本发明专利技术涉及风险检测技术领域,尤其涉及了一种Docker的安全使用检查系统和风险检测、修复方法,该系统包括CLI解析模块,安全分析模块,反馈和处理模块以及执行模块,所述CLI解析模块接收用户在命令行的输入,将其进行解析;所述安全分析模块主要包含如下组件:Dockerfile分析组件、Dockerimage分析组件、Docker指令分析组件、云端安全数据库、云沙箱以及联动调度组件。本发明专利技术覆盖了docker的全过程,包括dockerfile阶段、构建阶段、运行使用阶段,关注引入外部资源的安全问题,做到使用体验和检测能力的均衡,提供大数据统计分析、云沙箱运行检测和修复建议的全面检测以及防护功能。功能。功能。
【技术实现步骤摘要】
一种Docker的安全使用检查系统及风险检测、修复方法
[0001]本专利技术涉及大数据风险检测
,具体涉及一种Docker的安全使用检查系统及风险检测、修复方法。
技术介绍
[0002]Docker是一种开源的基于LXC的应用容器引擎,因其轻量、弹性伸缩、快速部署、可移植等优势,在大型互联网企业中被广泛应用,同时也方便了个人用户对于开发、服务等的快速构建、部署和使用,Docker在整个开发周期都可以完美的辅助你实现快速交付。Docker允许开发者在装有应用和服务本地容器做开发。可以直接集成到可持续开发流程中。随着Docker技术的发展与普及,其带来安全问题不容忽视。容器技术是一种新型的技术革命,不仅存在传统的主机安全问题,还带来了新型的安全威胁。
[0003]《一种对容器镜像进行安全检查的方法、装置以及设备》实现了一种对容器镜像安全检查的方法、装置及设备。方案包括:获取容器镜像的Dockerfile文件,所述Dockerfile文件包括用于构建所述容器镜像的文件文本;解析所述Dockerfile文件,得到解析结果;将所述解析结果与安全检查数据库进行匹配,得到安全检查列表,该专利对于Dockerfile的安全分析依赖于各类子数据库的匹配,也就是说他的分析准确性、覆盖率取决于子数据库的数据准确性和数据量,而且该装置不适合针对个人用户或者在个人终端部署使用,子数据库的较大数据量和数据不能动态更新是他存在的问题,对于个人终端的部署便捷性也是他的短板。他的传统软件模式决定了他存在不能及时、动态的更新检查规则等问题。
技术实现思路
[0004]本专利技术的目的在于提供一种Docker的安全使用检查系统及风险检测、修复方法,以解决上述
技术介绍
中提出的问题。
[0005]为实现上述目的,本专利技术提供如下技术方案:
[0006]一种Docker的安全使用检查系统,其包括CLI解析模块,安全分析模块,反馈和处理模块以及执行模块,所述CLI解析模块接收用户在命令行的输入,将其进行解析,所述安全分析模块主要包含如下组件:Dockerfile分析组件、Docker image分析组件、Docker指令分析组件、云端安全数据库、云沙箱以及联动调度组件。
[0007]优选的,所述云沙箱安全分析模块包含针对文件的云沙箱安全检测和对应的数据统计数据库。
[0008]一种Docker的安全使风险检测、修复方法,包括以下步骤:
[0009]S1:Docker的安全使用检查系统根据Dockerfile中每一项配置的配置项属性,来决定决定使用什么方法分析属性的配置内容,首先使用配置安全检测规则进行检测,主要检查格式是否存在问题,以及是否存在未指定tag等格式问题。
[0010]S2:对image等安全检测,如果是没在本地库中匹配的情况,则将image的名称和tag信息发送到公共的云端image安全分析模块进行分析。
[0011]S3:每次的分析请求发送过来后,会先查询image分析记录数据库是否有匹配的数据,如果有的话则将数据库中数据提取出来然后进行格式化后返回,如果没有则加入后台分析组件进行分析,返回任务id给该查询请求,用户端会一段时间内轮询查询分析结果,如果没有则标识为Image分析未完成。
[0012]S4:为了进一步检测是否安全无风险,如果当前状态是联网状态,则会将分析的数据发送给云端分析组件,云端系统的架构包含更加完善和实时更新的风险分析规则以及分析记录数据库,能够给用户作为参考数据,如果有,就会将结果和历史匹配次数返回,作为参考数据,如果是新的分析,则将分析结果加入数据库中,用来丰富数据库数据。
