涉及一种linux操作系统的容器逃逸检测阻断方法和系统。
技术介绍
[0002]现有技术中关于容器逃逸检测的方案基本都是基于内核态检测,这样就会面临一个兼容性低,侵入性高的问题,可移植性低,当目标机器内核版本不同,那么某些内核特性就不能在该版本使用。并且当程序需要部署在其他机器时,需要针对该内核版本进行编译,造成程序可移植性很低。另外,当前的检测方案基本都是基于主机方向的检测,对于容器攻击的检出性十分低,也就意味着当前市面上大部分防御系统对于容器的攻击,基本没有任何防御,而容器逃逸是危害性十分高的攻击手段,当攻击者完成容器逃逸,则直接能够对宿主机造成危害,并且有可能危害到集群安全。
技术实现思路
[0003]本专利技术其中一个专利技术目的在于提供一种linux操作系统的容器逃逸检测阻断方法和系统,所述方法和系统利用monitor模块中的perf_event框架对指定函数安装探针,并感知指定函数的运行...
【技术保护点】
【技术特征摘要】
1.一种linux操作系统的容器逃逸检测阻断方法,其特征在于,所述方法包括:通过用户态模块的perf_event向核心函数插入探针,所述核心函数包括fork函数和sys_execve函数;通过所述探针获取所述核心函数的运行行为,并获取当前进程的进程号;构建当前进程的第一namespace集,并建立进程号和所述第一namespace的映射关系;根据当前进程的执行情况,通过所述探测获取因为namespace变化而创建反弹的SHELL进程,通过所述核心函数获取SHELL进程并获取第二namespace集和对应的父进程,以及获取pid为1的namespace集;将对应的SHELL进程父进程namespace集、第二namespace集和pid为1的namespace集发送给观测模块进行对比判断,根据对比结果判断当前进程是否存在容器逃逸,并将容器逃逸进程阻断。2.根据权利要求1所述的一种linux操作系统的容器逃逸检测阻断方法,其特征在于,若当前进程运行,则所述当前进程调用所述fork函数,则所述探针被执行,通过所述探针记录当前进程的进程号,以及当前进程的namespace集。3.根据权利要求1所述的一种linux操作系统的容器逃逸检测阻断方法,其特征在于,在获取所述当前进程的进程号后,进一步采用键值对key
‑
value的方式构建进程号和第一namespace的映射关系,并生成映射表。4.根据权利要求1所述的一种linux操作系统的容器逃逸检测阻断方法,其特征在于,若当前进程执行漏洞程序时,当前进程中的namespace发生变化,所述SHELL进程被所述核心函数sys_execve函数挂...
【专利技术属性】
技术研发人员:黄晓龙,王嘉雄,
申请(专利权)人:杭州默安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。