【技术实现步骤摘要】
容器安全防护方法及装置
[0001]本专利技术涉及安全防护
,尤其涉及一种容器安全防护方法及装置。
技术介绍
[0002]随着信息技术的不断发展,人类社会的信息化程度越来越高,整个社会对网络信息的依赖程度也越来越高,从而网络安全的重要性也越来越高。所以需要对每个文件进行安全检测。
[0003]现有技术中,在检测到进程对文件进行操作时,获取进程的标识符、进程的名称和文件绝对路径等信息,然后将这些信息通过共享队列传送给杀毒程序,由杀毒程序基于进程的标识符、进程的名称和文件绝对路径等信息读取文件绝对路径上的文件,并对读取的文件进行安全检测。
[0004]但上述现有技术中,获取的文件绝对路径是相对于全局命名空间的根目录的,当容器内的文件操作被内核中钩子(hook)函数劫持时,文件绝对路径是相对于容器自身隔离的挂载命名空间的根目录的,并不是相对于全局命名空间的根目录的,所以在基于当前获取的文件绝对路径下查询容器内的文件时,会导致查询失败,无法获取容器内的文件,也就无法实现对容器内的文件的安全检测。
专利技...
【技术保护点】
【技术特征摘要】
1.一种容器安全防护方法,其特征在于,应用于电子设备,所述电子设备包括内核模块和杀毒模块,所述方法包括:所述内核模块在检测到目标进程对目标文件进行操作时,获取所述目标进程的进程标识符PID命名空间和挂载命名空间;所述内核模块在基于所述PID命名空间和所述挂载命名空间确定所述目标进程为容器内的进程时,获取所述容器的名称和所述目标文件的文件路径,并将所述容器的名称和所述文件路径发送至所述杀毒模块;所述杀毒模块基于所述容器的名称和所述文件路径读取所述目标文件,并确定所述目标文件是否安全。2.根据权利要求1所述的容器安全防护方法,其特征在于,在所述内核模块在基于所述PID命名空间和所述挂载命名空间确定所述目标进程为容器内的进程时,获取所述容器的名称和所述目标文件的文件路径之前,所述方法还包括:所述内核模块基于所述PID命名空间和所述挂载命名空间确定所述目标进程是否为容器内的进程。3.根据权利要求2所述的容器安全防护方法,其特征在于,所述内核模块基于所述PID命名空间和所述挂载命名空间确定所述目标进程是否为容器内的进程,包括:所述内核模块确定所述目标进程的PID命名空间是否与全局的PID命名空间相同,并确定所述目标进程的挂载命名空间是否与全局的挂载命名空间相同;所述内核模块在确定所述目标进程的PID命名空间与所述全局的PID命名空间不相同,且所述目标进程的挂载命名空间与所述全局的挂载命名空间不相同时,确定所述目标进程为所述容器内的进程;所述内核模块在确定所述目标进程的PID命名空间与所述全局的PID命名空间相同,和/或,所述目标进程的挂载命名空间与所述全局的挂载命名空间相同时,确定所述目标进程不为所述容器内的进程。4.根据权利要求1所述的容器安全防护方法,其特征在于,所述杀毒模块基于所述容器的名称和所述文件路径读取所述目标文件,包括:所述杀毒模块调用所述内核模块中的容器文件读取函数,并将所述容器的名称和所述文件路径输入至所述容器文件读取函数;所述杀毒模块通过所述容器文件读取函数读取所述目标文件。5.根据权利要求4所述的容器安全防护方法,其特...
【专利技术属性】
技术研发人员:戈龙颜,刘浩,冯顾,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。