【技术实现步骤摘要】
面向容器主机平台的轻量级攻击检测方法及装置
[0001]本专利技术涉及计算机网络安全领域,用于对容器主机平台进行攻击检测,更具体地是一种面向容器主机平台的轻量级攻击检测方法及装置。
技术介绍
[0002]容器技术是一种操作系统级的虚拟化技术,其主要依托于操作系统内核提供的资源隔离和抽象机制。Linux内核的Namespace和Cgroup机制是容器技术的基石,前者用以实现资源的隔离,后者主要是为了限制资源的使用。相对于传统的虚拟化技术,容器技术以其启动快、运行效率高成为了当前云平台的首选。容器中的进程运行在一个隔离的环境中,其拥有独立的网络栈和文件系统视图,无法获取主机或者主机上其他容器中运行的进程信息。容器中的进程使用的物理资源可以被严格限制,例如:内存、CPU使用率、IO吞吐量等。
[0003]相较于虚拟机,容器拥有了较高的执行效率,但是虚拟机却拥有比容器更强的隔离性。容器中的进程虽然运行在不同的Namespace中,但是其底层仍然共享着同一个操作系统内核。正是由于容器共享内核的特性,利用Linux内核漏洞进行容...
【技术保护点】
【技术特征摘要】
1.一种面向容器主机平台的轻量级攻击检测方法,其特征在于,所述方法包括:获取被监控函数和需要监控的漏洞信息;根据所述漏洞信息的名称,创建所述漏洞信息相应的vulner_info结构体;其中,所述vulner_info结构体中的数据包括:所述漏洞信息的名称、系统调用号、所述漏洞信息的系统调用参数、所述系统调用参数的个数、掩码和创建的对应fops_node结构体的地址,所述掩码保存所述系统调用参数的待检查项,所述fops_node结构体中的数据包括:所述被监控函数的名称和ftrace_ops结构体的地址,所述ftrace_ops结构体中封装一个private结构体,所述private结构体中的数据包括:基于所述掩码和所述系统调用参数得到的需要检查的系统调用参数;当内核在即将执行所述被监控函数时,调用回调函数,以使所述回调函数获取所述被监控函数在执行过程中产生的系统调用参数值;将所述private结构体的地址传递给所述回调函数,以使所述回调函数访问所述private结构体;将所述系统调用参数值与所述需要检查的系统调用参数进行比对,得到所述被监控函数的攻击检测结果。2.如权利要求1所述的方法,其特征在于,所述根据所述漏洞信息的名称,获取所述漏洞信息相应的vulner_info结构体,包括:根据所述漏洞信息的名称,在漏洞链表的结点中查找该漏洞信息的名称的vulner_info结构体;其中,每一所述结点为一个vulner_info结构体,所述漏洞链表由至少一个所述结点组成;在查找到所述漏洞信息相应的vulner_info结构体的情况下,将所述vulner_info结构体设置在面向容器主机平台的监控系统中;在未查找到所述漏洞信息相应的vulner_info结构体相应的vulner_info结构体的情况下,则基于所述漏洞信息,创建一个vulner_info结构体,并将该vulner_info结构体分别加入到所述漏洞链表中,以及设置在面向容器主机平台的监控系统中。3.如权利要求1所述的方法,其特征在于,所述当内核在即将执行所述被监控函数时,调用回调函数,以使回调函数结合所述系统调用号,获取所述被监控函数在执行过程中产生的系统调用参数值,包括:获取内核中系统调用表的地址;基于所述系统调用号与所述系统调用表的地址,获取__x64_sys_(sycallname)内核函数的函数名,以使所述__x64_sys_(sycallname)内核函数作为所述的被监控函数,得到所述被监控函数在执行过程中产生的系统调用参数值;所述回调函数通过所述_x64_sys_(sycallname)内核函数中的参数pt_regs与所述回调函数中的参数pt_regs,得到所述系统调用参数值。4.如权利要求3所述的方法...
【专利技术属性】
技术研发人员:宋振宇,徐少文,郭璇,刘歌,贾晓启,黄庆佳,杜海超,周梦婷,王睿怡,唐静,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。