本发明专利技术公开了一种恶意容器检测方法、系统、装置及主机,属于容器安全技术领域,先在内核态中采集宿主机的系统调用过程事件,并将采集到的系统调用过程事件保存至内核态与用户态的共同缓存中,然后在用户态中从共同缓存中提取系统调用过程事件,并为这些系统调用过程事件关联上下文数据,得到系统调用过程事件的完整数据,最后将系统调用过程事件的完整数据输入神经网络模块,以得到执行系统调用过程事件的容器是否为恶意容器的结果。可见这种检测方法可以对运行过程中的容器进程实现检测,保证容器进程运行的过程中系统的安全,同时这种检测方法不需要对容器本身做出修改,对容器没有入侵性,对系统的内存资源占用较小。对系统的内存资源占用较小。对系统的内存资源占用较小。
【技术实现步骤摘要】
一种恶意容器检测方法、系统、装置及主机
[0001]本专利技术涉及容器安全
,特别是涉及一种恶意容器检测方法、系统、装置及主机。
技术介绍
[0002]随着云计算技术的发展,现在将应用程序打包成容器镜像,通过容器化的方式进行部署已经成为了主流,容器部署相比与传统的虚拟机部署方式拥有启动速度快、占用系统资源少、不依赖底层环境等优点。但是由于多个容器可以在同一个宿主机上运行,共享同一个内核,这就可能会导致例如容器逃逸、高危系统调用、提权攻击等一系列系统安全问题,由于容器与宿主机之间处于隔离状态,因此常规的主机异常检测方法无法适用于异常容器的检测。
[0003]现有技术中通常采用静态检测的方式来完成对恶意容器的检测,例如检测容器中的各个文件是否包含恶意程序,但这种检测方法无法在容器中进程运行的过程中保证系统的安全,现有技术中还会在容器中部署检测监控程序,持续跟踪容器镜像中运行的进程信息,但是这种方式对需要对容器本身做出修改,对容器具有入侵性,且当同一个宿主机上的容器进程变多后,相应的部署的检测监控程序也会变多,增加了系统内存资源的占用。
技术实现思路
[0004]本专利技术的目的是提供一种恶意容器检测方法、系统、装置及主机,保证容器进程运行的过程中系统的安全的同时不需要对容器本身做出修改,对容器没有入侵性,对系统的内存资源占用较小。
[0005]为解决上述技术问题,本专利技术提供了一种恶意容器检测方法,包括:
[0006]采集内核态中宿主机的系统调用过程事件,并将采集到的所述系统调用过程事件保存至内核态与用户态的共同缓存中;
[0007]在所述用户态中从所述共同缓存中提取所述系统调用过程事件,并为所述系统调用过程事件关联上下文数据,得到所述系统调用过程事件的完整数据并保存在所述用户态中;
[0008]将所述系统调用过程事件的完整数据输入预先训练好的神经网络模型中,得到执行所述系统调用过程事件的容器是否为恶意容器的结果。
[0009]优选的,在所述用户态中从所述共同缓存中提取所述系统调用过程事件之后,还包括:
[0010]判断所述系统调用过程事件是否存在于预存的需要检测的系统调用事件列表中;
[0011]若否,判定所述系统调用过程事件为无用事件,并将所述无用事件从所述共同缓存中删除;
[0012]若是,则进入为所述系统调用过程事件关联上下文数据,得到所述系统调用过程事件的完整数据并保存在用户态中的步骤。
[0013]优选的,得到执行所述系统调用过程事件的容器是恶意容器的结果之后,还包括:
[0014]生成告警信息并控制显示模块显示所述告警信息。
[0015]优选的,所述神经网络模型为RPN网络模型。
[0016]优选的,所述上下文数据包括系统调用过程事件执行时间和/或进程名称和/或进程可执行文件路径和/或进程是否为容器进程和/或容器镜像名称。
[0017]优选的,为所述系统调用过程事件关联上下文数据之后,还包括:
[0018]检测所述上下文数据中是否存在已保存在所述用户态中的上下文数据,若是,删除所述上下文数据中已保存在所述用户态中的上下文数据。
[0019]优选的,还包括:
[0020]判断是否接收到用户发送的系统调用过程事件查询指令;
[0021]若是,则获取与所述系统调用过程事件查询指令对应的系统调用过程事件的上下文数据;
[0022]将所述上下文数据添加至与所述系统调用过程事件查询指令对应的系统调用过程事件中,得到与所述系统调用过程事件查询指令对应的系统调用过程事件的完整数据;
[0023]通过显示模块显示所述完整数据。
[0024]为解决上述技术问题,本专利技术还提供了一种恶意容器检测系统,包括:
[0025]系统调用过程事件采集保存单元,用于采集内核态中宿主机的系统调用过程事件,将采集到的所述系统调用过程事件保存至内核态与用户态的共同缓存中;