[0013]优选的,所述S3中Image分析记录数据库和新image的分析依托的是云端的image分析服务。
[0014]优选的,所述S4中分析记录数据库中记录着每次分析的数据,包含对应的规则和风险程度以及匹配次数,每一次的分析请求都会查询是否有相同的历史记录在历史分析记录数据库中。
[0015]与现有技术相比,本专利技术的有益效果是:
[0016]1.该Docker的安全使用检查系统及风险检测、修复方法,能针对用户使用Docker过程中的各种指令操作以及DockerContainer的编译、运行全过程进行安全检测、风险分析以及将修复建议反馈给用户,覆盖了docker使用的全过程,包括dockerfile阶段、构建阶段、运行使用阶段,还额外关注到使用过程中引入的外部资源的安全问题。
[0017]2.该Docker的安全使用检查系统及风险检测、修复方法,通过结合本地装置能力和云端大数据能力,简化了用户端的部署和使用成本,有具有持续进化和升级能力,通过这种方式做到使用体验和检测能力的均衡,在用户离线模式下,依赖用户侧的检测规则就可以完成大部分的风险分析,同时云端的分析能力,提供了大数据统计分析、云沙箱运行检测和修复建议的全面检测以及防护功能。
[0018]3.该Docker的安全使用检查系统及风险检测、修复方法,针对Dockerfile中的下载行为,对下载文件进行检测,增加云沙箱进行运行检测,在每次检测后都会对文件记录hash并将hash和检测结果的各项数据同步到云端数据库中,形成检测记录数据库。
附图说明
[0019]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0020]图1为本专利技术实施例检查系统的整体的模块组成结构图;
[0021]图2为本专利技术实施例检查方法的产品侧
‑
用户端流程图;
[0022]图3为本专利技术实施例检查方法的技术侧整体架构图;
[0023]图4为本专利技术实施例检查方法的CLI解析流程图;
[0024]图5为本专利技术实施例检查方法的Dockerfile分析流程图;
[0025]图6为本专利技术实施例检查方法的Dockerfile安全分析模块图;
[0026]图7为本专利技术实施例检查方法的image分析组件工作流程图;
[0027]图8为本专利技术实施例检查方法的image分析组件架构图;
[0028]图9为本专利技术实施例检查方法的云沙箱分析组件工作流程图。
具体实施方式
[0029]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0030]实施例
[0031]请参阅图1
‑
9,本专利技术提供的Docker的安全使用检查系统,包括CLI解析模块,安全分析模块,反馈和处理模块以及执行模块,CLI解析模块接收本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种Docker的安全使用检查系统,其特征在于:包括CLI解析模块,安全分析模块,反馈和处理模块以及执行模块,所述CLI解析模块接收用户在命令行的输入,将其进行解析;所述安全分析模块包括如下组件:Dockerfile分析组件、Docker image分析组件、Docker指令分析组件、云端安全数据库、云沙箱以及联动调度组件。2.根据权利要求1所述的Docker的安全使用检查系统,其特征在于:所述安全分析模块的云沙箱中,包含针对文件的云沙箱安全检测和对应的数据统计数据库。3.一种Docker的安全使风险检测、修复方法,其特征在于:其采用权利要求1或2所述的Docker的安全使用检查系统,包括以下步骤:S1:Docker的安全使用检查系统根据Dockerfile中每一项配置的配置项属性,来决定决定使用什么方法分析属性的配置内容,首先使用配置安全检测规则进行检测,主要检查格式是否存在问题,以及是否存在未指定tag格式问题;S2:对image等安全检测,如果是没在本地库中匹配的情况,则将image的名称和tag信息发送到公共的云端image安全分析模块进行分析;S3:每...
【专利技术属性】
技术研发人员:鲁辉,田志宏,郝佳伟,张曼,姜誉,苏申,孙彦斌,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。