本发明专利技术提供一种容器安全风险检测方法、装置、电子设备及存储介质,其中所述方法包括:通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符;基于所述在运行进程对所述文件描述符的引用关系,对所述目标容器进行安全风险检测。本发明专利技术通过监测对文件描述符的跨进程调用行为,实时监测容器运行时的疑似逃逸操作风险行为,能够有效提升对攻击者刻意隐藏的恶意行为和利用文件描述符进行宿主机读写操作的0day漏洞利用行为的检出率。主机读写操作的0day漏洞利用行为的检出率。主机读写操作的0day漏洞利用行为的检出率。
【技术实现步骤摘要】
容器安全风险检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种容器安全风险检测方法、装置、电子设备及存储介质。
技术介绍
[0002]随着业务以微服务化形态出现的场景逐渐增多,其作为承载环境的容器技术也更多的出现在各类信息业务中,如果不能及时检测发现容器逃逸的攻击风险,将会严重威胁到业务底层的基础设施安全。
[0003]目前,对容器逃逸攻击的风险检测主要是通过对容器的启动配置信息、容器管理业务的组件版本或容器镜像文件内容等风险项进行静态扫描的方式来实现。
[0004]但是,上述静态扫描检测的方式通常只能发现一些常见的配置和组件方面的漏洞风险,对于刻意隐藏的恶意后门或未知的0day漏洞攻击,则完全无法事先检测到其行为痕迹。
技术实现思路
[0005]本专利技术提供一种容器安全风险检测方法、装置、电子设备及存储介质,用以解决现有技术无法检测刻意隐藏的恶意后门或未知的0day漏洞攻击等问题的缺陷,实现有效提高对刻意隐藏的恶意后门或未知的0day漏洞攻击的检出率的目标。
[0006]本专利技术提供一种容器安全风险检测方法,包括:通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符;基于所述在运行进程对所述文件描述符的引用关系,对所述目标容器进行安全风险检测。
[0007]根据本专利技术提供的一种容器安全风险检测方法,还包括:基于所述在运行进程和所述文件描述符,获取所述文件描述符的相关标志位信息;相应的,所述基于所述在运行进程对所述文件描述符的引用关系,对所述目标容器进行安全风险检测,包括:基于所述引用关系和所述相关标志位信息,对所述目标容器进行安全风险检测。
[0008]根据本专利技术提供的一种容器安全风险检测方法,所述基于所述引用关系和所述相关标志位信息,对所述目标容器进行安全风险检测,包括:基于所述引用关系,若经过判断确定存在多个不同在运行进程引用同一文件描述符的情况,则确定所述多个不同在运行进程为潜在风险进程;对所述潜在风险进程与最先引用所述同一文件描述符的进程进行继承关系判断,并基于所述继承关系和所述相关标志位信息,对所述目标容器进行安全风险检测,所述相关标志位信息包括继承控制位。
[0009]根据本专利技术提供的一种容器安全风险检测方法,所述基于所述继承关系和所述相关标志位信息,对所述目标容器进行安全风险检测,包括:基于所述继承关系和所述相关标志位信息,若经过判断确定所述潜在风险进程为最先引用所述同一文件描述符的进程的子进程,且所述继承控制位允许子进程调用,则在所述宿主机上寻址所述同一文件描述符的具体文件;判断所述具体文件是否为具有可执行权限的目标类型文件,并根据判断结果,对所述具体文件进行后门检测和沙箱试运行分析或者进行数据稽查,以确定所述目标容器的安全风险。
[0010]根据本专利技术提供的一种容器安全风险检测方法,所述通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符,包括:获取所述目标容器在所述宿主机中的进程号,并基于所述进程号,通过持续监测所述进程管理目录下各容器中的新增进程和所述新增进程引用的对应文件描述符,持续获取所述目标容器中的所述在运行进程和所述在运行进程引用的文件描述符。
[0011]根据本专利技术提供的一种容器安全风险检测方法,所述基于所述在运行进程对所述文件描述符的引用关系,对所述目标容器进行安全风险检测,包括:基于所述引用关系,确定各所述在运行进程指向的文件描述符,并通过对比各所述在运行进程指向的文件描述符,判断是否存在多个不同在运行进程引用同一文件描述符的情况,若是,则确定所述目标容器为潜在风险容器。
[0012]本专利技术还提供一种容器安全风险检测装置,包括:获取模块,用于通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符;检测模块,用于基于所述在运行进程对所述文件描述符的引用关系,对所述目标容器进行安全风险检测。