[0026]系统调用过程事件上下文数据关联单元,用于在所述用户态中从所述共同缓存中提取所述系统调用过程事件,并为所述系统调用过程事件关联上下文数据,得到所述系统调用过程事件的完整数据并保存在所述用户态中;
[0027]恶意容器检测单元,用于将所述系统调用过程事件的完整数据输入预先训练好的神经网络模型中,得到执行所述系统调用过程事件的容器是否为恶意容器的结果。
[0028]为解决上述技术问题,本专利技术还提供了一种恶意容器检测装置,包括:
[0029]存储器,用于存储计算机程序;
[0030]处理器,用于执行所述计算机程序以实现上述所述恶意容器检测方法的步骤。
[0031]为解决上述技术问题,本专利技术还提供了一种主机,包括如上述所述的恶意容器检测装置。
[0032]本专利技术提供了一种恶意容器检测方法、系统、装置及主机,先在内核态中采集宿主机的系统调用过程事件,并将采集到的系统调用过程事件保存至内核态与用户态的共同缓存中,然后在用户态中从共同缓存中提取系统调用过程事件,并为这些系统调用过程事件关联上下文数据,得到系统调用过程事件的完整数据并保存在用户态中,最后将系统调用过程事件的完整数据输入神经网络模块,以得到执行所述系统调用过程事件的容器是否为恶意容器的结果。可见这种检测方法可以对运行过程中的容器进程实现检测,保证容器进程运行的过程中系统的安全,同时这种检测方法不需要在容器中部署检测程序,即不需要对容器本身做出修改,对容器没有入侵性,且对系统的内存资源占用较小。
附图说明
[0033]为了更清楚地说明本专利技术实施例中的技术方案,下面将对现有技术和实施例中所
需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034]图1为本专利技术提供的一种恶意容器检测方法的流程图;
[0035]图2为本专利技术提供的一种恶意容器检测系统的结构示意图;
[0036]图3为本专利技术提供的一种恶意容器检测装置的结构示意图。
具体实施方式
[0037]本专利技术的核心是提供一种恶意容器检测方法、系统、装置及主机,保证容器进程运行的过程中系统的安全的同时不需要对容器本身做出修改,对容器没有入侵性,对系统的内存资源占用较小。
[0038]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0039]请参照图1,图1为本专利技术提供的一种恶意容器检测方法的流程图,包括:
[0040]S11:采集内核态中宿主机的系统调用过程事件,并将采集到的系统调用过程事件保存至内核态本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意容器检测方法,其特征在于,包括:采集内核态中宿主机的系统调用过程事件,并将采集到的所述系统调用过程事件保存至内核态与用户态的共同缓存中;在所述用户态中从所述共同缓存中提取所述系统调用过程事件,并为所述系统调用过程事件关联上下文数据,得到所述系统调用过程事件的完整数据并保存在所述用户态中;将所述系统调用过程事件的完整数据输入预先训练好的神经网络模型中,得到执行所述系统调用过程事件的容器是否为恶意容器的结果。2.如权利要求1所述的恶意容器检测方法,其特征在于,在所述用户态中从所述共同缓存中提取所述系统调用过程事件之后,还包括:判断所述系统调用过程事件是否存在于预存的需要检测的系统调用事件列表中;若否,判定所述系统调用过程事件为无用事件,并将所述无用事件从所述共同缓存中删除;若是,则进入为所述系统调用过程事件关联上下文数据,得到所述系统调用过程事件的完整数据并保存在用户态中的步骤。3.如权利要求1所述的恶意容器检测方法,其特征在于,得到执行所述恶意事件的容器是恶意容器的结果之后,还包括:生成告警信息并控制显示模块显示所述告警信息。4.如权利要求1所述的恶意容器检测方法,其特征在于,所述神经网络模型为RPN网络模型。5.如权利要求1所述的恶意容器检测方法,其特征在于,所述上下文数据包括系统调用过程事件执行时间和/或进程名称和/或进程可执行文件路径和/或进程是否为容器进程和/或容器镜像名称。6.如权利要求1至5任一项所述的恶意容器检测方法,其特征在于,为所述系统调用...
【专利技术属性】
技术研发人员:于春钰,张东海,王刚,高传集,孙思清,
申请(专利权)人:浪潮云信息技术股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。