一种容器的安全检测方法、装置及设备制造方法及图纸

本申请公开了一种容器的安全检测方法、装置及设备，在检测进程的命名空间中由检测进程启动安全代理进程，将安全代理进程切换到待检测的目标容器进程的命名空间中。检测进程控制安全代理进程与标容器进程建立通信连接，从而由安全代理进程实现检测进程与目标容器进程之间的通信。具体的，检测进程向安全代理进程发送安全检测指令，安全代理进程向目标容器进程转发该安全检测指令。目标容器进程响应该安全检测指令产生待检测数据，安全代理进程再将待检测数据发送给检测进程进行安全检测。则检测进程仅和安全代理进程保持通信，并不会直接切换到目标容器进程的命名空间中，可以保证检测进程的安全性。测进程的安全性。测进程的安全性。

【技术实现步骤摘要】
一种容器的安全检测方法、装置及设备


[0001]本申请涉及计算机
，具体涉及一种容器的安全检测方法、装置及设备。

技术介绍

[0002]计算机
中的容器一般运行在操作系统之上，使用操作系统自身支持的机制，提供了相对独立的应用程序运行的环境。在需要对容器的工作负载进行安全检测时，由于被检测的容器进程与检测进程在不同的命名空间中，需要将检测进程切换到被检测容器进程的命名空间中。
[0003]但是，被检测的容器进程有可能被恶意进程控制，则容器进程的运行环境可能不安全，当检测进程切换到被检测容器进程的命名空间后，检测进程的安全性无法保证，由于检测进程一般具有比较高的权限，会导致更严重的风险。

技术实现思路

[0004]有鉴于此，本申请实施例提供一种容器的安全检测方法、装置及设备，以提高检测进程进行容器安全检测时的安全性。
[0005]为解决上述问题，本申请实施例提供的技术方案如下：
[0006]第一方面，本申请实施例提供一种容器的安全检测方法，所述方法包括：
[0007]在检测进程的命名空间启本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种容器的安全检测方法，其特征在于，所述方法包括：在检测进程的命名空间启动安全代理进程；通过所述检测进程向所述安全代理进程发送切换命名空间指令，所述切换命名空间指令包括目标容器进程的标识，用于指示所述安全代理进程由所述检测进程的命名空间切换到所述目标容器进程的命名空间；通过所述检测进程向所述安全代理进程发送注入指令，所述注入指令包括所述目标容器进程的标识，用于指示所述安全代理进程与所述目标容器进程建立通信连接；通过所述检测进程向所述安全代理进程发送安全检测指令，并指示所述安全代理进程向所述目标容器进程转发所述安全检测指令；通过所述检测进程从所述安全代理进程获取所述目标容器进程响应所述安全检测指令产生的待检测数据，对所述待检测数据进行安全检测。2.根据权利要求1所述的方法，其特征在于，在通过所述检测进程向所述安全代理进程发送切换命名空间指令之后，所述方法还包括：通过所述检测进程向所述安全代理进程发送文件复制指令，所述文件复制指令包括检测文件的信息，用于指示所述安全代理进程根据所述检测文件的信息获取所述检测文件，将所述检测文件写入所述目标容器进程的命名空间中的指定路径。3.根据权利要求2所述的方法，其特征在于，所述通过所述检测进程向所述安全代理进程发送安全检测指令，并指示所述安全代理进程向所述目标容器进程转发所述安全检测指令，包括：通过所述检测进程向所述安全代理进程发送所述检测文件的加载指令，并指示所述安全代理进程向所述目标容器进程转发所述检测文件的加载指令，所述检测文件的加载指令用于指示所述目标容器进程从所述指定路径获取并加载执行所述检测文件以产生待检测数据。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，在通过所述检测进程向所述安全代理进程发送切换命名空间指令之后，所述方法还包括：通过所述检测进程向所述安全代理进程发送创建共享内存指令，并指示所述安全代理进程在所述目标容器进程的命名空间中创建共享内存，并将所述共享内存的标识发送给所述检测进程；通过所述检测进程获取所述共享内存的标识。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：通过所述检测进程向所述安全代理进程发送共享内存标识分发指令，并指示所述安全代理进程将所述共享内存的标识发送给所述目标容器进程，所述共享内存的标识用于指示所述目标容器进程在产生待检测数据后将所述待检测数据写入所述共享内存。6.根据权利要求5所述的方法，其特征在于，所述通过检测进程从所述安全代理进程获取所述目标容器进程响应所述安全检测指令产生的待检测数据，对所述待检测数据进行安全检测，包括：通过所述检测进程从所述安全代理进程获取所述待检测数据，对所述待检测数据进行安全检测，所述待检测数据是所述安全代理进程从所述共享内存中获取的。7.根据权利要求1
‑
6任一项所述的方法，其特征在于，在通过所述检测进程向所述安全
代理进程发送切换命名空间指令之前，所述方法还包括：通过所述检测进程创建控制组群，设置所述控制组群的处理器限制和/或内存限制，将所述安全代理进程切换到所述控制组群中。8.一种容器的安全检测方法，其特征在于，所述方法包括：在检测进程的命名空间启动安全代理进程之后，通过所述安全代理进程接收所述检测进程发送的切换命名空间指令，所述切换命名空间指令包括目标容器进程的标识；通过所述安全代理进程响应于所述切换命名空间指令由所述检测进程的命名空间切换到所述目标容器进程的命名空间；通过所述安全代理进程接收所述检测进程发送的注入指令，所述注入指令包括所述目标容器进程的标识；通过所述安全代理进程响应于所述注入指令，与所述目标容器进程建立通信连接；通过所述安全代理进程接收所述检测进程发送的安全检测指令，向所述目标容器进程转发所述安全检测指令；通过所述安全代理进程获取所述目标容器进程响应所述安全检测指令产生的待检测数据，将所述待检测数据发送给所述检测进程。9.根据权利要求8所述的方法，其特征在于，在通过所述安全代理进程响应于所述切换命名空间指令由所述检测进程的命名空间切换到所述目...

【专利技术属性】
技术研发人员：郭建新，张晨，
申请(专利权)人：北京火山引擎科技有限公司，
类型：发明
国别省市：