[0013]本专利技术还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述处理器执行所述程序或指令时,实现如上述任一种所述的容器安全风险检测方法的步骤。
[0014]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有程序或指令,所述程序或指令被计算机执行时,实现如上述任一种所述的容器安全风险检测方法的步骤。
[0015]本专利技术提供的容器安全风险检测方法、装置、电子设备及存储介质,通过监测对文件描述符的跨进程调用行为,实时监测容器运行时的疑似逃逸操作风险行为,能够有效提升对攻击者刻意隐藏的恶意行为和利用文件描述符进行宿主机读写操作的0day漏洞利用行为的检出率。
附图说明
[0016]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对本专利技术实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本专利技术提供的容器安全风险检测方法的流程示意图之一;图2为根据本专利技术提供的容器安全风险检测方法中基于继承关系和相关标志位信息进行检测的流程示意图;图3为本专利技术提供的容器安全风险检测方法的流程示意图之二;图4为本专利技术提供的容器安全风险检测装置的结构示意图;图5为本专利技术提供的电子设备的实体结构示意图。
具体实施方式
[0018]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术中的附图,对本专利技术中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0019]本专利技术针对现有技术存在的无法检测刻意隐藏的恶意后门或未知的0day漏洞攻击等的问题,通过监测对文件描述符的跨进程调用行为,实时监测容器运行时的疑似逃逸操作风险行为,能够有效提升对攻击者刻意隐藏的恶意行为和利用文件描述符进行宿主机读写操作的0day漏洞利用行为的检出率。以下将结合附图,具体通过多个实施例对本专利技术进行展开说明和介绍。
[0020]图1为本专利技术提供的容器安全风险检测方法的流程示意图之一,如图1所示,该方法包括:S101,通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符。
[0021]可以理解为,本专利技术结合容器的隔离机制和现有逃逸漏洞原理,即由于宿主机的mnt文件命名空间和chroot对进程的访问目录访问管控的安全机制,容器在实施逃逸时常常面临着文件命名空间的限制,导致其不具备权限对宿主机受控的一些文件程序进行写入操作,但是通过在运行进程打开的文件描述符,则并不受此类管控功能的限制,因此会本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种容器安全风险检测方法,其特征在于,包括:通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符;基于所述在运行进程和所述文件描述符,获取所述文件描述符的相关标志位信息;基于所述引用关系,若经过判断确定存在多个不同在运行进程引用同一文件描述符的情况,则确定所述多个不同在运行进程为潜在风险进程;对所述潜在风险进程与最先引用所述同一文件描述符的进程进行继承关系判断,并基于所述继承关系和所述相关标志位信息,对所述目标容器进行安全风险检测,所述相关标志位信息包括继承控制位。2.根据权利要求1所述的容器安全风险检测方法,其特征在于,所述基于所述继承关系和所述相关标志位信息,对所述目标容器进行安全风险检测,包括:基于所述继承关系和所述相关标志位信息,若经过判断确定所述潜在风险进程为最先引用所述同一文件描述符的进程的子进程,且所述继承控制位允许子进程调用,则在所述宿主机上寻址所述同一文件描述符的具体文件;判断所述具体文件是否为具有可执行权限的目标类型文件,并根据判断结果,对所述具体文件进行后门检测和沙箱试运行分析或者进行数据稽查,以确定所述目标容器的安全风险。3.根据权利要求1
‑
2中任一所述的容器安全风险检测方法,其特征在于,所述通过持续监测宿主机的进程管理目录,持续获取所述宿主机内目标容器中的在运行进程和所述在运行进程引用的文件描述符,包括:获取所述目标容器在所述宿主机中的进程号,并基于所述进程号,通过持续监测所述进程管理目录下各容器中的新增进程和所述新增进程引用的对应文...
【专利技术属性】
技术研发人员:阿孜古丽,
申请(专利权)人:联通广东产业互联网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。